Denis Tokarev, conhecido no mundo online por ‘Illusionofchaos’, publicou os detalhes de três vulnerabilidades que afetam o iOS mais recente e a forma como podem ser exploradas por hackers com intenções maliciosas. O investigador explica que só o fez depois de ter alertado várias vezes a Apple para o caso e de a empresa o ter ignorado em sucessivas atualizações de segurança. Tokarev publicou os detalhes da investigação no seu blogue e o código para explorações na plataforma GitHub.
Com a informação agora disponibilizada, é relativamente fácil para hackers e especialistas reproduzirem a exploração destas vulnerabilidades. “Reportei quatro vulnerabilidades de dia zero [desconhecidas até então] este ano, entre 10 de março e 4 de maio, mas três delas ainda estão presentes na versão mais recente do iOS (15.0) e uma foi corrigida no 14.7, mas a Apple decidiu ‘abafar’ o tema e não as listar na página de conteúdos de segurança. Quando os confrontei, pediram desculpa, garantiram que aconteceu devido a um erro de processamento e prometeram corrigir a situação numa próxima atualização da página de conteúdos. Passaram três lançamentos desde então e quebraram a promessa de todas as vezes. Há dez dias pedi uma explicação e avisei que ia tornar pública a pesquisa se não recebesse qualquer justificação. O meu pedido foi ignorado, pelo que estou a avançar com o que disse que faria”, cita a publicação Motherboard.
A GitHub, que mudou recentemente a sua política e passou a proibir a publicação de código que possa ser usado para ataques, e a Apple não quiseram tecer qualquer comentário sobre a situação.
Wojciech Regula, responsável de segurança na empresa SecuRing, revela que conseguiu reproduzir as vulnerabilidades em apenas 30 minutos, mas salienta que as falhas, por si só, não podem ser usadas para atacar um iPhone de forma remota. “Por um lado, quebram as restrições de isolamento [sandbox] (como obter o AppleID, capacidade de listar apps instaladas e ter acesso aos contactos). Um hacker malicioso pode usar estas falhas, claro, mas é preciso uma aplicação maliciosa estar instalada no aparelho da vítima. E isso não é fácil. Genericamente, não acaba o mundo por causa destas três falhas de dia zero”.
Esta situação revela a frustração sentida por alguns programadores e investigadores que acusam a Apple de não estar a prestar atenção ao programa de caça aos bugs, por ser lenta a reagir e por não pagar o valor que estes consideram devido. Na semana passada, o jornal The Washington Post publicou um artigo sobre este tema.