Google Surprises Apple iPhone, iPad, Mac Users: ‘Numerosas Novas Vulnerabilidades’ Reveladas
>
Google, ao que parece, acabou de o fazer novamente. No ano passado, a elite de caçadores de bugs do gigante tecnológico Projeto Zero causou uma agitação na mídia ao revelar vulnerabilidades de segurança no iOS da Apple que permitiu que os dispositivos fossem hackeados. Acontece que os hacks – culpados na China – não estavam limitados apenas à Apple, e o Google pegou algumas falhas. Agora a mesma equipe do Google lançou outra revelação surpresa “focada no ecossistema Apple”, olhando para vulnerabilidades básicas que podem fornecer aos atacantes um ponto de entrada.
O momento para o relatório do Google, sedutoramente intitulado “Fuzzing ImageIO” é tão interessante quanto o conteúdo. Na última semana, vimos dois problemas de segurança da Apple fazendo manchetes em todo o mundo. Primeiro, um relatório de segurança alegando que a própria aplicação de e-mail da Apple pode ser bloqueada com um e-mail maliciosamente criado, abrindo uma porta traseira para novas explorações, e depois a história da bomba de texto naturalmente viral.
MAIS DA FORBESBeware-Este novo iPhone malicioso ‘Text Bomb’ Crashes iOS 13: Aqui está o que você fazPor Zak Doffman
O denominador comum com essas histórias recentes é o aviso de que o processamento básico do sistema pode ser explorado. Acionando uma resposta inesperada do software em um dispositivo, os controles normais bloqueados podem ser feitos para se comportar de forma imprevisível. E isso abre a porta para um ataque, muitas vezes usando um vetor completamente diferente. O que é interessante é que mesmo as funções básicas usadas por bilhões – correio e mensagens – ainda têm esse potencial para abrir uma porta traseira.
E é este mesmo tema que foi relatado ontem (28 de abril) pela equipe do Projeto Zero do Google, que tem “aparecido inúmeras novas vulnerabilidades que foram corrigidas desde então”. As vulnerabilidades são descritas como “um tipo antigo de problema”, visando arquivos de mídia enviados através de plataformas de mensagens” no framework ImageIO. De acordo com o relatório do Google, múltiplas vulnerabilidades “foram encontradas, reportadas à Apple ou aos respectivos mantenedores da biblioteca de imagens de código aberto, e posteriormente corrigidas”. “
E assim, da perspectiva do usuário, se você tiver atualizado seu sistema operacional como sempre deveria, você estará protegido. Bem, não é assim tão simples. O Google adverte que mesmo através das falhas reveladas não foram elas próprias suficientes para permitir a tomada de um dispositivo ou uma grave exfiltração de dados, “dado o esforço suficiente, algumas das vulnerabilidades encontradas podem ser exploradas em um cenário de ataque”. E esse é basicamente o tipo de risco reivindicado para a vulnerabilidade do correio da Apple. Mais ao ponto, porém, o Google também adverte que “é também provável que outros bugs permaneçam ou sejam introduzidos no futuro”
MAIS DA FORBESBeware-Este Novo iPhone Malicioso ‘Bomba de Texto’ Crashes iOS 13: Aqui está o que você fazPor Zak Doffman
Technicamente, o uso de imagens para expor vulnerabilidades não é incomum. Nos últimos meses temos visto relatórios impactando as plataformas de mensagens populares que fazem exatamente isso. Quando uma imagem é recebida, o dispositivo precisa analisar os dados para saber como gerenciá-la e exibi-la – quais os parâmetros de leitura e manuseio. A maioria do que enviamos é JPEGs ou GIFS ou PNGs comuns, mas, diz o Google, “também existem numerosos e exóticos”
Google testou a segurança da Apple através do fuzzing de imagens, essencialmente randomizando os dados de tal forma que o dispositivo não saberia como lidar com eles e potencialmente cairia, até certo ponto, tentando. A abordagem do Google não pretendeu ser exaustiva, mas ilustrativa, e eles apontaram que uma versão mais sofisticada da mesma abordagem pode ter dado melhores resultados. Eles não acompanharam o fuzzing da imagem com outros exploits para aproveitar o fracasso inicial.
Um monte de vulnerabilidades foram encontradas, reveladas e foram corrigidas – assim o relatório. O Google sugere que os fornecedores adotem “testes contínuos de fuzz” e também recomenda que as plataformas de mensagens rejeitem todos os formatos de imagem, exceto os mais comuns, “pelo menos para pré-visualizações de mensagens que não requerem interação”. Quanto menos espaço para ataques, melhor, e como a equipe aponta “isso reduziria a superfície de ataque de cerca de 25 formatos de imagem para apenas um punhado ou menos”
Estas questões afetariam todos os sistemas operacionais da Apple pré-patch. O uso deste tipo de vector de ataque para tornar um dispositivo vulnerável antes de ser atacado é muitas vezes central para ataques cibernéticos sofisticados, mesmo a nível de nação-estado. As explorações de prémios de grupos de ameaça que podem ter a certeza de que serão executados em dispositivos alvo, razão pela qual se concentram em plataformas de processamento do SO central ou de hiper-escala como o WhatsApp.
Entretanto, a Apple espera que isto ponha fim a uns tórridos dias de divulgações de segurança. A empresa corrigiu estes problemas e está a fazer o mesmo com as vulnerabilidades de correio e texto. Mas, como sempre, abalar a confiança dos usuários é um problema. E para a Apple, que se comercializa na segurança de sua plataforma, estas nunca são boas histórias para ver fazendo manchetes na mídia.