Por que você precisa atualizar o iOS e o macOS o mais rápido possível

Você não deve adiar a atualização para iOS 16.3 e macOS Ventura 13.2 e atualizações futuras, e aqui está o porquê.

As versões mais recentes do iOS e iPadOS (16.3) e macOS (Ventura 13.2) corrigiram as vulnerabilidades rastreadas como CVE-2023-23530 e CVE-2023-23531. Explicamos a natureza desses bugs, por que eles merecem sua atenção, o que o spyware Pegasus tem a ver com eles e por que você deve levar essas e futuras atualizações de segurança do iOS, iPad e macOS a sério.

NSPredicate, FORCEDENTRY, Pegasus e todo o resto

Para explicar por que essas últimas atualizações são importantes, precisamos de algumas infrmações. A base de software de aplicativos feitos para os sistemas operacionais da Apple é chamada – embora você não acredite – de Foundation framework! Aqui está a descrição da Apple:

A estrutura Foundation fornece uma camada base de funcionalidade para aplicativos e frameworks, incluindo armazenamento e persistência de dados, processamento de texto, cálculos data e hora, classificação e filtragem e rede. As classes, protocolos e tipos de dados definidos pelo Foundation são usados em todos os SDKs do macOS, iOS, watchOS e tvOS.”

Há pouco mais de dois anos, em janeiro de 2021, um pesquisador de segurança do iOS conhecido como CodeColorist publicou um relatório que mostrava como a implementação das classes NSPredicate e NSExpression (que fazem parte do framework Foundation) pode ser explorada para executar código arbitrário. Acontece que essas classes são responsáveis por classificar e filtrar dados. O que é importante aqui no contexto do que estamos contando nesta postagem é que essas ferramentas permitem executar scripts em um dispositivo sem verificar a assinatura digital do código.

A principal descoberta do CodeColorist foi que esses scripts podem ajudar a contornar os mecanismos de segurança da Apple  —  incluindo o isolamento de aplicativos. Isso torna possível escrever um aplicativo malicioso que rouba dados (como correspondência do usuário ou fotos aleatórias da galeria) de outros aplicativos.

Em março de 2022 aconteceu o lançamento de um documento sobre a implementação prática de tal aplicativo — a exploração zero cliques FORCEDENTRY —  que foi usada para espalhar o infame malware Pegasus. As vulnerabilidades no NSPredicate e NSExpression permitiram que esse malware executasse uma fuga de sandbox e obtivesse acesso a dados e funções fora dos limites estritamente definidos dentro dos quais todos os aplicativos iOS funcionam.

Na sequência do trabalho teórico do CodeColorist e do estudo prático do exploit FORCEDENTRY, a Apple implementou uma série de medidas e restrições de segurança. No entanto, um novo estudo mostra que eles ainda são fáceis de contornar.

Por que a CVE-2023-23530 e a CVE-2023-23531 são perigosas

As vulnerabilidades CVE-2023-23530 e CVE-2023-23531 tornaram-se novas maneiras de contornar essas restrições. A primeira, CVE-2023-23530, decorre de como exatamente a Apple abordou o problema. Especificamente, eles elaboraram extensas listas de negação de classes e métodos que representam um risco de segurança óbvio no NSPredicate. O problema é que, usando métodos não incluídos nas listas de negação, é possível limpar essas listas e usar o conjunto completo de métodos e classes.

A segunda vulnerabilidade, CVE-2023-23531, está relacionada a como os processos no iOS e macOS interagem entre si e como o processo de recebimento de dados filtra as informações recebidas. Simplificando, o processo de envio de dados pode adicionar a ele uma tag de “conteúdo verificado” e alimentar o processo de recebimento com um script malicioso que usa o NSPredicate, que em alguns casos será executado sem verificação

Segundo os pesquisadores, essas duas técnicas para contornar as verificações de segurança permitem a exploração de várias outras vulnerabilidades específicas. Os invasores podem usar essas vulnerabilidades para obter acesso aos dados do usuário e recursos perigosos do sistema operacional e até mesmo instalar aplicativos (incluindo os do sistema). Em outras palavras, CVE-2023-23530 e CVE-2023-23531 podem ser usadas para criar exploits do tipo FORCEDENTRY.

Para demonstrar os recursos da CVE-2023-23530 e da CVE-2023-23531, os pesquisadores gravaram um vídeo mostrando como um aplicativo malicioso pode ser capaz de executar código dentro do SpringBoard (o aplicativo padrão que gerencia a tela inicial no iOS) em um iPad . De sua parte, o SpringBoard tem privilégios elevados e vários direitos de acesso — incluindo câmera, microfone, histórico de chamadas, fotos e dados de geolocalização. E mais — pode limpar completamente o dispositivo.

O que isso significa para a segurança do iOS e macOS

Devemos enfatizar que os perigos representados por CVE-2023-23530 e CVE-2023-23531 são puramente teóricos: não houve casos registrados de exploração na realidade. Além disso, as atualizações do iOS 16.3 e do macOS Ventura 13.2 os corrigiram; portanto, se você instalá-las a tempo, estará, supostamente, seguro.

Dito isso, não sabemos o quão bem a Apple corrigiu as vulnerabilidades desta vez. Talvez soluções alternativas também sejam encontradas para esses patches. De qualquer forma, em conversa com a Wired, os próprios pesquisadores tinham certeza de que novas vulnerabilidades dessa classe vão continuar aparecendo.

Lembre-se de que apenas ser capaz de executar scripts no iOS usando NSPredicate não é suficiente para um hack bem-sucedido. Um invasor ainda precisa entrar de alguma forma no dispositivo da vítima para poder fazer qualquer coisa com ele. No caso do FORCEDENTRY, isso envolvia o uso de outras vulnerabilidades: um PDF infectado disfarçado como um arquivo GIF inocente foi inserido no dispositivo de destino por meio do iMessage.

A probabilidade de tais vulnerabilidades serem usadas em ataques APT é alta, por isso vale a pena repetir as medidas defensivas que você pode tomar. Temos uma postagem separada sobre isso, na qual Costin Raiu, diretor de nossa Equipe Global de Pesquisa e Análise (GReAT), explica em detalhes como se proteger contra o malware da classe Pegasus e por que essas medidas funcionam. Aqui está um breve resumo de seus conselhos:

  • Reinicie seu iPhone e iPad com mais frequência — é difícil para os invasores obter uma posição permanente no iOS, e uma reinicialização geralmente elimina o malware.
  • Desative o iMessage e o FaceTime se possível — esses aplicativos fornecem um ponto de entrada conveniente para atacar dispositivos iOS.
  • Em vez do Safari, use um navegador alternativo como, digamos, o Firefox Focus.
  • Não entre em links de mensagens.
  • Instale a [Kaspersky Premium placeholder]proteção confiável[/Kaspersky Premium placeholder]em todos os seus dispositivos.
  • E, finalmente (como continuamos insistindo ad infinitum), mantenha seus sistemas operacionais atualizados (e de agora em diante, fique mais atento às atualizações do iOS, iPadOS e macOS quando forem lançadas).
Dicas