Loading...

Pesadelo para Apple: uma vulnerabilidade aconselha actualizar o quanto antes os iPhone, iPad e Mac

Uma nova versão dos sistemas operativos destes dispositivos soluciona duas graves falhas de segurança

Alberto Rosa

logoh (1)

Se tens um iPhone, iPad ou Mac é recomendável que actualizes o quanto antes o sistema operativo. Duas novas vulenrabildiades de software, catalogadas como CVE-2023-41064 e CVE-2023-41061 mas apodadas "BLASTPASS", ameaçam com converter num pesadelo para Apple a poucos dias do lançamento de seus novos telefones.

Descobertas pelo Citizen Lab e a Universidade de Toronto, trata-se de dois erros no sistema desconhecidos até agora e que permitem fazer com o controle de um dispositivo ou instalar um programa espião tão só carregando uma imagem ou arquivo anexo numa página site ou um correio, sem que seja necessário que o utente pulse um botão ou um enlace. Também aproveitam um erro presente ao aplicativo de pagamentos electrónicos da companhia, instalada em todos os dispositivos por defeito.

Vulnerabilidades de dia zero

Ambas se conhecem comumente como "vulnerabilidades de dia zero", falhas de segurança desconhecidos para o fabricante ou desenvolvedor e que, portanto, não têm sido corrigidos.

As novas cores do iPhone 15 / APPLE

As vulnerabilidades de dia zero são especialmente perigosas porque os ciberdelincuentes podem aproveitá-las dantes de que se desenvolva um parche ou uma solução de segurança. Quando se descobre uma vulnerabilidade de dia zero, costuma se manter em segredo para que o fabricante do software tenha a oportunidade de criar e distribuir um parche dantes de que os atacantes a utilizem em ataques.

Um móvel afectado

Leste tem sido o caso de BLASTPASS, ao pouco de fazer-se público o problema Apple tinha já prontas as versões de seus sistemas operativos que o corrigem, mas é necessário instalar as últimas actualizações de iOS 16, iPadOS 16, watchOS 16 e macOS 13 (as versões actuais dos sistemas operativos) para que não possa ser aproveitado.

O grupo que tem detectado a falha assegura que ao menos existe um caso no que se utilizou para comprometer o telefone de uma pessoa. É o trabalhador internacional de uma organização internacional com sede em Washington DC ao que lhe instalaram uma cópia do software espião Pegasus de NSO.