Em 12 de setembro, 2018, a foto do arquivo mostra um Apple iPhone XR em exibição no Steve Jobs Theatre após um evento para anunciar novos produtos, em Cupertino, Califórnia. Suspeitos de hackers de estado-nação usaram sites carregados de malware para infectar iPhones com spyware, no que os pesquisadores de segurança estão chamando de a pior falha geral de segurança já afetando os dispositivos da Apple. Anunciado na quinta-feira, 29 de agosto 2019, por pesquisadores do Google, as vulnerabilidades foram discretamente corrigidas pela Apple em fevereiro, mas somente depois que milhares de usuários do iPhone foram considerados expostos ao longo de mais de dois anos. (AP Photo / Marcio Jose Sanchez, Arquivo)
Pesquisadores afirmam que suspeitos de hackers em um Estado-nação infectaram iPhones da Apple com spyware ao longo de dois anos, no que os especialistas em segurança chamaram na sexta-feira de uma falha alarmante de segurança para uma empresa cujo cartão de visita é a privacidade.
Uma mera visita a um de um pequeno número de sites contaminados pode infectar um iPhone com um implante capaz de enviar mensagens de texto do proprietário do smartphone, o email, fotos e dados de localização em tempo real para os ciberespiões por trás da operação.
"Este é definitivamente o incidente de hackeamento de iPhone mais sério que já foi trazido à atenção do público, tanto por causa do direcionamento indiscriminado quanto pela quantidade de dados comprometida pelo implante, "disse o ex-hacker do governo dos EUA Jake Williams, o presidente da Rendition Security.
Anunciado na noite de quinta-feira por pesquisadores do Google, a última das vulnerabilidades foi discretamente corrigida pela Apple em fevereiro, mas somente depois que milhares de usuários do iPhone foram considerados expostos por mais de dois anos.
Os pesquisadores não identificaram os sites usados para espalhar o spyware ou sua localização. Eles também não disseram quem estava por trás da ciberespionagem ou que população era o alvo, mas especialistas dizem que a operação tem as características de um esforço de um Estado-nação.
Williams disse que o implante de spyware não foi escrito para transmitir dados roubados com segurança, indicando que os hackers não estavam preocupados em serem pegos. Isso sugere que um estado autoritário estava por trás disso. Ele especulou que provavelmente foi usado para visar dissidentes políticos.
Os dados confidenciais acessados pelo spyware incluem o WhatsApp, mensagens de texto iMessage e Telegram, Gmail, fotos, contatos e localização em tempo real - basicamente todos os bancos de dados do telefone da vítima. Embora os aplicativos de mensagens possam criptografar dados em trânsito, ele pode ser lido em repouso em iPhones.
O pesquisador do Google Ian Beer disse em um blog postado na noite de quinta-feira que a descoberta deve dissipar qualquer noção de que custa um milhão de dólares hackear um iPhone com sucesso. Essa é uma referência ao caso de um dissidente dos Emirados Árabes Unidos cujo iPhone foi infectado em 2016 com os chamados exploits de dia zero, que são conhecidos por atingir preços tão altos.
"Dia zero" refere-se ao fato de que tais explorações são desconhecidas dos desenvolvedores do software afetado, e, portanto, eles não tiveram tempo para desenvolver patches para consertá-lo.
A descoberta, envolvendo 14 dessas vulnerabilidades, foi feito por pesquisadores do Google no Projeto Zero, que caça as falhas de segurança no software e firmware do microprocessador, independente de seu fabricante, que criminosos, hackers patrocinados pelo estado e agências de inteligência usam.
"Isso deve servir como um alerta para as pessoas, "disse Will Strafach, um especialista em segurança móvel com Sudo Security. "Qualquer pessoa em qualquer plataforma pode ser potencialmente infectada com malware."
Beer disse que sua equipe estimou que os sites infectados usados nos "ataques indiscriminados de watering hole" recebem milhares de visitantes por semana. Ele disse que a equipe coletou cinco cadeias separadas de exploits cobrindo o sistema iOS da Apple desde a versão 10, lançado em 2016.
A Apple não respondeu aos pedidos de comentário sobre por que não detectou as vulnerabilidades por conta própria e se pode garantir aos usuários que um ataque geral não poderia acontecer novamente. A garantia de privacidade é fundamental para a marca Apple.
Nem o Google nem Beer responderam a perguntas sobre os invasores ou alvos, embora Beer tenha fornecido uma dica em sua postagem no blog:"Ser alvo pode significar simplesmente nascer em uma determinada região geográfica ou fazer parte de um determinado grupo étnico."
O gerente de segurança Matt Lourens da Check Point Software Technologies considerou o desenvolvimento uma virada de jogo alarmante. Ele disse que, embora os proprietários de iPhone anteriormente comprometidos por zero dias fossem alvos de alto valor, agora foi demonstrado que uma propagação mais ampla de spyware a um custo por infecção mais baixo.
"Isso deve mudar totalmente a forma como as empresas veem o uso de dispositivos móveis para aplicativos corporativos, e o risco de segurança que apresenta ao indivíduo e / ou organização, "Lourens disse em um e-mail.
Em sua postagem no blog, Beer, pesquisadora do Google, alertou que a segurança digital absoluta não pode ser garantida.
Os usuários de smartphones devem, em última análise, "estar cientes do fato de que a exploração em massa ainda existe e se comportar de acordo"; ele escreveu, "tratando seus dispositivos móveis como parte integrante de suas vidas modernas, mas também como dispositivos que, quando comprometidos, pode carregar todas as suas ações em um banco de dados para ser potencialmente usado contra eles. "
© 2019 Associated Press. Todos os direitos reservados.