Nova falha no iPhone burla proteções do iOS e permite a vigilância de ativistas
Por Felipe Gugelmin | Editado por Claudio Yuge | 24 de Agosto de 2021 às 20h30
Responsável pelo desenvolvimento da ferramenta Pegasus, que chamou a atenção em julho deste ano após revelações de que ela foi usada para espionar ativistas e jornalistas em 45 países, a NSO Group continua fornecendo recursos para invadir o iPhone. Segundo a Citizen Lab, a empresa está explorando uma nova brecha zero clique do iMessage para derrotar as proteções de segurança mais recentes criadas pela Apple.
- Após app espião Pegasus, Apple tem segurança e transparência do iOS questionadas
- Pegasus: app espião foi usado contra ativistas e jornalistas de 45 países
- Caso Pegasus: nova ferramenta pode detectar se o seu sistema sofreu invasão
O aspecto que mais preocupa sobre a nova vulnerabilidade é que ela em nenhum momento precisa da autorização ou interação do alvo para ser explorada. A denúncia partiu de um ativista dos direitos humanos que atua no Bahrerin, que teve seu dispositivo invadido no começo de fevereiro.
Além de mostrar que o NSO Group continua fornecendo a governos ferramentas usadas para espionar e intimidar críticos, a ameaça demonstra que a empresa está acompanhando de perto os avanços tecnológicos. A brecha pode ser usada para invadir tanto o iOS 14.4 quanto o iOS 14.6 e despista até mesmo o BlastDoor, software criado pela Apple para filtrar mensagens maliciosas que chegam ao iMessage — com isso, a nova vulnerabilidade passou a ser chamada de ForcedEntry.
Apple diz que trabalha em melhorias de segurança
Em um comunicado enviado ao TechCrunch, a Apple afirmou que trabalha continuamente para combater problemas de proteção. O chefe de engenharia de segurança e arquitetura Ivan Krstic também observou que ataques como o descrito são sofisticados, custosos e geralmente têm um tempo de duração curto e alvos muito específicos, o que significa que a maioria das pessoas não será vítima deles.
A empresa também afirmou que o iOS 15 traz proteções complementares ao BlastDoor, mas não divulgou se já corrigiu as brechas que permitiram que as ferramentas da NSO fossem usadas. Segundo o Citizen Lab, o governo de Bahrein é o responsável pela invasão ao dispositivo do ativista, bem como pela violação da privacidade de oito outras pessoas entre junho de 2020 e fevereiro deste ano — destes, 5 foram listados pelo Pegasus Project, que investiga as vítimas do software espião.
Consultado, o NSO Group manteve sua posição de não responder a perguntas específicas ou confirmar se o governo local está entre seus clientes. No entanto, um porta-voz afirmou que a empresa não estava ciente das descobertas e que vai “investigar vigorosamente as alegações e agir de acordo com as conclusões”. Já o governo do Bahrein afirmou ao TechCrunch que as acusações são falsas e que as autoridades locais estão comprometidas em manter os direitos e liberdades individuais de seus cidadãos.
Fonte: TechCrunch, Citizen Lab