Na última semana, a Apple lançou uma atualização urgente do iOS, que corrigia um bug que permitia transformar o iPhone em uma escuta por meio de uma falha de segurança no FaceTime. No entanto, o que a Apple não revelou é que o update também resolvia outras duas falhas críticas no sistema que, curiosamente, foram descobertas e reportadas pelo Google.
Foram duas vulnerabilidades do tipo “zero-day”, o que significa que elas foram descobertas pelo cibercrime antes de chegar aos ouvidos da Apple e estavam sendo ativamente usadas para ataques a usuários do iOS.
A brecha foi revelada pelo especialista em segurança Ben Hawkes, que lidera o Project Zero dentro do Google. A divisão foi criada há alguns anos com a intenção de encontrar e reportar brechas em aplicativos e sistemas operacionais de outras empresas. No passado, o Google já teve grandes brigas com a Microsoft pela atuação do Project Zero.
Por motivos de segurança, Hawkes não deu detalhes sobre as vulnerabilidades, justamente para evitar que elas sejam facilmente exploradas em aparelhos iOS que, porventura, não tenham sido atualizados. Também não se sabe como o cibercrime estava utilizando essas técnicas de ataque.
O que se sabe é que uma das vulnerabilidades poderia usar um problema de memória corrompida por meio deu um aplicativo malicioso e obter privilégios do sistema. A outra falha permitia a utilização de outro problema de memória corrompida para execução de código com privilégio de kernel.
Assim, se você ainda não atualizou o seu iOS para a versão 12.1.4, atualize o quanto antes. As vulnerabilidades corrigidas pelo update são graves e não devem ser ignoradas.