O iPhone 13 pode estar pronto para ser lançado amanhã, mas a Apple está trabalhando rapidamente para corrigir uma grande vulnerabilidade em seus dispositivos com uma nova atualização para iOS 14.8, iPad 14.8 e watchOS 7.6.2, nenhum dos quais recebeu um período de teste beta primeiro. Embora nenhum contenha os principais recursos que você pode esperar antes do evento “California Streaming” de amanhã, essas são atualizações de segurança importantes, pois contém correções para duas vulnerabilidades do sistema.
O potencialmente mais sério é o Pegasus, que é um spyware invasivo descoberto pelo grupo NSO de Israel. Este exploit de “clique zero” não requer entrada do usuário de um telefone para entrar em vigor e estava sendo usado especificamente contra ativistas no Bahrein, incluindo membros do Centro de Direitos Humanos do Bahrain. Ao derrotar o sistema de segurança BlastDoor da Apple, o exploit ForcedEntry foi capaz de instalar o conjunto de spyware Pegasus para fins de vigilância.
De acordo com o New York Times, o spyware é capaz de infectar uma ampla gama de dispositivos Apple. Uma vez infectado, ele pode ligar a câmera e o microfone do seu dispositivo, gravar mensagens e acessar textos, e-mails e chamadas, mesmo aqueles criptografados.
A segunda vulnerabilidade permite que os invasores contornem o BlastDoor, que foi implementado em janeiro para colocar uma linha de defesa entre o aplicativo Mensagens e o resto do iOS.
As mensagens têm sido tradicionalmente o elo mais fraco na segurança dos dispositivos iOS, já que a Apple não fez um bom trabalho ao limpar os dados recebidos de outros usuários; em seu ponto mais baixo, era possível para um mau ator assumir o controle do iPhone de outra pessoa enviando uma mensagem de texto ou foto específica. O BlastDoor funciona filtrando o código inválido recebido.
De acordo com notas de patch oficiais, as novas atualizações afetam o CoreGraphics e o WebKit e corrigem problemas que afetam o “processamento de PDFs criados com códigos maliciosos” e conteúdo da web. Essas questões, de acordo com as políticas caracteristicamente vagas da Apple, “podem ter sido exploradas ativamente”.
Isso segue a história que se espalhou em julho e agosto sobre um novo hack, que os pesquisadores da Universidade de Toronto no Citizen Lab chamaram de “ForcedEntry”, que foi capaz de derrotar o BlastDoor.
É significativo aqui que a nova atualização da Apple chegue um dia antes de seu evento “California Streaming” revelando o iPhone 13 e outros dispositivos, e um pouco antes do lançamento esperado do iOS 15. A atualização de segunda-feira poderia, portanto, ser a última para o iOS 14, e chega em um momento em que, de outra forma, seria fácil perder. É um reflexo da importância da atualização que a Apple lançou, ao invés de simplesmente chutar a lata pela estrada e deixar que seja consertado com o lançamento do iOS 15.
Todas as três atualizações estão disponíveis remotamente no momento da escrita e substituem iOS 14.7.1, iPadOS 14.7.1 e WatchOS 7.6.1.
Recomendações dos editores