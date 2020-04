Uma falha escondida no sistema operativo da Apple deixou o serviço de email que vem pré-instalado no iPhone e no iPad vulnerável durante anos, permitindo a criminosos instalar programas maliciosos nos aparelhos ou ler, modificar e apagar emails sem deixar rasto.

O problema foi detectado em Março deste ano pela ZecOps, uma empresa de segurança informática com sede em São Francisco (EUA), que estava a investigar as origens de um ciberataque contra um dos seus clientes em 2019. Mais do que uma pessoa terá sido vítima do problema que existe desde 2012.

Para desencadear o ataque, os criminosos enviam mensagens personalizadas, aparentemente vazios, que sobrecarregam a memória do dispositivo, obrigando o email da Apple a reiniciar. Durante esse período, a aplicação fica desprotegida das barreiras de segurança que habitualmente impedem os atacantes de enviar ficheiros maliciosos e aceder a informação no dispositivo. A vítima não precisa de descarregar qualquer ficheiro, ou carregar em qualquer tipo de hiperligação.

O PÚBLICO tentou contactar a Apple para mais informação, mas não obteve resposta até à hora de publicação deste artigo. Em declarações a circular na imprensa internacional, um porta-voz da Apple admite a existência da vulnerabilidade e diz que a próxima actualização ao sistema operativo irá corrigir o problema — a versão beta do iOS 13.4.5 já inclui a correcção e deverá estar disponível em breve.

A equipa da ZecOps explica que divulgou o problema antes de haver uma correcção definitiva para que as pessoas possam utilizar outro sistema de email (como o Outlook ou o Gmail) até à Apple resolver o problema. “Com dados muito limitados, já vimos pelo menos seis organizações afectadas pela vulnerabilidade”, lê-se numa página de perguntas e respostas da ZecOps sobre o problema. “É a nossa obrigação para com o público, clientes, parceiros e utilizadores iOS globais revelar estes problemas para que as pessoas se possam proteger ao instalar a versão beta da aplicação, ou ao parar temporariamente de usar a aplicação de email da Apple.”

A equipa da ZecOps clarifica, também, que a falha “por si só não pode causar danos aos utilizadores de iOS” uma vez que os invasores precisariam de explorar outras falhas para obter controlo total do dispositivo. A falha do email funciona apenas como porta de entrada.

Suspeitas de ataque a executivos de topo

“Acreditamos que estes ataques estão associados a pelo menos um serviço de ataques de um Estado-nação”, avança a equipa que não identificou qualquer país. Até ao momento há suspeitas que tenham ocorrido, pelo menos, seis ataques com sucesso a executivos e pessoas que ocupam cargos de topo: desde membros de uma das 500 maiores empresas dos EUA (incluída no ranking Fortune 500), um empresário de uma empresa de telecomunicações no Japão, serviços de segurança na Arábia Saudita e Israel e um jornalista na Europa. O número só não é maior porque a falha da Apple só permite atacar um dispositivo de cada vez. O problema existe desde a versão 6.0 do sistema operativo da Apple que foi lançado em 2012 com o iPhone 5.

“Além de uma lentidão temporária na aplicação móvel, os utilizadores não seriam capazes de detectar qualquer comportamento anómalo”, explica a equipa da ZecOps.

O melhor do Público no email Subscreva gratuitamente as newsletters e receba o melhor da actualidade e os trabalhos mais profundos do Público. Subscrever ×

Em teoria, como um ataque bem-sucedido permite ao atacante apagar emails, é possível apagar o email enviado para iniciar a intrusão, eliminando o rasto.

No começo de Abril, a Apple — que durante anos foi vista como uma empresa imune a ciberataques — admitiu sete vulnerabilidades no sistema de segurança do navegador Safari. Algumas permitiam aceder remotamente às câmaras, microfones e ecrãs de telemóveis e computadores da marca norte-americana.