Falha de Segurança no iPhone Permitia Invasão
Falha de Segurança no iPhone Permitia Invasão sem Interferência do Usuário
Recentemente, pesquisadores de segurança cibernética da Kaspersky divulgaram um relatório alarmante sobre uma grave vulnerabilidade no sistema operacional do iPhone, afetando versões iguais ou anteriores ao iOS 16.2. Chamado de “Operation Triangulation“, especialistas descreveram o ataque como o “mais sofisticado já visto” em dispositivos Apple.
O Ataque: Zero Clique e Invisibilidade
O Operation Triangulation foi um ataque de zero clique, não exigindo interação do usuário. Ou seja, um agente malicioso enviava um anexo com malware, que se ativava automaticamente por meio de uma mensagem de texto no aplicativo de mensagens do iPhone. A vulnerabilidade explorava uma instrução chamada “ADJUST” para fontes TrueType, presente apenas em computadores Apple desde a década de 1990. Em conjunto com vulnerabilidades no kernel do iOS, nas instruções da arquitetura Arm e em bibliotecas Java, o ataque permitia a execução de comandos arbitrários no dispositivo.
Funcionamento Oculto e Correções Implementadas
Os especialistas destacaram que o ataque foi projetado para ser invisível e ter um tamanho relativamente pequeno. O anexo, apesar de conter cerca de 11 mil linhas de código, dedicava-se principalmente à manipulação da memória do kernel e ao JavaScriptCore. Os comandos do anexo removiam rastros de exploração do dispositivo e exploravam uma brecha no Safari para abrir uma página web em modo invisível, obtendo controle total sobre o aparelho.
Descobrimos o Operation Triangulation em junho de 2023, mas revelamos os detalhes somente em dezembro, após a implementação de correções pela Apple. A empresa lançou patches de segurança removendo a instrução “ADJUST” nas versões iOS 16.6 e iOS 15.7.8. Os especialistas alertam que depender da “segurança através da obscuridade” é uma abordagem falha, e a revelação desses segredos é inevitável.
Por fim, manter os sistemas atualizados e praticar uma vigilância contínua destaca-se neste incidente, ressaltando a constante necessidade de inovação em segurança digital.
