Durante mais de dois anos, uma falha de segurança nos iPhones permitia a cibercriminosos implantar nos telemóveis de milhares de utilizadores programas para espiar os aparelhos, fotografias e o histórico das mensagens no WhatsApp, Telegram, Gmail e outras aplicações populares. A vulnerabilidade foi descoberta por investigadores do Project Zero, uma equipa paga pelo Google para encontrar problemas de segurança, que alertaram a Apple em Janeiro.

Uma vez instalados, os programas maliciosos também permitiam aceder a palavras-passe guardadas, contactos e até a localização do utilizador em tempo real. Para tal, bastava que os donos dos telemóveis usassem os aparelhos para abrir sites infectados. 

Embora bastasse reiniciar o telemóvel para um utilizador se livrar do implante malicioso, a equipa do Project Zero lembra que o ataque permitia aceder a palavras-passe de outros serviços. “Os atacantes podiam manter um acesso a persistente a várias contas e serviços ao usar os tokens de identificação roubados, mesmo depois de perderem o acesso ao dispositivo”, frisou Ian Beer, um dos investigadores da equipa.

Foi a necessidade de corrigir a falha que levou a Apple a lançar várias actualizações para o iPhone, fora de época, em Fevereiro (na altura, a empresa apenas disse que serviam para corrigir problemas de segurança). Os detalhes dos ataques, foram tornados públicos esta quinta-feira, são a maior falha de segurança conhecida do iPhone desde que o primeiro aparelho foi apresentado em 2007. A equipa do Project Zero estima que os sites maliciosos, que não foram revelados, tenham recebido “milhares de visitas por semana” desde 2017, altura em que os problemas começaram.

O Projecto Zero é uma equipa de investigadores de cibersegurança financiada pelo Google que também esteve envolvida na descoberta de vulnerabilidades graves nos processadores de milhões de equipamentos nas últimas décadas. O Google desenvolve o sistema operativo Android, que concorre com o iOS da Apple. O PÚBLICO tentou contactar a Apple para mais informação, mas não obteve resposta até à hora de publicação deste artigo.

Dada a gravidade das falhas e o facto de já estarem a ser exploradas, a equipa do Project Zero apenas deu uma semana à Apple para corrigir o problema (o normal, são 90 dias) – caso contrário, os detalhes teriam sido publicados mais cedo. “Alertámos a Apple para os problemas no dia 1 de Fevereiro de 2019, com um tempo limite de sete dias [para os corrigir]”, explicou Beer, no blogue da equipa. “Agora, depois de vários meses a analisar cada byte das várias camadas do ciberataque, estamos prontos para partilhar detalhes sobre o real funcionamento de uma campanha para explorar iPhones em massa.”

O código malicioso dos atacantes funcionava como um implante que explorava 14 falhas em vários dos sistemas operativos modernos da Apple, até permitir aos atacantes chegar ao kernel, o núcleo do sistema operativo. Não era preciso interagir com o site malicioso, ou sequer descarregar qualquer ficheiro, para ser infectado – bastava abrir a página num navegador da Web. Quase todas as versões do iOS 10 ao iOS 12 (os sistemas operativos da Apple lançados entre 2016 e 2018) estavam vulneráveis ao ataque. 

Pouco a fazer

As aplicações potencialmente afectadas – se estivessem instaladas nos iPhones – incluíam o Outlook (o serviço de e-mail da Microsof), o Gmail (do Google), o Telegram (uma aplicação de mensagens encriptadas), o Skype, o WhatsApp, o Facebook e aplicações da chinesa Tencent, dona da aplicação de mensagens WeChat.

Vários utilizadores da Apple têm usado as redes sociais para manifestar a sua preocupação, e inquirir sobre a forma de descobrir se foram vítimas do implante no passado. “Estou-me a sentir extremamente paranóico, agora… Será que visitei algum dos sites que estava a distribuir programas maliciosos para iOS? Como é que saberia? Como posso esclarecer outras pessoas?”, escreveu no Twitter Thomas Reed, autor do site especializado Malware Bytes, que se foca em problemas de segurança da Apple. “Parece que o problema não é persistente após reiniciar [o iPhone], por isso não posso estar infectado. Mas e os últimos dois anos?”

A Apple já tomou medidas para evitar problemas semelhantes no futuro. Recentemente, por exemplo, anunciou que vai aumentar para um milhão de dólares a recompensa que dá a profissionais de cibersegurança que descobrem problemas nos seus sistemas e alertam a empresa, em vez de os tentarem explorar.

Para a equipa do Project Zero, porém, a falha mostra que as pessoas têm de repensar a forma como vêem os telemóveis como aparelhos privados. “A única coisa que os utilizadores podem fazer é estar conscientes de que este tipo de exploração em massa existe e comportarem-se adequadamente”, escreve Ian Beer. “Os telemóveis têm de ser tratados como uma parte integral da vida moderna, mas também como dispositivos que, se forem comprometidos, podem transmitir todos os passos de um utilizador para bases de dados que podem ser utilizadas contra eles.”