Por mais de dois anos e meio, uma operação de hackers teve como objetivo a infecção de diversos iPhones. O ataque foi descoberto em janeiro deste ano, e agora revelado para o público por pesquisadores de segurança do Google.
Os hackers usaram sites invadidos para distribuir malwares nos iPhones dos visitantes. Os usuários tinham seus dispositivos comprometidos apenas por visitar a página; ou seja, nenhuma interação era necessária. O mais preocupante é que alguns métodos utilizados pelos cibercriminosos afetaram até mesmo telefones totalmente atualizados.
Uma vez hackeados, todos os dados dos usuários ficavam disponíveis para os atacantes. A localização era atualizada a cada minuto; chaves do dispositivo, contendo todas as senhas, foram acessadas; históricos de bate-papo em aplicativos populares, como WhatsApp, Telegram e iMessage também foram comprometidos.
A única parte positiva disso era que esses malwares não eram definitivos. Quando o telefone era reiniciado, ele era apagado da memória, a menos que os usuários visitassem um dos sites infectados novamente.
No entanto, de acordo com Ian Beer, pesquisador de segurança do Google: “Dada a variedade de informações roubadas, os invasores podem conseguir manter acesso constante a várias contas e serviços usando as senhas roubadas, mesmo depois de perderem acesso ao dispositivo”.
Beer é membro do Projeto Zero, uma equipe de hackers do Google que trabalha para encontrar vulnerabilidades de segurança em diversos dispositivos, independentemente de quem o produziu. A equipe tornou-se controversa por sua abordagem: 90 dias após relatar um bug à empresa, eles tornam as informações públicas, mesmo que a vulnerabilidade não tenha sido corrigida nesse período.
“Este foi um caso de fracasso para o atacante”, observou Beer, pois, embora os ataques tenham se estendido por bastante tempo, ele foi descoberto e interrompido. “Com certeza há outros ataques em andamento que ainda não foram descobertos.”
“Tudo o que os usuários podem fazer é ter consciência do fato de que a exploração de dados em massa ainda existe, e devem se comportar de acordo. Além de reconhecer que os dispositivos móveis são parte integrante de suas vidas modernas, eles devem entender que, quando comprometidos, esses dispositivos podem fornecem tudo sobre sua vida.”
O Google informa ter relatado os problemas de segurança à Apple em 1º de fevereiro. A Apple lançou uma atualização de sistema operacional que corrigiu as falhas no dia 7 do mesmo mês.
Via: The Guardian
Tags: