Apple ignorou brechas graves de segurança no iOS 15, diz pesquisador
Tecmundo
Um pesquisador de segurança publicou, nesta sexta-feira (24), um relatório acusando a Apple de ignorar várias vulnerabilidades presentes no lançamento do iOS 15. O profissional disse ter encontrado quatro problemas, sendo que um deles afeta gravemente a privacidade dos usuários.
Identificado apenas como "illusionofchaos", o pesquisador também engrossou as críticas contra o programa de recompensas da Maçã. Outros especialistas dizem que a gigante da tecnologia é lenta na correção das falhas, que paga pouco e que às vezes até atrasa os pagamentos.
O pesquisador montou uma linha do tempo sobre o seu trabalho e contato com a marca. De acordo com ele, tudo começou em 29 de abril, quando enviou um relatório detalhado sobre problemas ainda do iOS 14.
Depois de demorar para receber uma resposta, uma das vulnerabilidades foi corrigida, mas não foi informada e ele não foi creditado no relatório público da Apple. Depois de cobrar respostas e ser ignorado por vários meses, ele resolveu divulgar o assunto na internet.
"Há dez dias pedi uma explicação e avisei que tornaria minha pesquisa pública se não recebesse uma explicação. Meu pedido foi ignorado, então estou fazendo o que disse que faria. Minhas ações estão de acordo com as diretrizes de divulgação responsável. Esperei muito mais, até meio ano em um caso", disse.
No texto divulgado no Habr, o pesquisador revelou que falhas que estavam no iOS 14.7 foram lançadas junto com o iOS 15 e ainda estão lá.
As brechas
O pesquisador illusionofchaos listou as brechas de segurança que ainda estão presentes no sistema operacional do iPhone. A primeira delas permite que qualquer aplicativo da App Store acesse dados dos usuários como e-mail do Apple ID, token de autenticação do Apple ID, leitura do banco de dados Core Duet (com lista de contatos, SMS, iMessage, aplicativos de mensagem e mais) entre outros.
Outra vulnerabilidade é ainda mais grave, de acordo com o pesquisador, já que deixa acessível a simplesmente qualquer app instalado uma série de informações sensíveis e muito pessoais, como:
- Informações médicas (frequência cardíaca e eventos de ritmo cardíaco irregular);
- Duração do ciclo menstrual, sexo biológico, idade e se a usuária está registrando atividade sexual;
- Informações de uso do dispositivo (captação do dispositivo em diferentes contextos, contagem de notificações push, ação do usuário etc.);
- Informações de tempo de tela e contagem de sessão para todos os aplicativos;
- Informações sobre acessórios do dispositivo com seu fabricante, modelo, versão de firmware e nomes atribuídos pelo usuário;
- Idiomas das páginas da web que o usuário visualizou no Safari.
"Todas essas informações estão sendo coletadas pela Apple para fins desconhecidos, o que é bastante preocupante, principalmente pelo fato de que informações médicas estão sendo coletadas. É por isso que é muito hipocrisia da Apple afirmar que se preocupa profundamente com a privacidade", disparou o pesquisador.
Além dos próprios apps, illusionofchaos diz que os dados podem ser disponibilizados para um invasor mesmo se a opção de "Compartilhar análises" estiver desativada nas configurações. A publicação completa com as provas de conceito podem ser acessadas neste site .