Google revela agora três vulnerabilidades no OS X, da Apple

Por Redação | 23.01.2015 às 16:20
photo_camera Apple Computer Inc.

Depois de suscitar críticas da Microsoft por suas regras rígidas com relação à publicação de falhas de segurança, o Google agora tem a Apple na mira. Nesta sexta-feira (23), o Project Zero, grupo de especialistas dedicados a encontrar brechas de segurança em sistemas operacionais e serviços, publicou três falhas de segurança no OS X, a plataforma que está em todos os computadores da marca.

Todas permitiriam um acesso privilegiado aos recursos do sistema, mesmo que o usuário em questão não tenha as credenciais necessárias para isso. A primeira está relacionada a versões do OS X que estejam ligadas em rede, e permitiriam que um usuário enviasse comandos arbitrários ao daemon do sistema, assumindo controle de todo ele sem verificações de segurança.

A segunda e a terceira estão relacionadas ao kernel do sistema operacional, permitindo a execução de códigos maliciosos localmente ou, então, alterações diretas na memória do equipamento. Nesse último caso, usuários maliciosos poderiam realizar ações que vão desde simplesmente travar o sistema até alterá-lo para a execução de códigos externos ou, então, acessar os dados pessoais e informações privadas do utilizador.

Nos três casos, a revelação foi feita pois a Apple não respeitou a regra básica do Project Zero. Uma vez que as empresas afetadas são informadas pelo Google, elas têm 90 dias para liberar uma solução, caso contrário, as vulnerabilidades são liberadas ao público como forma de forçar a companhia a tomar uma ação mais rápida, já que seus usuários, agora, estão desprotegidos.

Foi justamente essa política que causou problemas com a Microsoft, há alguns dias. A desenvolvedora do Windows disse ter pedido ao Google que segurasse a revelação da falha, já que a atualização para o sistema operacional seria liberada um dia depois do vencimento do prazo de 90 dias do Project Zero. A empresa ignorou os pedidos e revelou os problemas assim mesmo, deixando os usuários vulneráveis por pelo menos 24 horas – ou indefinidamente, no caso daqueles que não costumam realizar os updates.

Oficialmente, por enquanto, a Apple não se pronunciou sobre isso nem confirmou – ou negou – as falhas encontradas no OS X. A política da empresa é de não comentar sobre falhas de segurança nem falar em possíveis patches que venham a corrigir problemas desse tipo, justamente como forma de evitar que hackers e outros indivíduos maliciosos façam uso das brechas.

Bullying tecnológico

Quem comentou, porém, foi o especialista em segurança Graham Cluley, que até o ano passado, trabalhava na Sophos. Falando ao site IT News, ele engrossou o coro da Microsoft afirmando que o Google age como um “garoto colegial” com suas normas de revelação de brechas, e afirmou que é hora de a empresa crescer.

Segundo ele, o próprio sistema operacional Android, que é de propriedade da companhia, também está repleto de vulnerabilidades, mas, ao contrário das companhias rivais, o Google não revela publicamente tais falhas caso elas passem mais de 90 dias sem serem resolvidas. Para Cluley, o Project Zero não tem necessariamente a segurança dos usuários de internet em mente, e sim, pensa também na proteção dos próprios negócios, atacando sistemas rivais e taxando-os de inseguros enquanto mantém as brechas que acontecem “dentro de casa” para si.

Como aconteceu no caso da Microsoft, o Google também não se pronunciou sobre as críticas. Oficialmente, a regra principal do Project Zero continua inalterada.