Sites maliciosos invadiram iPhones há anos: Google

A Apple fez da privacidade e segurança do usuário um dos maiores pontos de venda de seus dispositivos. O Cupertino tornou incrivelmente difícil para hackers invadir iPhones e roubar dados de usuários. Mas não é impossível, porque os hackers quase sempre estão criando novas maneiras de invadir os iPhones. Um pesquisador de segurança do Google revelou que alguns sites mal-intencionados estão hackeando os iPhones há pelo menos alguns anos. A Apple o corrigiu apenas em fevereiro deste ano.

Como sites maliciosos estavam invadindo iPhones

Ian Beer, pesquisador de segurança da equipe do Project Zero do Google, disse em um post que encontrou um punhado de sites invadidos que poderiam instalar malware no seu iPhone quando você os visitava. O visitante não precisou executar nenhuma ação para instalar o malware no dispositivo. Apenas visitar um dos sites invadidos permitiu que o servidor de exploração visasse seu iPhone.

A Motherboard, que primeiro informou o hack, disse que poderia ser “um dos maiores ataques contra usuários de iPhone de todos os tempos”. O Google disse que esses sites invadidos eram visitados milhares de vezes por semana, o que sugere que muitos usuários do iPhone podem ter sido vítimas do hack.

Os sites mal-intencionados não estavam segmentando um indivíduo ou grupo específico. Desde que você seja um usuário do iPhone e visite um dos sites, eles instalariam um “implante de monitoramento” no dispositivo. O implante concentrou-se em roubar dados confidenciais, como fotos, iMessages, bem como carregar sua localização ao vivo. Solicitou dados a cada 60 segundos.

De acordo com Ian Beer, o implante também pode acessar seu chaveiro, onde são armazenadas todas as suas senhas. Como o implante comprometeu o próprio dispositivo, ele também pode acessar os bancos de dados de aplicativos de mensagens criptografadas de ponta a ponta, como WhatsApp, Telegram, iMessage e outros. Reiniciar o iPhone limpa o malware. Mas quando você reinicia, os hackers podem ter roubado todos os seus dados confidenciais. Eles transferem todos os dados para servidores não criptografados.

O Grupo de Análise de Ameaças do Google descobriu um total de 14 vulnerabilidades que afetaram os iPhones com iOS 10 por meio da versão mais recente do iOS 12. Os pesquisadores do Google identificaram cinco cadeias diferentes de exploração do iPhone com base em quatorze vulnerabilidades. Pelo menos um deles era uma cadeia de exploração de dia zero.

Uma exploração é chamada de “dia zero” quando a empresa impactada não está ciente e tem zero dias para encontrar uma correção. As explorações de dia zero valem ouro para os hackers. Como o fornecedor (neste caso, a Apple) não está ciente da vulnerabilidade, ela não foi corrigida, permitindo que hackers invadissem efetivamente um dispositivo.

A equipe do Project Zero do Google informou a Apple sobre os ataques em 1 de fevereiro de 2019 com um prazo de 7 dias. A Apple corrigiu o problema via atualização do iOS 12.1.4 em 9 de fevereiro. A atualização 12.1.4 também corrigiu o bug de escuta do FaceTime e vários outros problemas.

Ian Beer disse que os ataques indicaram que os hackers estavam fazendo “um esforço sustentado para invadir os usuários de iPhones em certas comunidades por um período de pelo menos dois anos”. Embora a Apple tenha corrigido todas as vulnerabilidades relatadas pelo Projeto Zero, Beer disse que é possível que os invasores usem outras explorações para invadir iPhones.

A empresa Cupertino tem incentivado pesquisadores e hackers de segurança a reportar bugs em seu software. Recentemente, a Apple aumentou o pagamento máximo de recompensas por bug para US $ 1 milhão para pesquisadores que pudessem encontrar falhas que dão aos hackers acesso no nível de raiz a um iPhone sem nenhuma ação por parte do usuário.

Apple pede desculpas aos usuários Siri

A credibilidade da Apple como empresa comprometida com a privacidade do usuário entrou em questão recentemente quando o The Guardian revelou que a empresa estava permitindo que seus funcionários e contratados terceirizados ouvissem suas gravações Siri para ajudar a melhorar seu assistente de IA. Os contratados ouviam todos os tipos de gravações, incluindo informações médicas confidenciais, negócios com drogas e casais fazendo sexo.

A gigante da tecnologia emitiu um pedido de desculpas público por permitir que os contratados ouçam suas gravações secretas. Ele também prometeu mudanças no seu programa de classificação Siri, incluindo permitir que apenas os funcionários da Apple ouçam suas interações Siri. “Percebemos que não estamos cumprindo plenamente nossos altos ideais e, por isso, pedimos desculpas”, afirmou Apple.