Bug da Apple abre brecha para hackers invadirem iPhone, diz empresa

O iOS, sistema operacional da Apple Inc., tem uma falha que permite que hackers invadam os aparelhos iPhone e iPad que estiverem dentro do alcance de uma conexão sem fio, segundo a empresa de segurança Skycure Ltd.

Os aplicativos dos aparelhos e até mesmo o software básico como um todo fecham quando operados com certificados de criptografia SSL manipulados, disse o CEO da Skycure, Adi Sharabani, em entrevista por telefone. Se os hackers conseguirem invadir os aparelhos que estão dentro do alcance de sua própria rede sem fio, eles podem efetivamente criar uma "zona sem iOS", segundo a Skycure, que tem sede em Tel Aviv, Israel.

"Quando os programas dão erro, as pessoas tendem a pensar que é por um problema de qualidade", disse Sharabani. "Mas poderia ser uma vulnerabilidade grave".

Como a Apple mantém um controle rígido sobre o código de seu sistema operacional e os aplicativos que podem rodar nele, os hackers especializados em telefones celulares têm se concentrado na plataforma Android, do Google Inc., que lhes proporciona mais liberdade de manipulação. A falha do SSL mostra que os hackers podem ter a oportunidade de provocar danos também aos clientes da Apple.

Um representante da Apple em Londres preferiu não comentar. A Skycure disse que não sabe se alguém já explorou essa falha de segurança.

A versão mais recente do iOS, a 8.3, lançada neste mês, consertou algumas de suas vulnerabilidades, enquanto outras ainda podem ser reproduzidas, disse Sharabani. Ele preferiu não fornecer detalhes a respeito para não dar instruções aos hackers.

Ciclos de reinicialização

Skycure, fundada em 2012 por Sharabani e pelo diretor de tecnologia Yair Amit, é especializada em softwares que protegem aparelhos celulares de ataques realizados por meio de ondas aéreas. A empresa, que recebeu US$ 8 milhões no mês passado de investidores como a Shasta Ventures, descobriu em 2013 como os hackers podem atacar usuários de celulares por meio de redes sem fio maliciosas usando privilégios normalmente reservados às operadoras de telefonia celular.

Os pesquisadores da Skycure descobriram a falha do iOS realizando experimentos com várias formas de conectar aparelhos a uma rede. Quando eles trouxeram um novo roteador e alteraram a configuração sem fio, os programas dos aparelhos que rodavam o software da Apple começaram a apresentar erros.

Os hackers que controlam a rede a que o aparelho está conectado também podem controlar os certificados que costumam ser usados para transferir dados de forma segura e utilizá-los para o chamado ataque de "negação de serviço". Como a criptografia SSL é usada pelo iOS e por quase todos os aplicativos disponíveis na loja de aplicativos, a vulnerabilidade preocupa um amplo leque de usuários.

No pior cenário, os aparelhos podem ser forçados a entrar em ciclos de reinicialização que só podem ser interrompidos se o cliente sair do alcance da rede maliciosa, disse Sharabani. Os usuários devem se assegurar de atualizar o sistema operacional logo e ter cuidado ao usar redes locais sem fio públicas, disse a Skycure.