Existem diversos grupos de segurança que ficam constantemente testando falhas em sistemas, sites e dispositivos, para tentar encontrar brechas que possam comprometer os usuários. Geralmente são grupos do bem (hackers, na melhor definição da palavra), cujo único objetivo é o de alertar as empresas quando perigos acontecem.
Um desses grupos é coordenado pelo Google com o nome de TAG (sigla para Grupo de Análises de Ameaças). E eles descobriram no início deste ano uma vulnerabilidade do iOS que permitia um iPhone ser invadido apenas ao visitar um site.
Segundo as informações contidas no site do Project Zero, um pequeno número de sites usava um código malicioso que explorava a vulnerabilidade.
Ainda segundo o texto, estes sites eram específicos de certas comunidades, com o objetivo claro de ter acesso aos dados dos usuários. Em nenhum momento o Google cita estas comunidades, que podem ser, por exemplo, grupos de usuários chineses.
Como a falha funcionava
A falha era realmente grave. Bastava simplesmente visitar certa URL para que o aparelho do usuário pudesse ser invadido em camadas profundas, podendo-se obter acesso à fotos, mensagens do WhatsApp e outros dados.
A invasão funcionava até o usuário reiniciar o iPhone, que fazia com que a memória RAM fosse limpa e eliminasse a possibilidade de acesso.
O levantamento da pesquisa aponta que a falha vinha desde o iOS 10 e durou cerca de 2 anos.
O fim da vulnerabilidade
Respeitando as diretrizes do projeto, o TAG informou à Apple sobre a falha no início de fevereiro deste ano, e a consertou 6 dias depois, com a atualização do iOS 12.1.4.
Por isso é sempre importante atualizar o iOS, mesmo quando ele aparentemente não apresenta novidades. Em muitos casos há o conserto de falhas que, por segurança, não são divulgadas.
Imagine o quão feliz o Google não deve ficar ao anunciar uma falha do seu grande sistema operacional concorrente. Por isso, é sempre importante lembrarmos que podem existir detalhes que não foram ditos.
Apesar da grande ênfase que o Google deu à falha acontecer ao iOS (e que é bem grave, vale ressaltar), ele omite dizer se havia outros sistemas também afetados nos mesmos sites. Também não fica explícito quantas pessoas podem ter sido vítimas (se é que realmente foram) e em quais comunidades isso aconteceu.
Mas independente da grama do vizinho, o que nos interessa é saber que havia uma grave falha no iOS, pois isso nos atinge diretamente. E é muito bom saber que a Apple foi rápida em consertá-la depois que ficou sabendo, apesar de ter deixado passar 2 anos sem perceber essa vulnerabilidade.
Sempre dissemos aqui: o iOS é um dos sistemas mais seguros que existe, mas não existe no mundo nenhum sistema operacional impenetrável. Falhas irão aparecer de tempos em tempos e sempre haverá quem irá tentar se aproveitar delas.
O ideal é sempre estarmos atentos e evitar visitar sites estranhos ou suspeitos.
