Os usuários da Apple foram aconselhados a atualizar imediatamente seus iPhones, iPads e Macs para se proteger contra um par de vulnerabilidades de segurança que podem permitir que invasores assumam o controle total de seus dispositivos.
Em ambos os casos, disse a Apple, há relatos confiáveis de que hackers já estão abusando das vulnerabilidades para atacar usuários.
Uma das fraquezas do software afeta o kernel, a camada mais profunda do sistema operacional que todos os dispositivos têm em comum, disse a Apple. O outro afeta o WebKit, a tecnologia subjacente do navegador Safari.
Para cada um dos bugs, a empresa disse que estava “ciente de um relatório de que esse problema pode ter sido explorado ativamente, ” embora não tenha fornecido mais detalhes. Ele creditou um pesquisador ou pesquisadores anônimos por divulgar ambos.
Qualquer pessoa com um iPhone lançado desde 2015, um iPad lançado desde 2014 ou um Mac executando o macOS Monterey pode baixar a atualização abrindo as configurações menu em seu dispositivo móvel ou escolhendo “atualização de software” no menu “sobre este Mac” em seu computador.
Rachel Tobac, CEO da SocialProof Security, disse que a explicação da Apple sobre a vulnerabilidade significava que um hacker poderia obter “acesso total de administrador ao dispositivo” para que ele possa “executar qualquer código como se fosse você, o usuário”.
Aqueles que devem estar particularmente atentos à atualização seus softwares são “pessoas que estão sob os olhos do público”, como ativistas ou jornalistas que podem ser alvos de espionagem sofisticada do estado-nação, disse Tobac.
Até que a correção foi lançada em Quarta-feira, as vulnerabilidades terão sido classificadas como bugs de “dia zero”, porque houve uma correção disponível para eles por zero dias. Tais fraquezas são extremamente valiosas no mercado aberto, onde corretores de armas cibernéticas as comprarão por centenas de milhares ou milhões de dólares.
O corretor Zerodium, por exemplo, pagará “até US$ 500.000” para uma falha de segurança que pode ser usada para hackear um usuário através do Safari, e até US$ 2 milhões para um malware totalmente desenvolvido que pode hackear um iPhone sem que o usuário precise clicar em nada. A empresa diz que seus clientes para tais pontos fracos são “instituições governamentais (principalmente da Europa e América do Norte)”. falhas, explorando-os em malware que infecta sub-repticiamente os smartphones dos alvos, desvia seu conteúdo e vigia os alvos em tempo real.
O NSO Group foi colocado na lista negra pelo departamento de comércio dos EUA. Seu spyware é conhecido por ter sido usado na Europa, Oriente Médio, África e América Latina contra jornalistas, dissidentes e ativistas de direitos humanos.
Will Strafach, pesquisador de segurança, disse ter visto nenhuma análise técnica das vulnerabilidades que a Apple acabou de corrigir. A empresa já havia reconhecido falhas igualmente graves e, no que Strafach estimou ser talvez uma dúzia de ocasiões, observou que estava ciente de relatos de que tais falhas de segurança haviam sido exploradas.
