Se você possui um dispositivo Apple, deve ter notado uma notificação de atualização não programada hoje. Você pode querer realizar essas atualizações o mais rápido possível. Os patches são para iOS, watchOS e macOS e corrigem uma grande falha de segurança Zero-Click, que tem sido explorada ativamente desde fevereiro para instalar o spyware Pegasus em dispositivos sem a intervenção do usuário.
Na segunda-feira, a Apple lançou atualizações de emergência para iOS, watchOS e macOS. Os patches de segurança foram lançados em resposta a uma exploração massiva que permitiu que os sistemas operacionais fossem infectados com spyware sem a interação do usuário.
Pesquisadores de segurança do Citizen Lab da Universidade de Toronto divulgaram a vulnerabilidade apelidada de “ForcedEntry” para a Apple na última terça-feira. O grupo descobriu a falha de segurança (CVE-2021-30860) enquanto analisava o iPhone de um ativista saudita.
O exploit zero-click
O “exploit zero-click” aproveita uma fraqueza do iMessages que chama a biblioteca de renderização de imagens da Apple e pode infectar o dispositivo sem qualquer intervenção do usuário.
Os pesquisadores descobriram que a vulnerabilidade é inerente a todos os três sistemas operacionais da Apple – iOS, watchOS e macOS.
O spyware usado é o polêmico aplicativo Pegasus, desenvolvido pelo NSO Group em Israel. O Citizen Lab diz acreditar que o exploit está em uso desde fevereiro, mas não tem ideia de quantos dispositivos podem estar infectados com o spyware.
Pegasus é um software particularmente traiçoeiro, pois pode fazer tudo, desde ligar a câmera e o microfone até acessar as configurações do dispositivo.
“Este spyware pode fazer tudo o que um usuário de iPhone pode fazer em seu dispositivo e muito mais”, disse John Scott-Railton, pesquisador sênior do Citizen Lab, ao The New York Times.
O co-pesquisador Bill Marczak acrescentou, “a indústria de spyware comercial está ficando mais sombria”.
O Grupo NSO afirma que só vende seu spyware para agências governamentais de aplicação da lei de acordo com as leis e regulamentos regionais. No entanto, o software ativou dispositivos de indivíduos não criminosos, incluindo diplomatas, ativistas e jornalistas.
Além disso, a polícia estadual da Alemanha foi duramente criticada na semana passada por comprar e empregar secretamente a Pegasus para espionar terroristas e membros do crime organizado.
Desde que soube do exploit na última terça-feira, os engenheiros da Apple estão lutando para encontrar uma solução e lançaram uma hoje. A Scott-Railton recomenda aos proprietários de qualquer dispositivo Apple que atualizem o sistema operacional o mais rápido possível.
Se você estiver interessado em todos os detalhes da vulnerabilidade Zero-Click, o Citizen Lab postou um artigo em seu site. A Apple também tem notas de patch listadas em suas páginas de suporte.
