Mercado fechará em 1 h 32 min
  • BOVESPA

    105.940,94
    -422,16 (-0,40%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.603,69
    -110,91 (-0,21%)
     
  • PETROLEO CRU

    82,30
    -0,36 (-0,44%)
     
  • OURO

    1.802,10
    +3,30 (+0,18%)
     
  • BTC-USD

    61.180,55
    +2.059,81 (+3,48%)
     
  • CMC Crypto 200

    1.483,14
    +63,77 (+4,49%)
     
  • S&P500

    4.583,24
    +31,56 (+0,69%)
     
  • DOW JONES

    35.638,87
    +148,18 (+0,42%)
     
  • FTSE

    7.249,47
    -3,80 (-0,05%)
     
  • HANG SENG

    25.555,73
    -73,01 (-0,28%)
     
  • NIKKEI

    28.820,09
    -278,15 (-0,96%)
     
  • NASDAQ

    15.704,75
    +117,50 (+0,75%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,5563
    +0,1316 (+2,05%)
     

Pesquisador revela novas falhas no iOS e critica Apple

·3 minuto de leitura

Provas de conceito de três vulnerabilidades críticas no iOS foram liberadas na noite desta quinta-feira (23), com o pesquisador responsável pela descoberta criticando a Apple e afirmando ter sido ignorado sobre os seus achados. As brechas, de caráteres diferentes, permitem acesso a dados e a visualização de aplicativos instalados no dispositivo, entre outras explorações, sendo que apenas uma quarta foi solucionada — mas sem os devidos créditos e pagamento para o especialista.

De acordo com ele, que se identifica apenas como "illusionofchaos" como forma de proteger a própria identidade, as quatro aberturas foram localizadas no começo deste ano e reportadas à fabricante entre março e maio. Entretanto, apenas uma delas foi corrigida, em julho, sem que a Apple citasse os devidos créditos e pagasse uma recompensa, de acordo com seu programa oficial de caça aos bugs. Ao pesquisador, a companhia alegou um erro e disse que faria a correção na atualização seguinte do iOS — o update já chegou, mas o pagamento, não.

A revelação das vulnerabilidades de dia zero (ou zero-day)— daquelas desconhecidas até mesmo para os desenvolvedores do sistema operacional, com prioridade alta de mitigação — segue os critérios de divulgação responsável, mas também serve de crítica. O especialista lamenta o tratamento dado pela Maçã à comunidade de segurança digital, com a empresa o ignorando em tentativas subsequentes de contato, não dando novos pareceres sobre a recompensa quanto à falha corrigida nem comentando sobre as outras.

A prova de conceito publicada foi validada por outros especialistas, com a principal delas, chamada de Gamed 0-day, podendo ser explorada até mesmo no iOS 15, que saiu nesta semana. A partir da brecha, um aplicativo malicioso poderia ter acesso não-autorizado a dados sensíveis do usuário, que normalmente estariam protegidos pelo sistema operacional. A exploração maliciosa permite o desvio de nomes completos e e-mails associados às contas da Apple, informações da lista de contatos (com direito a registro de comunicações, mas sem as mensagens em si) e tokens de autenticação que poderiam permitir o acesso a serviços da Apple.

Já as outras duas falhas zero-day permitiriam a um atacante, a partir de um app malicioso, visualizar que outras aplicações estão instaladas no dispositivo — permitindo assim a exploração de novas brechas, caso estejam disponíveis — ou a manipulação de dados trafegados pelas redes Wi-Fi. Enquanto não existem informações sobre golpes efetivos usando as aberturas, a publicação da prova de conceito faz com que o caminho até eles seja mais curto, sem que os usuários possam fazer algo a respeito já que, como dito, as vulnerabilidades seguem presentes até mesmo no iOS 15.

O relato do especialista não identificado se une a outras denúncias do tipo, que envolvem o não pagamento de recompensas, valores abaixo dos discriminados em materiais oficiais ou a correção de aberturas sem os devidos créditos. Sobre este caso específico, a Apple não se pronunciou, nem informou se está analisando as brechas — anteriormente, ela já afirmou valorizar a comunidade de segurança e trabalhar ao lado de pesquisadores na melhoria de seu ecossistema.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos