Falha de segurança Zero-day da Apple expõe tanto o Keychain quanto as senhas de aplicativos a atacantes

TL;DR – Pesquisadores de segurança descobrem uma séria exploração Zero-day no Mac OS X e iOS que pode ser explorada para roubar dados de aplicativos, senhas e várias outras credenciais.

Um grupo de seis pesquisadores de segurança da Universidade de Indiana e do Instituto de Tecnologia da Geórgia encontrou uma grande falha de segurança Zero-day da Apple tanto no iOS quanto no Mac OS X, que permite que o malware ganhe acesso não autorizado às credenciais dos aplicativos do dispositivo, ajudando assim os atacantes a roubar dados sensíveis do usuário, como senhas do iCloud, do aplicativo Mail e todas as senhas da web armazenadas pelo Google Chrome. Em resumo, essa exploração exporá diretamente o Keychain da Apple e outros aplicativos, incluindo os de terceiros.

Essa falha foi confirmada pela Apple, Google Chrome e outros.

A pesquisa foi publicada em um artigo intitulado Acesso Não Autorizado a Recursos entre Aplicativos no MAC OS X e iOS. Os pesquisadores envolvidos foram: Xing; Xiaolong Bai; XiaoFeng Wang; e Kai Chen, junto com Tongxin Li, da Universidade de Pequim, e Xiaojing Liao, do Instituto de Tecnologia da Geórgia.

Enquanto falavam com a equipe de segurança do The Register, o grupo mencionou que havia trazido essa vulnerabilidade ao conhecimento da Apple em outubro de 2014. Então, a Apple disse que entende a gravidade dessa exploração e pediu à equipe um prazo de seis meses para que eles abordassem e fornecessem alguma solução para essa falha. A Apple também pediu aos pesquisadores que não divulgassem essa falha publicamente até que eles resolvessem o problema.

Em fevereiro de 2015, a Apple pediu à equipe que fornecesse uma cópia antecipada de seu artigo de pesquisa. Infelizmente, a equipe de pesquisa confirmou que as falhas estão presentes mesmo nas versões mais recentes do Mac OS X e do iOS e, portanto, tiveram que trazer essa vulnerabilidade ao público.

Xing disse: “Nós quebramos completamente o serviço de keychain – usado para armazenar senhas e outras credenciais para diferentes aplicativos da Apple – e contêineres sandbox no OS X, e também identificamos novas fraquezas dentro dos mecanismos de comunicação entre aplicativos no OS X e iOS que podem ser usados para roubar dados confidenciais do Evernote, Facebook e outros aplicativos de alto perfil.”

Xing acrescentou: “Nossos aplicativos maliciosos passaram com sucesso pelo processo de verificação da Apple e foram publicados na loja de aplicativos do Mac da Apple e na loja de aplicativos do iOS. Nós quebramos completamente o serviço de keychain – usado para armazenar senhas e outras credenciais para diferentes aplicativos da Apple – e contêineres sandbox no OS X, e também identificamos novas fraquezas dentro dos mecanismos de comunicação entre aplicativos no OS X e iOS que podem ser usados para roubar dados confidenciais do Evernote, Facebook e outros aplicativos de alto perfil.”

A equipe de pesquisa também mencionou que, apesar da forte verificação da Apple, conseguiram fazer upload de malware que explorou as vulnerabilidades nas lojas de aplicativos do Mac OS X e iOS. Parece que esses aplicativos que eram vulneráveis a ataques foram aprovados para ambos os sistemas operacionais.

O grupo também testou a exploração em uma ampla gama de aplicativos do Mac e iOS e o resultado foi terrível, pois mostrou que quase 90% dos aplicativos eram vulneráveis e isso deu acesso completo ao malware, não apenas em relação aos dados armazenados, mas também às credenciais de login.

O desenvolvedor do aplicativo 1Password, AgileBits, aceitou que não conseguiu encontrar nenhuma maneira de proteger o aplicativo contra a exploração. Um post recente no blog de Jeffrey Goldberg da AgileBits diz: “Nem nós, nem Luyi Xing e sua equipe conseguimos descobrir uma maneira completamente confiável de resolver esse problema.”

De acordo com o grupo de pesquisa de segurança, a equipe de segurança do Chromium do Google foi mais responsiva e removeu a integração do Keychain para o Chrome. A equipe de segurança do Google Chrome também confirmou que, quando o ataque está em um nível de aplicativo, seria quase impossível proteger contra a exploração.

O grupo de pesquisa de segurança também lançou um vídeo que expôs a Vulnerabilidade do Keychain do Google Chrome no OS X. (veja o vídeo abaixo)

Em resposta ao post do The Register, um dos comentários no Hacker News sugere que, embora o malware não possa acessar diretamente as entradas existentes do Keychain; no entanto, ele pode forçar os usuários a fazer login manualmente e, em seguida, capturar as credenciais sensíveis em uma nova entrada criada, obtendo assim acesso não autorizado aos dados sensíveis dos usuários.

Os pesquisadores de segurança também disseram: “Os itens do Keychain têm listas de controle de acesso, onde podem colocar aplicativos na lista de permissões, geralmente apenas eles mesmos. Se meu aplicativo bancário criar um item do keychain, o malware não terá acesso. Mas o malware pode excluir e recriar itens do keychain e adicionar tanto a si mesmo quanto ao aplicativo bancário à ACL. Na próxima vez que o aplicativo bancário precisar de credenciais, ele me pedirá para inseri-las novamente e, em seguida, armazená-las no item do Keychain criado pelo malware.”

Os pesquisadores de segurança alertam todos os usuários do Mac OS X e iOS a serem mais cautelosos sempre que estiverem baixando aplicativos de desenvolvedores desconhecidos, seja das lojas de aplicativos do iOS ou do Mac. Além disso, em caso de login que precise ser feito pelo Keychain e se o sistema ainda pedir aos usuários que façam login manualmente, isso deve acender um alerta e alertar os usuários de que há algo errado no sistema.

No início deste mês, uma vulnerabilidade do BIOS/EFI do Mac foi revelada, onde a exploração daria controle permanente de um Mac ao atacante e uma reformatação do disco também não ajudaria o usuário a impedir que o atacante acessasse e controlasse o Mac.

Outra vulnerabilidade detectada este mês foi um bug no aplicativo Mail do iOS que poderia ser provavelmente um ataque de phishing, onde um atacante executaria um código HTML remoto sempre que o usuário abrisse um e-mail e, com esse código, o atacante poderia imitar um prompt de login do iCloud, forçando os usuários a fornecer suas credenciais do Apple ID.

Os pesquisadores de segurança dizem que, como regra geral, é essencial que os usuários nunca permitam que seu navegador ou um gerenciador de senhas armazenem os logins sensíveis como credenciais de banco online.

Os pesquisadores de segurança também mencionam: “As consequências de tais ataques são devastadoras, levando à divulgação completa das informações mais sensíveis do usuário (por exemplo, senhas) para um aplicativo malicioso, mesmo quando está em sandbox. Essas descobertas […] são apenas a ponta do iceberg.”

Em seu artigo, os pesquisadores mencionaram: “Ao investigar a causa raiz dessas falhas de segurança, descobrimos que, na maioria dos casos, nem o sistema operacional nem o aplicativo vulnerável autenticam adequadamente a parte com a qual interagem. Fundamentalmente, o problema vem do desafio de um aplicativo autenticar o proprietário de um item existente do Keychain. A Apple não oferece uma maneira conveniente de fazer isso.