Brecha de segurança no iPhone permitiu o “ataque mais sofisticado” no aparelho

"Operation Triangulation" explorava vulnerabilidades no iOS, foi descoberto pela Kaspersky e corrigido pela Apple em junho de 2023
Rodrigo Mozelli04/01/2024 19h55
ataque_smartphone-1-1200x1080
Imagem: Rodrigo Mozelli (gerada com IA)/Olhar Digital
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

A Kaspersky apresentou relatório detalhado sobre brecha de segurança no iPhone durante o Chaos Communication Congress, em dezembro de 2023. Essa brecha poderia ser explorada para operações de espionagem e roubo de dados.

Chamado de “Operation Triangulation”, o ataque foi identificado pela Kaspersky em junho de 2023 e a Apple providenciou correção no final do mesmo mês. A falha afetava iPhones com sistema iOS 16.2 ou anterior e permitia que o ataque acontecesse sem necessidade de interação do usuário, sendo assim um ataque de zero clique.

Leia mais:

Como o ataque era realizado no iPhone

  • O funcionamento da Operation Triangulation consistia em anexo malicioso enviado com mensagem de texto pelo iMessage;
  • Esse anexo utilizava quatro vulnerabilidades do iOS para executar códigos arbitrários;
  • O exploit era escrito em JavaScript e aproveitava falhas de segurança, incluindo vulnerabilidades na biblioteca JavaScriptCore e no kernel do sistema;
  • Após a invasão bem-sucedida, o ataque podia executar ações específicas no iPhone, incluindo a instalação de spyware;
  • Então, os criminosos tinham o cuidado de remover as evidências da exploração e executavam processo no Safari em modo invisível para dar continuidade ao ataque e obter controle total do aparelho;
  • Com o exploit do Safari, eles conseguiam privilégios de root, o que permitia a execução de estágios subsequentes do ataque e a instalação do spyware.

O ataque foi descoberto pelos próprios pesquisadores da Kaspersky. Na época, os detalhes do ataque não foram divulgados para evitar escalada nas atividades criminosas. Os representantes da Kaspersky afirmaram que esse foi o ataque mais sofisticado já visto até então.

A Apple lançou patch de segurança para essas vulnerabilidades no iOS 16.6 e no iOS 15.7.8 no final de junho de 2023.

Rodrigo Mozelli é jornalista formado pela Universidade Metodista de São Paulo (UMESP) e, atualmente, é redator do Olhar Digital.