Na quarta-feira, a Apple lançou patches para iOS, MacOS, iPadOS e WatchOS que corrigem uma vulnerabilidade que pode permitir a instalação de spyware sem ação do usuário. Há três semanas, a Kaspersky Lab anunciou a descoberta do spyware Triangulation (TriangleDB) em smartphones da Apple. Foram cerca de pelo menos dezenas de smartphones de funcionários de laboratório e outros cidadãos. O spyware entra no iPhone por meio de mensagens maliciosas no iMessage.
Fonte da imagem: Thai Nguyen/unsplash.com
De acordo com a Apple, o spyware é bastante poderoso. De acordo com a Kaspersky Lab, o implante TriangleDB é carregado nos dispositivos depois que os invasores obtêm acesso root como resultado da exploração bem-sucedida de uma vulnerabilidade no kernel do iOS. Para fazer isso, eles enviam uma mensagem infectada via iMessage com a qual o usuário nem precisa interagir – a infecção ocorre automaticamente. O software funciona apenas na RAM, portanto, seus rastros são perdidos quando o dispositivo é reinicializado.
Se a vítima reiniciar o smartphone, os invasores terão que infectá-lo novamente: para fazer isso, eles precisam enviar um iMessage com um anexo malicioso e iniciar toda a cadeia de infecção novamente. Se a reinicialização não ocorrer, o vírus funcionará por 30 dias e, se os invasores não estenderem esse período, ele será excluído. De acordo com a Apple, o spyware também usou uma vulnerabilidade anteriormente desconhecida no iOS 15, afetando o mecanismo do navegador Safari. A empresa também teve que lançar atualizações de segurança para smartphones mais antigos.
Os especialistas da Kaspersky disseram que levou cerca de seis meses para coletar evidências suficientes de como o spyware funciona. O laboratório afirma que o software é capaz de:
- Manipulação de arquivos, incluindo criação, modificação, exclusão e exfiltração;
- Manipulação de processos em execução, incluindo obter uma lista e finalizá-los;
- Exfiltração de elementos de chaveiro do iOS (keychain), que podem conter credenciais para diferentes serviços, certificados e outras chaves;
- Transmissão de dados de geolocalização, incluindo coordenadas, altitude, velocidade e direção do movimento.
Além disso, o implante malicioso pode baixar e executar novos módulos na memória do telefone e, segundo relatos, infectar outros sistemas operacionais no ecossistema da Apple. Embora a própria Kaspersky Lab não tenha relatado quem exatamente poderia criar e usar o software, o FSB relatou uma ação de reconhecimento das agências de inteligência americanas para infectar os smartphones dos funcionários do governo. Claro, a Apple nega qualquer envolvimento em tais atividades.
Os usuários que suspeitam de interferência de terceiros em seus smartphones podem atualizar o sistema operacional manualmente ou automaticamente, se especificado nas configurações.