Uma equipa da startup de segurança informática ZecOps refere numa publicação no seu blogue que detetou casos de envio de e-mails ‘armadilhados’ que não requerem qualquer intervenção do utilizador, somente que abram a mensagem, para os sistemas serem infetados com código malicioso. O esquema sofisticado pode estar em prática já desde 2018, ou mesmo antes, admitem os especialistas, e explora uma falha que existe desde o iOS 6, lançado em 2012. Os atacantes parecem estar a tirar partido desta falha com uma outra que permite controlar o smartphone ou tablet.
Os investigadores da empresa de segurança recomendam que seja encontrada uma solução, que passa por uma atualização de software, o mais rapidamente possível. “Com dados muito limitados, pudemos detetar que pelo menos seis organizações foram afetadas por esta vulnerabilidade – e o âmbito para o abuso é enorme”, escreve a ZecOps, detalhando depois que entre as vítimas encontrou funcionários de uma empresa do ranking Fortune 500, um executivo de uma operadora de telecomunicações no Japão, uma celebridade da Alemanha, fornecedores de serviços da Arábia Saudita e Israel, e um jornalista na Europa. A exploração da falha permite aos hackers, em primeiro lugar, aceder à caixa de correio eletrónico da vítima. Em segunda instância, se combinada com outra vulnerabilidade, permite mesmo tomar conta do dispositivo, explica a publicação ArsTechnica.
A Apple parece ter tomado conta da situação e testado a correção na versão beta do iOS 13.4.5, mas ainda não a terá disponibilizado para o público em geral.
Parte dos sistemas de segurança passam por proteger e tornar a alocação de memória aleatória para que os piratas não consigam saber a localização do código. Os hackers só conseguem ultrapassar esta defesa se explorarem uma outra vulnerabilidade que lhes revele a localização da memória.
Para concretizar os ataques, os hackers só precisam de enviar mensagens de e-mail de tamanho médio, com documentos RTF ou outros conteúdos, capazes de consumir RAM suficiente para explorar a vulnerabilidade. Vítimas com iOS 13 não se apercebem de que estão sob ataque, enquanto com iOS 12 apenas vêem uma mensagem que diz que a mensagem não tem conteúdo para mostrar.
Os vestígios de ataques detetados mostram que estes são altamente direcionados, mas a ZecOps não adiantou qualquer pista sobre a identidade dos atacantes, apontando para a possibilidade de estarem a soldo de um país ou de se tratarem de hackers que alugam os seus serviços a quem lhes queira pagar.
Os utilizadores de iPhone e iPad podem atualizar para a versão beta mais recente do sistema operativo ou deixar de usar o cliente de email da Apple, optando por Gmail ou Outlook como alternativa, para se defenderem.
