Um programador norte-americano encontrou sete vulnerabilidades no sistema de segurança do navegador de Internet da Apple, o Safari. Algumas permitiam aceder remotamente às câmaras, microfones e ecrãs de telemóveis e computadores da marca norte-americana.

As falhas, que foram corrigidas pela Apple em actualizações de Janeiro e Março de 2020, foram divulgadas este mês no site do programador Ryan Pickren, um antigo engenheiro de segurança dos serviços online da Amazon.

“Imaginem que estão num site popular quando, de repente, uma barra de publicidade sequestra a câmara e o telemóvel para vos espiar. É precisamente isso que as vulnerabilidades permitiam”, resume Pickren no site onde partilha problemas de segurança que encontra em várias empresas. As falhas no browser Safari foram identificadas em Dezembro passado, depois do programador se desafiar a “atacar as câmaras” dos sistemas operativos da Apple.

Não se sabe, para já, se as falhas (entretanto corrigidas) foram utilizadas por atacantes, visto que Pricket foi a primeira pessoa a alertar a Apple. Tratavam-se de vulnerabilidades desconhecidas (zero day vulnerability, em inglês), ou seja, lacunas no sistema de segurança desconhecidos pelos programadores que os desenvolvem.

O norte-americano recebeu 75 mil de dólares (aproximadamente 69,5 mil euros ao câmbio actual) da Apple pela descoberta. Tal como outras empresas de tecnologia, a Apple tem vários programas de incentivos (conhecidos no inglês como “bug bounties”) destinados a pessoas que encontram buracos nos seus sistemas de segurança e avisam a empresa antes de avisar o público. Em 2016, Pickren também tinha recebido milhares de dólares em milhas por encontrar falhas de segurança nos sistemas da companhia aérea United Airlines.

Os problemas com o Safari aproveitavam-se do facto de o navegador autorizar os seus utilizadores a guardarem as preferências para sites individuais. Isto permite, por exemplo, poupar tempo ao autorizar automaticamente o funcionamento da câmara do computador quando se entra no site do Skype.

“Se um site malicioso queria o acesso à câmara, tudo o que tinha de fazer era disfarçar-se de um site de videoconferências em que os utilizadores confiam, como o Skype ou o Zoom”, resume Pickren. “Dito de forma simples, o erro fazia com que a Apple pensasse que um site malicioso era um site de confiança.”

Isto acontecia porque o Safari tratava sites com mudanças no URL da mesma forma (falso://exemplo.pt era considerado igual a https://exemplo.pt ou http://exemplo.pt ). Em vez de usar https (o esquema do protocolo de comunicação segura na Internet), Pickren criava endereços personalizados, com scripts maliciosos incorporados, que eram utilizados para enganar o browser.

Além de páginas falsas, o ataque podia surgir disfarçado em faixas de publicidade no site ou extensões do browser. Para Pickren, o problema mostra que as pessoas não devem autorizar, por defeito, o acesso de aplicações e sites às câmaras dos seus aparelhos.

Para saber como manter o sistema operativo da Apple (macOS) actualizado consulte este link.

Corrigido: Pickren era capaz de criar endereços maliciosos personalizados ao mudar o esquema de protocolo do site.