Ben
Hawkes, da equipe do Project Zero, da Google, alertou
sobre duas vulnerabilidades sérias do iOS, chamadas de
“zero-day”. Vulnerabilidades de softwares são chamadas assim quando já estão
sendo exploradas por apps maliciosos antes de receberem uma correção.
E foi exatamente o caso destas duas, descobertas pelo Project
Zero e relatadas no Twitter (imagem abaixo). Embora o iOS não seja um sistema
de código aberto, procurar brechas de segurança desta natureza é a missão da
equipe do projeto, que percebeu que as falhas CVE-2019-7286 e CVE-2019-7287 já
tinham sido usadas contra os usuários.
321 pessoas estão falando sobre isso
Felizmente,
a Apple conseguiu corrigir as falhas antes do lançamento do iOS 12.1.4 ser
lançado, e é bem provável que já tenha removido quaisquer apps que tenham se
aproveitado delas, que inclusive, afetavam áreas essenciais do sistema
operacional.
O CVE-2019-7286 afetava o iOS Foundation Framework. A corrupção
de memória no framework dá acesso, para determinado app, a dados privados do
usuário, por meio da obtenção ilegal de privilégios elevados. Já o
CVE-2019-7287 impactava o módulo I/O Kit, que lida com fluxos de dados de
entrada e saída entre o hardware e o software. O vazamento de memória neste
espaço dá acesso com privilégios de kernel a um app, que poderia executar
qualquer ação no smartphone, como se fosse o próprio dono do aparelho.
Para os usuários que possuem aparelhos compatíveis com a
atualização, é de extrema importância que a realizem o quanto antes. Ela também
corrige o bug do FaceTime que fazia algumas chamadas serem aceitas mesmo que o
contato não as tivessem atendido.
Naturalmente, o iOS tende a ser uma plataforma mais segura que o
Android, pela forma rigorosa como sua loja de apps é administrada, enquanto o
Android é compatível com lojas de aplicativos de terceiros. No entanto, o
alerta do Project Zero foi de suma importância para que a Apple tomasse
conhecimento sobre essas falhas reportadas pela Google. A comunidade
tecnológica agradece!
Fonte: EXTREME TECH
Nenhum comentário:
Postar um comentário