O estudo do jailbreak não serve apenas para desbloquear o iPhone ou para funções mais ilícitas, como piratear aplicativos. Serve também para encontrar brechas de segurança no sistema, usadas geralmente para “abrir” o sistema e permitir a “saída da prisão”. Mas quando representam um perigo geral para os usuários, os hackers engajados na comunidade alertam a Apple das possíveis complicações.
Foi o que aconteceu com o conhecido hacker Pod2g, que descobriu uma falha no sistema de SMS que possibilita o uso malicioso voltado ao roubo de informações.
Primeiro de tudo, não entremos em pânico. Isso não deixa seu aparelho vulnerável e se a “imprensa” começar a dizer que o iPhone agora tem vírus, ignore. A brecha é importante, mas só atinge a quem for menos atento.
As mensagens SMS são formadas por um conjunto de códigos enviados e recebidos pela antena do celular (e não pela rede 3G, como a internet móvel). Pod2g descobriu que neste conjunto de códigos, há um cabeçalho de dados que nunca é verificado pela maior parte das operadoras, onde consta o número de quem enviou a mensagem e um número de resposta; este último pode ser alterado pelo remetente, com ferramentas especiais, sem que a operadora confira se ele é real.
O problema é que o iOS usa justamente o número de resposta e não o enviado, para identificar as mensagens. Com isso, pessoas mal intencionadas poderiam enviar mensagens se fazendo passar por outro remetente, apenas alterando esta informação.
Por exemplo, um criminoso poderia tentar enviar para você uma mensagem se fazendo passar por seu banco, na tentativa de fazer você passar informações secretas, como senha e conta (o famoso phishing).
Ou seja, a brecha não permite invadir seu iPhone ou roubar dados contidos nele, mas deixa alguém induzir o usuário ao erro e ele mesmo transmitir as informações pessoais.
A falha é, de certa forma, grave e o hacker já informou a Apple a respeito, para que isso seja solucionado já no próximo iOS 6, a ser lançado provavelmente em setembro.
A dica de sempre é: nunca confie em mensagens (seja por SMS ou por email) que solicitem sua senha sem antes verificar com certeza a origem da mesma. Bancos, por exemplo, dificilmente pedem para que você altere sua senha por mensagem.