Pesquisadores do Project Zero do Google, encarregado de caçar bugs em softwares, descobriram vários ataques ao iOS.
ZDNet tem o relatório esta semana. Alguns membros do Project Zero foram capazes de identificar seis falhas de segurança relacionadas ao iOS. Cinco dos seis já têm código de prova de conceito publicado, além de demos sobre como eles funcionam. Especificamente, os pesquisadores observam que essas explorações podem ser tratadas através do cliente iMessage.
No entanto, a boa notícia é que todas as seis explorações já foram corrigidas com o lançamento público do iOS 12.4. Portanto, embora esses últimos problemas de segurança já tenham sido corrigidos, reduzindo significativamente sua eficácia, é um lembrete de que manter-se atualizado com o software que você usa todos os dias é de vital importância.
Vale a pena notar que um dos erros nesse caso ainda está sendo mantido em sigilo (pelo menos por enquanto), porque enquanto o iOS 12.4 corrigiu todos os seis, um dos ônibus não foi completamente resolvido, pelo menos de acordo com Natalie Silvanovich, um dos pesquisadores que descobriram os bugs. Samuel Groß é o outro pesquisador que descobriu os bugs.
Segundo o pesquisador, quatro dos seis erros de segurança podem levar à execução de código malicioso em um dispositivo iOS remoto, sem a necessidade de interação do usuário. Tudo o que um invasor precisa fazer é enviar uma mensagem malformada para o telefone da vítima, e o código malicioso será executado assim que o usuário abrir e exibir o item recebido.
Os quatro erros são CVE-2019-8641 (detalhes mantidos em sigilo), CVE-2019-8647, CVE-2019-8660 e CVE-2019-8662. Os relatórios de erros vinculados contêm detalhes técnicos sobre cada erro, mas também código de prova de conceito que pode ser usado para criar explorações.
Os quinto e sexto erros, CVE-2019-8624 e CVE-2019-8646, podem permitir que um invasor vaze dados da memória de um dispositivo e leia arquivos de um dispositivo remoto, também sem interação do usuário.
A caça a insetos pode levar a pagamentos lucrativos. Conforme apontado no relatório original, esses tipos de vulnerabilidades podem gerar mais de US $ 1 milhão para o pesquisador. Como tal, é provável que esse conjunto de problemas de segurança tenha gerado mais de US $ 5 milhões, mas também poderia ter sido avaliado em até US $ 24 milhões, considerando que eles trabalharam nas versões recentes do iOS.
Basicamente, certifique-se de atualizar para o iOS 12.4 assim que possível, se ainda não o fez.
