A Apple liberou nesta quinta-feira (7) atualizações emergenciais de segurança para iPhones, iPads, Macs e Apple Watches. Os updates visam consertar duas vulnerabilidades que permitiam a instalação do spyware Pegasus. Os erros foram corrigidos no macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2.

iPhone 13 Mini (Imagem: Darlan Helder/Tecnoblog)
iPhone 13 Mini (Imagem: Darlan Helder/Tecnoblog)

Entre os modelos afetados, estão:

  • iPhone 8 e mais recentes
  • iPad Pro (todos os modelos)
  • iPad Air (3ª geração e mais recentes)
  • iPad (5ª geração e mais recentes)
  • iPad Mini (5ª geração e mais recentes)
  • Macs que rodam o macOS Ventura
  • Apple Watch Series 4 e mais recentes

Falha permitia instalação do spyware Pegasus

As duas brechas de segurança foram chamadas “Blastpass” por pesquisadores do Citizen Lab da Universidade de Toronto (Canadá). As falhas foram identificadas com os códigos CVE-2023-41064 e CVE-2023-41061.

Com elas, um atacante era capaz de instalar um malware ao carregar uma imagem ou um anexo em apps como Safari, Mensagens ou WhatsApp, além de outros aplicativos de terceiros ou da própria Apple.

Esse tipo de vulnerabilidade é chamado “zero-click”, já que pode ser explorado sem necessidade de uma ação do usuário.

Segundo o Citizen Lab, o Blastpass estava sendo usado para instalar o spyware Pegasus, criado e vendido pela empresa israelense de tecnologia NSO Group. O Pegasus é uma ferramenta que rouba informações e ações das vítimas. Ele funciona no Android e no iOS.

O Pegasus é usado, na maioria das vezes, com fins de espionagem política. Indivíduos que estão expostos a esse tipo de risco podem usar o Modo de Bloqueio (ou Lockdown Mode, em inglês) da Apple.

O Modo de Bloqueio desativa vários tipos de vetores de ataques, como anexos, previews de links, algumas tecnologias de páginas da web, convites para eventos e ligações do FaceTime, entre outros. A Apple adverte que pouquíssimas pessoas precisam do recurso, e ele só deve ser usado em casos extremos.

Apple corrigiu 13 falhas zero-day em 2023 até agora

Com as duas vulnerabilidades corrigidas na quinta-feira, a Apple chegou a 13 brechas de segurança do tipo zero-day consertadas em 2023.

Além das atualizações regulares, a Apple conta desde maio de 2023 com o Rapid Secure Response, uma forma mais rápida de corrigir problemas de segurança de seus produtos. O recurso permite fazer o conserto sem precisar de um update completo.

Brechas zero-day são aquelas descobertas por empresas ou pesquisadores quando já estão sendo usadas para ataques. O nome se deve ao fato de que os desenvolvedores têm “zero dia” para consertá-las.

Com informações: Ars Technica, Bleeping Computer, Citizen Lab

iPhones e Macs são atualizados para corrigir falha usada por spyware Pegasus