No fim da tarde de ontem (29/8), a equipe de pesquisadores do Project Zero, do Google, divulgou um novo relatório acerca de uma vulnerabilidade do iOS, a qual possibilitava que determinados sites pudessem invadir iPhones simplesmente ao serem acessados. Para os especialistas, esse “pode ter sido um dos maiores ataques contra usuários de iPhones de todos os tempos”.
Na publicação, o especialista britânico em segurança online Ian Beer explicou que “não havia discriminação de alvo” em se tratando desse ataque. Assim, qualquer usuário poderia ser afetado simplesmente pelo fato de visitar um dos sites maliciosos — os quais, diga-se de passagem, recebiam milhares de visitas por semana, como divulgado pela VICE.
Ainda que não tenha especificado quais sites estavam afetados, a equipe do Google descobriu 5 formas diferentes pelas quais essas páginas podiam invadir o iOS através de 12 falhas de segurança envolvendo o Safari. Em suma, essas diferentes maneiras de exploração forneciam ao invasor acesso à raiz (root) do iPhone, o nível mais alto de acesso ao dispositivo.
Além de ter acesso a certos dados e mídias do aparelho, um cracker poderia, ainda, instalar (silenciosamente) apps maliciosos para espionar e até mesmo obter acesso às senhas de um usuário — sem, é claro, seu conhecimento ou consentimento.
Mais do que isso, quando tal software era instalado pelo cracker no dispositivo, ele poderia enviar arquivos do proprietário do iPhone para servidores específicos, além de dados de localização ao vivo (que eram reenviados a cada minuto)! Como o acesso principal ao iPhone estava comprometido, serviços como o iMessage, WhatsApp e Telegram também eram afetados.
O mais curioso, talvez, tenha sido a demora para identificar e solucionar essa falha, a qual afetou dispositivos rodando o iOS 10 ao 12 — ou seja, a vulnerabilidade esteve presente por mais de dois anos! Não obstante, Beer confirmou que os problemas foram relatados à Apple em 1º de fevereiro de 2019, e que o Project Zero deu um prazo de 7 dias (ante os 90 dias normalmente fornecidos) para que a Maçã os corrigisse; a solução veio exatamente uma semana depois, com o lançamento do iOS 12.1.4.
A VICE entrou em contato com a Apple para obter algum comentário sobre o problema, mas a companhia ainda não respondeu nada.