Uma falha de segurança nas Apple AirTags pode transformá-las em um dispositivo de espionagem. De acordo com o analista de segurança Bobby Rauch, as tags possuem uma porta que pode ser facilmente invadida para infectar smartphones. Esta vulnerabilidade força os usuários a efetuarem login em uma página falsa do iCloud para roubar seus dados.
Segundo Rauch, ele teria notificado a Apple em junho e disse que daria um prazo de 90 dias antes de divulgar a falha. Este período é conhecido como “Zero Day”, uma prática comum entre os profissionais de segurança da informação, pois permite que as empresas solucionem os problemas sem prejudicar a sua imagem. Apesar disso, de acordo com o profissional, a Apple teria falhado em resolver a vulnerabilidade e não informou um prazo razoável para encontrar outra solução. Consequentemente, após o prazo estipulado, ele tornou a vulnerabilidade pública.
A Apple tem uma postura controversa em relação a assumir erros e solucionar bugs. Ela já foi criticada anteriormente por outros analistas de segurança que também não tiveram o seu trabalho devidamente creditado.
Leia também!
- Reclamações das conhecidas ‘ligações de telemarketing’ caem 26% em agosto
- Anatel publica edital do leilão 5G; propostas devem ser apresentadas no fim de outubro
- Epic Games x Apple: caso vira precedente em outros processos
Como funciona a vulnerabilidade
De acordo com o analista, quando são anexadas a um objeto, as AirTags possuem um código que pode ser digitalizado tanto por dispositivos iPhone quanto Android, este mecanismo exibirá um número de telefone inserido para a devolução do item, caso esteja perdido. Esta ativação é feita por meio de um link acionado pela pessoa que encontrou objeto na iCloud para alertar o proprietário.
No entanto, Raunch descobriu que é possível injetar um código XSS no campo do número do telefone para trocar o link de segurança disposto na AirTag. A vítima será redirecionada para uma página falsa que roubará seus dados. Além disso, segundo o analista, a vulnerabilidade também pode ser trabalhada de outra maneira, injetando um código para infectar o dispositivo de conexão diretamente pela AirTag sem a necessidade do redirecionamento para outros sites.
Caso a falha não seja solucionada, as AirTags podem ser utilizadas como objetos de espionagem, basta deixar uma delas infectada em um local público e aguardar que alguém a encontre para roubar os seus dados. A Apple ainda não se pronunciou sobre o caso.
Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: