Sites maliciosos têm hackeado silenciosamente iPhones por anos, diz Google

Google revela que sites maliciosos foram usados secretamente para hackear iPhones por anos

Pesquisadores de segurança do Google descobriram uma série de sites hackeados que estavam entregando malware projetado para hackear iPhones ao longo de um período de pelo menos dois anos. Esses sites, que foram visitados milhares de vezes por semana, estavam sendo usados para atacar extensivamente seus visitantes usando um exploit zero-day do iPhone.

Apenas visitar um site era suficiente para permitir que hackers coletassem discretamente contatos, imagens e outros dados do iPhone de um usuário.

“No início deste ano, o Grupo de Análise de Ameaças (TAG) do Google descobriu uma pequena coleção de sites hackeados. Os sites hackeados estavam sendo usados em ataques indiscriminados de watering hole contra seus visitantes, usando iPhone 0-day,” escreveu Ian Beer, do Projeto Zero do Google, em um post no blog publicado na quinta-feira.

“Não havia discriminação de alvo; simplesmente visitar o site hackeado era suficiente para o servidor de exploit atacar seu dispositivo, e se fosse bem-sucedido, instalar um implante de monitoramento. Estimamos que esses sites recebem milhares de visitantes por semana,” acrescentou o post.

No início deste ano, o Grupo de Análise de Ameaças (TAG) do Google havia descoberto a operação de hacking secreta quando se depararam com os sites hackeados.

Durante sua investigação, o TAG do Google encontrou um total de 14 vulnerabilidades do iOS em cinco cadeias de exploit: sete para o navegador da web do iPhone, cinco para o kernel e duas escapadas de sandbox separadas, uma das quais era um zero-day. O grupo encontrou cinco cadeias de exploit cobrindo “quase todas as versões do iOS 10 até o iOS 12.”

A maioria das falhas de segurança foi encontrada dentro do Safari, o navegador da web padrão nos dispositivos da Apple, observou Beer. Os iPhones afetados variam do iPhone 5s ao iPhone X.

De acordo com o Google, uma vez que o malware foi instalado com sucesso no iPhone de um usuário, o implante poderia acessar uma enorme quantidade de dados, incluindo iMessages, fotos e localização GPS em tempo real. Além disso, também tinha acesso ao chaveiro dos usuários do iPhone, um recurso responsável por armazenar com segurança senhas e bancos de dados de aplicativos de mensagens criptografadas de ponta a ponta, como o iMessage.

O software malicioso enviaria de volta dados roubados, incluindo dados de localização do usuário ao vivo, para um “servidor de comando e controle” a cada 60 segundos e retransmitiria essas informações para um servidor externo a cada 60 segundos.

O implante também poderia coletar dados de aplicativos de mensageiros criptografados como Instagram, Telegram e WhatsApp – e até mesmo aplicativos do Google como Gmail e Hangouts.

Felizmente, o malware é dito ser não persistente, o que significa que é limpo de um iPhone infectado ao reiniciar. Em tal cenário, os “atacantes podem, no entanto, ser capazes de manter acesso persistente a várias contas e serviços usando os tokens de autenticação roubados do chaveiro, mesmo depois de perderem o acesso ao dispositivo,” observa Beer.

Como o implante não é salvo em dispositivos Apple, ele pode novamente fornecer acesso a hackers quando o proprietário visita um “site comprometido”, alertou Beer.

O Google informou a Apple sobre os ataques em fevereiro, para os quais a Apple posteriormente lançou um patch de segurança para o iOS 12.1.

“Reportamos esses problemas à Apple com um prazo de 7 dias em 1º de fevereiro de 2019, o que resultou no lançamento fora de banda do iOS 12.1.4 em 7 de fevereiro de 2019,” disse Beer.

A Apple divulgou as descobertas do Google em um documento de suporte acompanhante.

Para garantir que seu dispositivo Apple esteja protegido contra a falha, recomendamos que você verifique se seu dispositivo está executando a versão mais atualizada do iOS. A atualização mais recente atualmente disponível é o iOS 12.4.1.