Ben Hawkes, da equipe do Project Zero, da Google, alertou sobre duas vulnerabilidades sérias do iOS, chamadas de “zero-day”. Vulnerabilidades de softwares são chamadas assim quando já estão sendo exploradas por apps maliciosos antes de receberem uma correção.
E foi exatamente o caso destas duas, descobertas pelo Project Zero e relatadas no Twitter (imagem abaixo). Embora o iOS não seja um sistema de código aberto, procurar brechas de segurança desta natureza é a missão da equipe do projeto, que percebeu que as falhas CVE-2019-7286 e CVE-2019-7287 já tinham sido usadas contra os usuários.
CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.
— Ben Hawkes (@benhawkes) 7 de fevereiro de 2019
Felizmente, a Apple conseguiu corrigir as falhas antes do lançamento do iOS 12.1.4 ser lançado, e é bem provável que já tenha removido quaisquer apps que tenham se aproveitado delas, que inclusive, afetavam áreas essenciais do sistema operacional.
O CVE-2019-7286 afetava o iOS Foundation Framework. A corrupção de memória no framework dá acesso, para determinado app, a dados privados do usuário, por meio da obtenção ilegal de privilégios elevados. Já o CVE-2019-7287 impactava o módulo I/O Kit, que lida com fluxos de dados de entrada e saída entre o hardware e o software. O vazamento de memória neste espaço dá acesso com privilégios de kernel a um app, que poderia executar qualquer ação no smartphone, como se fosse o próprio dono do aparelho.
Para os usuários que possuem aparelhos compatíveis com a atualização, é de extrema importância que a realizem o quanto antes. Ela também corrige o bug do FaceTime que fazia algumas chamadas serem aceitas mesmo que o contato não as tivessem atendido.
Naturalmente, o iOS tende a ser uma plataforma mais segura que o Android, pela forma rigorosa como sua loja de apps é administrada, enquanto o Android é compatível com lojas de aplicativos de terceiros. No entanto, o alerta do Project Zero foi de suma importância para que a Apple tomasse conhecimento sobre essas falhas reportadas pela Google. A comunidade tecnológica agradece!
Fontes