Onda de ataques que executa programa espião em iPhones é descoberta após dois anos

Hackers utilizaram um total de 14 brechas para executar um programa capaz de rastrear a localização da vítima em tempo real e roubar dados de aplicativos. Programa espião pode acessar todo o armazenamento protegido dos aplicativos, incluindo as mensagens do WhatsApp

Marcelo Brandt/G1

O Google publicou um relatório detalhado sobre as técnicas utilizadas por um indivíduo ou um grupo que hackeava sites na internet para injetar um código capaz de burlar as defesas do iPhone. O código executa um programa espião nos celulares dos usuários da Apple que visitam essas páginas.

Não era preciso fazer nenhum download ou autorizar a instalação de um aplicativo para ser vítima.

Quando executado, o programa de espionagem rouba arquivos armazenados no telefone e permite o rastreamento da localização da vítima em tempo real. O programa se comunica com um sistema de controle a cada 60 segundos, podendo modificar seu comportamento de acordo com os comandos recebidos.

Como a proteção do iPhone é quebrada durante o ataque, o programa espião pode acessar todo o armazenamento protegido dos aplicativos, incluindo as mensagens do WhatsApp, do Telegram e do iMessage. Por outro lado, o programa não fica ativo no telefone — ele é removido quando o aparelho é reiniciado.

Embora programas espiões para iOS não sejam novidade, em especial aqueles supostamente para investigações policias como o Pegasus e o FinSpy, o ataque descoberto pelo Google se diferencia por não ter um alvo específico. Qualquer internauta que visitasse um dos sites hackeados poderia ter seu telefone espionado.

Por esta razão, este é possivelmente o ataque mais grave já identificado contra iPhones. Ele atingiu todos os modelos do smartphone desde o iPhone 5s e versões do iOS desde a 10.0.1, de setembro de 2016, até a 12.1.4, lançada em fevereiro de 2019.

A série de ataques foi identificada em janeiro pelo Grupo de Análise de Ameaças do Google (TAG, na sigla em inglês) e acredita-se que a ação ficou mais de dois anos fora do radar dos especialistas em segurança.

Os códigos de programação usados nos ataques foram analisados por Ian Beer, um especialista do Projeto Zero, também do Google.

No total, os hackers utilizaram 14 vulnerabilidades, combinadas em 5 ataques distintos — como o iOS possui diversas defesas, uma única falha não costuma ser suficiente para viabilizar uma invasão.

Ataques contínuos e em evolução

Os ataques utilizaram 14 brechas diferentes. No entanto, elas foram encadeadas para formar cinco ataques completos, que levavam o invasor de uma página web no navegador Safari até o kernel, o "coração" do sistema, que controla os recursos de segurança.

As técnicas empregadas em cada ataque são diferentes. No entanto, a principal razão para a criação de novas "combinações" de falhas eram as correções aplicadas pela Apple: o fechamento de qualquer uma das brechas usadas por meio de uma atualização exigia uma reformulação de todo o ataque para que ele funcionasse nas versões novas.

Essa evolução, segundo Beer, demonstra que os hackers estavam se esforçando continuamente para hackear os usuários de iPhone em certas comunidades.

Ataque 1: iPhone 5s até iPhone 7, iOS 10.0.1 ao 10.1.1

Ataque 2: iPhone 5s até iPhone 7, iOS 10.3 ao 10.3.3.

Uma vulnerabilidade usada neste ataque foi descoberta pelo próprio Ian Beer, de maneira independente, o que permitiu à Apple corrigir o problema mesmo sem ter conhecimento da campanha de ataques enquanto a falha foi utilizada.

Ataque 3: iPhone 5s até iPhone X, iOS 11 ao 11.4.1

Ataque 4: iPhone 5s até iPhone X, iOS 12 ao 12.1 (brecha corrigida no iOS 12.1.4).

Estas falhas não estavam corrigidas quando os ataques foram encontrados, o que significa que todos os usuários de iPhone estavam vulneráveis. O Google relatou as falhas à Apple com um prazo de 7 dias no dia 1° de fevereiro, e a Apple lançou o iOS no dia 7 de fevereiro. O prazo normal do Google, adotado para falhas que não estão sendo exploradas, é de 90 dias.

Ataque 5: iPhone 5s até iPhone X, iOS 11.4.1 ao 12.1.2.

O ataque foi baseado em falhas relatadas publicamente e já corrigidas pela Apple. De acordo com Beer, os invasores podem ter preferido este ataque por ele ter uma taxa de sucesso maior que o de número 4. Embora o método mais antigo ainda estivesse usando uma brecha até então não corrigida pela Apple, ele era mais complexo, o que diminuía a taxa de sucesso.

Ataque de 'watering hole'

A prática de invadir sites da web para injetar um código e atacar seus visitantes é conhecida como "watering hole", uma referência a fontes de água. A ideia por trás do conceito é que, assim como animais sempre voltam ao rio ou outra fonte de água para beber, páginas web também possuem visitantes recorrentes que serão atingidos pelo ataque.

Embora o Google tenha informado que o ataque não especifica alvos, hackers podem direcionar ataques de watering hole selecionando os sites atacados. Um ataque contra médicos poderia ser realizado por meio da invasão de sites muito visitados por profissionais da medicina, por exemplo, da mesma forma que um ataque contra programadores poderia ser viabilizado pela invasão de sites que distribuem ferramentas e manuais de programação.

Dessa maneira, ainda que os alvos não sejam limitados como em ações específicas via e-mail ou mensagens em redes sociais, a probabilidade de atingir indivíduos que sejam do interesse do invasor é maior.

O Google não forneceu detalhes sobre os sites adulterados para incluir o código de ataque. Por essa razão, não é possível especular a respeito dos alvos de maior interesse dessa onda de ataques. Ataques de "watering hole", podem sim ser usados para atingir alvos específicos, ainda que seu alcance seja semelhante ao de ataques voltados para o público geral.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Selo Altieres Rohr

Ilustração: G1