Vulnerabilidade permitia ataques de cross-site scripting universal, que permite roubo de conta e interações não autorizadas. Apple atualizou sistemas após ser comunicada do problema por especialistas do Google.
Thomas Peter/Reuters
A Apple lançou atualizações para iOS, iPadOS e watchOS nesta sexta-feira (26), corrigindo uma falha de segurança no WebKit, o “coração” do Safari.
Segundo a Apple, há relatos de que o problema foi explorado por hackers. Quando uma vulnerabilidade é atacada antes mesmo de existir uma atualização de software para corrigi-la, ela é chamada de “dia zero”.
Por esse motivo, recomenda-se que a atualização seja instalada o quanto antes. As versões são:
iOS 14.4.2 (para iPhone)
iPad OS 14.4.2 (para iPad)
watchOS 7.3.3 (para Apple Watch)
A atualização foi lançada apenas para corrigir essa vulnerabilidade e não traz outras mudanças ou melhorias. A próxima versão do iOS, 14.5, está programada para lançamento em abril.
A Apple revelou que foi alertada do problema pelo Threat Analysis Group (TAG) do Google, uma equipe que normalmente analisa ataques direcionados ou de alta sofisticação. Também foi revelado que a brecha permitia “cross-site scripting universal”.
Não foi informado quem teriam sido os alvos desses ataques.
Brecha permite roubo de contas
O “cross-site scripting”, ou “XSS”, é uma falha de segurança em que uma página de internet interage com outra página sem autorização do usuário.
Por regra, falhas de XSS decorrem de erros de programação do próprio site e impactam apenas a página vulnerável. Esse tipo de problema é bastante comum e, por isso, o XSS é um tipo de ataque associado a sites, não aos navegadores.
Mas, como o navegador é o responsável por isolar as páginas abertas, um erro nesse isolamento viabiliza a execução de comandos em qualquer página – ou seja, universal.
Um XSS universal permite o roubo dos cookies de autenticação que identificam os usuários. Caso a vítima faça login em um site qualquer e depois visite o site malicioso, o XSS poderá copiar a chave da sessão logada e transmiti-la ao invasor.
O invasor então utiliza essa informação para entrar na conta como se fosse a vítima, mesmo sem saber a senha nem possuir o código de autenticação em dois fatores. A chave roubada concede acesso direto – para o site, é como se o usuário tivesse aberto uma nova aba do navegador.
Falhas de XSS também podem ser usadas para interagir com sistemas de acesso restrito por rede, como dispositivos de internet das coisas ou sistemas empresariais baseados em web.
Um site malicioso pode usar o XSS para enviar comandos a esses dispositivos, mesmo que o hacker não consiga acessá-los remotamente.
Como o ataque não foi descrito em detalhes, não é possível saber exatamente como o problema foi usado e se havia alguma limitação para a exploração da falha.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Veja dicas para manter seus dados seguros:
Comentar