A ZecOps, empresa californiana de segurança, causou polêmica na internet ao revelar uma vulnerabilidade zero day no aplicativo Mail — presente de forma nativa em iPhones e iPads — que estava sendo explorada desde 2018, mas que existe no software desde 2012.
De forma resumida, um agente malicioso é capaz de invadir e controlar o seu app de emails da Apple ao simplesmente enviar uma mensagem projetada especialmente para esse fim; a falha afeta desde o iOS 6 até o iOS 13, o mais recente lançado pela Maçã.
O mais assustador é que, em alguns casos (como no próprio iOS 13), não é necessário sequer o abrir malicioso: o simples ato de executar o aplicativo já é o suficiente para ser infectado. A mensagem maliciosa não precisa ser muito grande ou carregar um script de grande porte; ela só precisa consumir uma quantia significante de memória (como em uma espécie de buffer overflow) para permitir que o atacante inicie a execução de comandos remotos sem que a vítima perceba.
Após encontrar a vulnerabilidade, a ZecOps realizou uma investigação e constatou que a brecha já estava sendo explorada contra indivíduos de alto escalão ao longo dos últimos anos, incluindo:
- Indivíduos de uma empresa da lista Fortune 500 na América do Norte;
- Um executivo de uma grande transportadora japonesa;
- Um executivo alemão;
- Provedores de Serviços Gerenciados de Segurança (MSSPs) da Arábia Saudita e de Israel;
- Um jornalista europeu;
- Um executivo de uma empresa suíça (casos ainda não-confirmado).
Por conta do padrão de alvos, os especialistas acreditam que o bug esteja sendo explorado por agentes patrocinados por governos, e não simples cibercriminosos.
O jeito é apagar
É importante ressaltar que, embora grave, tal vulnerabilidade não permite a invasão de outras áreas do sistema operacional — tudo o que o atacante pode fazer é, de fato, explorar o Mail, lendo suas mensagens, apagando emails e escrevendo correspondências em seu nome.
De acordo com a ZecOps (que decidiu divulgar a brecha para incentivar seu conserto por parte da Apple), tudo indica que o Mail do macOS não é vulnerável ao tal ataque.
Vale observar que, até o momento, não há uma atualização disponível para o aplicativo que evite tal problema — sendo assim, a melhor coisa a se fazer é simplesmente desativar o Mail em seu iPhone ou iPad e utilizar outro cliente de emails até que a situação melhore.