Todos os anos acontece na CanSecWest, no Canadá, um concurso chamado Pwn2Own, onde vários hackers lutam para encontrar falhas de segurança em vários sistemas operacionais, de computadores a smartphones. Neste ano, dois deles conseguiram driblar a proteção do iPhone em apenas 20 segundos.

O aparelho usado na demonstração foi um 3GS original, sem jailbreak. Os hackers Ralf-Philipp Weinmann e Vincenzo Iozzo se utilizaram de uma falha no Safari Mobile para invadir o aparelho e extrair o banco de dados com mensagens de SMS. Com isso, ganharam o prêmio de 15 mil dólares.

O hack acontece com o acesso a uma simples página internet com código malicioso. Sem que o usuário se dê conta, é feito o envio da lista completa de SMS para um servidor. Potencialmente, o mesmo método poderia ser usado para o roubo da lista de contatos, de fotos e até de arquivos de músicas.

Segundo as regras do concurso, os hackers não podem divulgar publicamente o método e a empresa afetada (no caso, a Apple) é comunicada da falha para que esta seja reparada.

No ano passado, o especialista em segurança Charlie Miller (conhecido na Pwn2Own por haver hackeado um MacBook Air em 2008) demostrou uma falha no SMS de vários smartphones (inclusive o iPhone) que permitia o acesso a algumas poucas funções do aparelho. A Apple consertou a falha rapidamente logo após o anúncio público de Miller.

Devo me preocupar com o atual problema de segurança no iPhone?

Ninguém precisa se preocupar com a atual falha encontrada. Não é vírus e não é uma ameaça pública, pois não foi divulgado o método. Além disso, o único risco que ele apresenta é o roubo da lista de SMS, que apesar de poder conter informações pessoais importantes, não compromete o restante do aparelho.

O que pode acontecer é isso pressionar a Apple a lançar uma nova atualização do iPhone OS. Resta saber se seria o 3.1.4, o 3.2 ou já o 4.0…

via