Falha na app de email da Apple permite a atacantes ler e apagar mensagens

O problema existe desde 2012, mas a Apple apenas o descobriu no mês passado. A correcção será feita na próxima actualização do iOS e iPadOS.

,iCloud
Foto
Hé registo de pelo menos seis pessoas atacadas através desta vulnerabilidade Reuters/ALY SONG

Uma falha escondida no sistema operativo da Apple deixou a aplicação de email que vem pré-instalada no iPhone e no iPad vulnerável durante anos, permitindo a criminosos instalar programas maliciosos nos aparelhos ou ler, modificar e apagar emails sem deixar rasto. A Apple, no entanto, diz que não encontrou evidências de ataques a clientes.

O problema foi detectado em Março deste ano pela ZecOps, uma empresa de segurança informática com sede em São Francisco (EUA), que estava a investigar as origens de um ciberataque contra um dos seus clientes em 2019. A equipa acredita que mais do que uma pessoa terá sido vítima do problema que existe desde 2012.

Para desencadear o ataque, os criminosos enviam mensagens personalizadas, aparentemente vazios, que sobrecarregam a memória do dispositivo, obrigando o email da Apple a reiniciar. Durante esse período, a aplicação fica desprotegida das barreiras de segurança que habitualmente impedem os atacantes de enviar ficheiros maliciosos e aceder a informação no dispositivo. A vítima não precisa de descarregar qualquer ficheiro, ou carregar em qualquer tipo de hiperligação.

A Apple admite a existência da vulnerabilidade e diz que a próxima actualização ao sistema operativo irá corrigir o problema — a versão beta do iOS 13.4.5 já inclui a correcção e deverá estar disponível em breve. “Analisámos minuciosamente o relatório  [da ZecOps]e, com base nas informações fornecidas, concluímos que os problemas não representam um risco imediato para os nossos clientes”, lê-se num email da empresa em resposta a perguntas do PÚBLICO. 

A Apple explica que os problemas encontrados “não são suficientes para ultrapassar as protecções de segurança do iPhone e do iPad” e que não há indícios que tenham sido usados para atacar clientes da marca.

A ZecOps reconhece que a falha “por si só não pode causar danos aos utilizadores de iOS” uma vez que os invasores precisariam de explorar outras falhas para obter controlo total do dispositivo. A falha do email funciona apenas como porta de entrada. 

Ainda assim, a equipa optou por divulgar o problema antes de haver uma correcção definitiva para que as pessoas possam utilizar outro sistema de email (como o Outlook ou o Gmail) até à Apple resolver o problema. “Com dados muito limitados, já vimos pelo menos seis organizações afectadas pela vulnerabilidade”, lê-se numa página de perguntas e respostas da ZecOps sobre o problema. “É a nossa obrigação para com o público, clientes, parceiros e utilizadores iOS globais revelar estes problemas para que as pessoas se possam proteger ao instalar a versão beta da aplicação, ou ao parar temporariamente de usar a aplicação de email da Apple.”

Suspeitas de ataque a executivos de topo

“Acreditamos que estes ataques estão associados a pelo menos um serviço de ataques de um Estado-nação”, avança a equipa que não identificou qualquer país. Até ao momento há suspeitas que tenham ocorrido, pelo menos, seis ataques com sucesso a executivos e pessoas que ocupam cargos de topo: desde membros de uma das 500 maiores empresas dos EUA (incluída no ranking Fortune 500), um empresário de uma empresa de telecomunicações no Japão, serviços de segurança na Arábia Saudita e Israel e um jornalista na Europa. O número só não é maior porque a falha da Apple só permite atacar um dispositivo de cada vez. O problema existe desde a versão 6.0 do sistema operativo da Apple que foi lançado em 2012 com o iPhone 5.

“Além de uma lentidão temporária na aplicação móvel, os utilizadores não seriam capazes de detectar qualquer comportamento anómalo”, explica a equipa da ZecOps.

Em teoria, como um ataque bem-sucedido permite ao atacante apagar emails, é possível apagar o email enviado para iniciar a intrusão, eliminando o rasto.

No começo de Abril, a Apple — que durante anos foi vista como uma empresa imune a ciberataques — admitiu sete vulnerabilidades no sistema de segurança do navegador Safari. Algumas permitiam aceder remotamente às câmaras, microfones e ecrãs de telemóveis e computadores da marca norte-americana.

Actualizado 24/04: Acrescentada resposta da Apple.

Sugerir correcção