A Apple liberou uma atualização de segurança para corrigir uma vulnerabilidade crítica que foi utilizada para infectar o iPhone de um ativista saudita com o software de espionagem Pegasus, da empresa israelense NSO Group.
A brecha, identificada como CVE-2021-30860, foi descoberta pelo Citizen Lab, um grupo de pesquisa de segurança digital da Universidade de Toronto, no Canadá, que disse ter encontrado indícios de que a vulnerabilidade foi utilizada pela NSO Group para invadir o iPhone de um jornalista da emissora Al Jazeera, em julho do ano passado.
Os pesquisadores do Citizen Lab encontraram um exploit zero-click (zero clique) no iMessage, que a equipe apelidou de “Force Dentry”. Esse exploit infectou o dispositivo, visando a biblioteca de renderização da Apple, e foi eficaz contra dispositivos Apple com os sistemas operacionais iOS, MacOS e WatchOS. A Apple tem quase 2 bilhões de iPhones ativos em todo o mundo, 100 milhões de Apple Watches sendo usados e mais de 100 milhões de Macs.
O Citizen Lab fez uma “atribuição de alta confiança” ao NSO Group pela exploração, que acredita estar em uso desde pelo menos fevereiro. “Nossa última descoberta de mais um dia zero da Apple empregado como parte do arsenal do NSO Group ilustra ainda mais que a empresa israelense está facilitando o ‘despotismo como um serviço’ para agências de segurança governamentais. A regulamentação deste mercado crescente, altamente lucrativo e prejudicial é desesperadamente necessária”, disse em um comunicado à imprensa internacional o laboratório.
Depois que o Citizen Lab passou os detalhes de suas descobertas para a Apple, a gigante da tecnologia rapidamente lançou o patch. Os clientes da Apple agora estão sendo instruídos a atualizar imediatamente seus dispositivos com a atualização mais recente, com a vulnerabilidade afetando todos os iPhones com versões iOS anteriores à versão 14.8, todos os computadores Mac com versões de sistema operacional anteriores a OSX Big Sur 11.6, atualização de segurança 2021-005 Catalina e todos os Apple Watches anteriores ao watchOS 7.6.2.
Veja isso
Apple usa recurso de machine learning para proteger crianças
Apple corrige falha que permite quebra do Wi-Fi do iPhone
Em um comunicado, Ivan Krstić, chefe de engenharia e arquitetura de segurança da Apple, disse que ataques como os descritos são altamente sofisticados, custam milhões de dólares para serem desenvolvidos, geralmente têm uma vida útil curta e são usados para atingir indivíduos específicos. Ele também garantiu aos clientes que a vulnerabilidade “não é uma ameaça para a grande maioria de nossos usuários”.
A empresa israelense NSO Group tem estado regularmente no centro de inúmeras controvérsias em torno do uso antiético do Pegasus por governos autoritários. O Facebook está entrando com uma ação contra a empresa por supostamente explorar uma vulnerabilidade no WhatsApp para permitir que seus clientes espionem mais de 1.400 usuários em todo o mundo, e o spyware também foi encontrado no telefone celular do jornalista saudita assassinado Jamal Khashoggi.
A CNN citou uma nova declaração do NSO Group, que não abordou diretamente as alegações, na qual diz que “a empresa continuará a fornecer às agências de inteligência e aplicação da lei em todo o mundo tecnologias que salvam vidas para combater o terror e o crime”.
Especialistas em cibersegurança observam que esse mais novo mecanismo de entrega do spyware Pegasus é novo, invasivo e pode facilmente infectar bilhões de dispositivos da Apple, mas que pode ser resolvido com o usuário baixando as atualizações de software disponíveis na Apple. Segundo eles, o Pegasus é um exemplo de como vulnerabilidades desconhecidas podem ser exploradas para acessar informações pessoais altamente confidenciais. Com agências de notícias e sites internacionais.