Exploração Zero-Day Perigosa do iPhone Usada por Hackers Governamentais Agora Corrigida pela Apple

Quando se trata de privacidade, as agências governamentais nem sempre estiveram do lado certo da lei, foi na verdade por essa razão que os vazamentos de Snowden tiveram um impacto tão grande. Em 10 de agosto, Ahmed Mansoor, um ativista dos direitos humanos dos Emirados Árabes Unidos, recebeu uma mensagem estranha de um número desconhecido em seu iPhone. A mensagem veio com um hyperlink bastante chamativo que dizia “Novos segredos sobre a tortura de Emiratis em prisões estatais.”

Mansoor já havia sido vítima de hackers governamentais usando produtos comercialmente disponíveis e esse link apenas o deixou mais suspeito. O ativista então encaminhou a mensagem para um pesquisador do Citizen Lab chamado Bill Marczak. Após uma análise de perto, foi estabelecido que a suspeita de Mansoor estava correta. A mensagem não era nada além de uma isca que carregava um malware sofisticado como seu payload. O malware era, de fato, uma ameaça tripla que exploraria três vulnerabilidades diferentes no iOS da Apple que eram desconhecidas para o mundo (já foi corrigido agora).

Relatórios do Citizen Lab e da empresa de segurança móvel Lookout confirmaram que o atacante teria acesso completo ao iPhone de Mansoor se ele tivesse aberto o link. As empresas de segurança disseram ainda que o malware era “Uma das peças mais sofisticadas de software de espionagem cibernética que já vimos.” Não se engane, explorar os zero-days ou bugs desconhecidos no iPhone não pode ser obra de um hacker de beco. Precisamos perceber que ferramentas que valem até um milhão de dólares foram instrumentais nesse ataque, que consiste em fazer jailbreak remoto de um iPhone.

Os cibercriminosos têm se disfarçado como um sindicato organizado e, de fato, também foi revelado anteriormente que fornecedores estão oferecendo Ransomware como serviços, assim como Software como Serviço (SaaS). Voltando, a empresa (seguro chamá-la assim) que forneceu a exploração zero-day para os hackers é uma empresa de vigilância de baixo perfil baseada em Israel chamada NSO Group.

A NSO tem sido notória por fornecer malware sofisticado a governos que precisavam direcionar os smartphones de suas vítimas, enquanto permaneciam atrás de portas fechadas. Considerando a natureza de seu negócio, a empresa tem estado em modo furtivo, mas de acordo com informações recentemente vazadas, foi financiada em 120 milhões de dólares com uma avaliação de 1 bilhão de dólares, mais uma vez, a enorme quantia de dinheiro trocada levanta preocupações sobre suas futuras explorações.

Mike Murray, vice-presidente da Lookout, tem se mostrado bastante animado com todo o episódio e é assim que ele descreve o malware em suas próprias palavras: “Basicamente, ele rouba todas as informações do seu telefone, intercepta todas as chamadas, intercepta todas as mensagens de texto, rouba todos os e-mails, os contatos, as chamadas do FaceTime. Ele também basicamente cria uma porta dos fundos em todos os mecanismos de comunicação que você tem no telefone” e ele acrescentou ainda que “Rouba todas as informações no aplicativo Gmail, todas as mensagens do Facebook, todas as informações do Facebook, seus contatos do Facebook, tudo do Skype, WhatsApp, Viber, WeChat, Telegram—você nomeia.”

Os pesquisadores usaram seu iPhone de demonstração para descobrir a maneira como o malware infectou o dispositivo. Além disso, as medidas deprimentes tomadas pelas agências governamentais mostram o tipo de informação que jornalistas, ativistas e dissidentes protegem. Muitas vezes, são essas pessoas que enfrentam a ameaça hoje, mas no futuro iminente, pode também ser cidadãos comuns como você e eu.

A Trilha

Como a NSO foi pega pode ser explicado por uma cadeia de eventos que dissemina ainda mais como o malware foi projetado. Até 10 de agosto, os pesquisadores não conseguiram encontrar as amostras do malware que os hackers usaram, até que Mansoor os levou até ele. Após examinar o link, eles perceberam que o spyware se comunicava de volta com um servidor e um endereço IP que eles, felizmente, haviam identificado no passado. O que os ajudou ainda mais foi que outro servidor registrado a um funcionário da NSO apontou para o mesmo endereço IP.

As coisas começaram a ficar mais claras quando os pesquisadores viram a string de código no malware real que dizia “PegasusProtocol” que foi imediatamente ligada ao codinome do spyware da NSO, Pegasus. A NSO foi perfilada pelo The Wall Street Journal e na descrição bastante curta a empresa revelou que havia vendido seus produtos ao governo mexicano e estava até mesmo atraindo alguma atenção da CIA. Como a Apple já corrigiu a vulnerabilidade, os zero-days em questão foram eliminados. Dito isso, seria seguro supor que a NSO ainda pode estar armada com alguns desses e a revelação atual não é algo que arruinaria suas operações.

Correção da Apple

A correção da Apple vem embalada no iOS 9.3.5 e os usuários do iOS são aconselhados a atualizar seus dispositivos imediatamente. Dan Guido, CEO da empresa de cibersegurança, diz que esse tipo de ataque raramente vê a luz do dia e quase nunca é capturado na “selvagem”. O México parece ser o melhor cliente das equipes de hacking em todo o mundo e organizações como a NSO estão apenas levando isso para o próximo nível.

Vítimas e tentativas

https://twitter.com/raflescabrera/status/638057388180803584?ref_src=twsrc%5Etfw

Mansoor não é a única vítima desse spyware e anteriormente foi um jornalista mexicano, Rafael Cabrera, que recebeu mensagens semelhantes. Assim como Mansoor, as mensagens enviadas a Rafael também vieram recheadas de manchetes chamativas. Tanto Mansoor quanto Rafael parecem ter escapado do ataque, pois estão acostumados a olhar por cima do ombro, uma característica que a maioria de nós não tem. Para concluir, a privacidade completa parece ser um mito e é quase impossível proteger-se contra tais ataques. Enquanto o fabricante de smartphones pode destinar mais fundos para tornar seus telefones seguros, a demanda por armas cibernéticas também aumentará. Apenas esperamos que pesquisadores de empresas como o Citizen Labs estejam atentos para expor tais hacks e estabelecer uma espécie de ressurgimento.