Apple corrige brecha do iOS usada por app espião em aparelhos antigos
Por Dácio Castelo Branco | Editado por Claudio Yuge | 24 de Setembro de 2021 às 17h20
Nesta última quinta (23), a Apple disponibilizou novas atualizações para versões anteriores do iOS e do macOS, corrigindo a falha de dia zero (falha crítica até então desconhecida) possivelmente utilizada pelo spyware Pegasus.
- Apple corrige brecha do iOS usada por app espião; atualize já
- Apple é processada por violar privacidade em falha da Siri
- O que mudou no iOS 15: primeiras impressões
A vulnerabilidade, descoberta por pesquisadores do Citizen Lab, aproveitava-se de uma falha no app iMessage para poder invadir e instalar forçadamente aplicativos nos dispositivos da Apple. O defeito era alarmante por estar disponível em todas as versões do iOS, até a mais recente, o 14.6, quebrando as novas medidas de segurança da Apple introduzidas nessa atualização, chamadas de Blastdoor. Citizen Lab, por conta disso, nomeou a falha como ForcedEntry (entrada forçada, em tradução livre).
A Apple já havia lançado uma atualização para os usuários dos aparelhos mais recentes da marca no dia 13 de setembro, a partir da versão 14.8 do iOS e do iPadOS. Porém, como se trata de uma vulnerabilidade dia zero, ou seja, disponível nos sistemas desde suas primeiras versões, usuários de dispositivos mais antigos da marca da maça ainda estavam sem proteção.
Porém, nesta quinta, a empresa fundada por Steve Jobs disponibilizou a atualização 12.5.5 do iOS, corrigindo a falha que permitia a execução de código arbitrário nos aparelhos mais antigos.
Os aparelhos que podem ser atualizados com essa nova versão são os seguintes:
- iPhone 5s;
- iPhone 6;
- iPhone 6 Plus;
- iPad Air;
- iPad mini 2;
- iPad mini 3;
- iPod touch de sexta geração.
Nesses dispositivos, a atualização pode ser aplicada a partir do aplicativo de configurações do iOS, clicando na opção "Geral" e por fim escolhendo "Atualização de Software".
Já no caso dos computadores Mac, o macOS Catalina recebeu novas atualizações de segurança, que também corrigem a mesma falha. Todas as máquinas que tenham o Catalina como última versão compatível do sistema operacional podem aplicar as correções de segurança.
A atualização do macOS Catalina pode ser aplicada com o usuário indo até o menu Apple no sistema, clicando na opção "Visão Geral" e, por fim, "Atualização de software".
Histórico da falha
A falha foi reportada pela primeira vez em agosto por integrantes do Citizen Lab, quando o laboratório estava investigando qual vulnerabilidade de dia zero foi usada para instalar o aplicativo de espionagem Pegasus no celular de um ativista de Barém. Citizen Lab acredita que a falha foi descoberta e explorada pelo próprio NSO Group, alegando como evidência que antes do caso envolvendo o app Pegasus, a vulnerabilidade nunca tinha se tornado pública.
O aplicativo Pegasus, desenvolvido pelo NSO group, uma firma israelita, quando instalado em um aparelho, permite que o governo de Israel tenha acesso quase completo ao dispositivo, incluindo fotos, mensagens e dados pessoais.
A falha afetava todos os dispositivos da Apple disponíveis no mercado. As informações sobre a vulnerabilidade foram comunicados para a gigante da tecnologia em 7 de setembro, com a empresa no dia 13 lançando a atualização que arrumava o bug para os aparelhos mais atuais da marca.
Agora, com a atualização para aparelhos mais antigos, mais usuários estão protegidos da falha.
O site oficial da Apple conta com mais detalhes sobre a atualização 12.5.5 do iOS e sobre as correções de segurança do macOS Catalina.
Fonte: Apple Insider, 9to5mac