{"id":19560,"date":"2022-06-14T15:47:30","date_gmt":"2022-06-14T18:47:30","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19560"},"modified":"2022-06-14T15:45:35","modified_gmt":"2022-06-14T18:45:35","slug":"hacking-powered-off-iphone","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hacking-powered-off-iphone\/19560\/","title":{"rendered":"Hackear um iPhone desligado \u00e9 poss\u00edvel? As vulnerabilidades nunca dormem"},"content":{"rendered":"

Pesquisadores do Secure Mobile Networking Lab da Universidade de Darmstadt, na Alemanha, publicaram um artigo<\/a> descrevendo um m\u00e9todo te\u00f3rico para hackear um iPhone \u2013 mesmo que o dispositivo esteja desligado. O estudo examinou o funcionamento dos m\u00f3dulos sem fio, encontrou formas de analisar o firmware do Bluetooth e, consequentemente, de introduzir malware capaz de funcionar de forma totalmente independente do iOS, o sistema operacional do dispositivo.<\/p>\n

Com um pouco de imagina\u00e7\u00e3o, n\u00e3o \u00e9 dif\u00edcil conceber um cen\u00e1rio em que um invasor mantenha um telefone infectado pr\u00f3ximo ao dispositivo da v\u00edtima e transfira um malware, que poder\u00e1 roubar as informa\u00e7\u00f5es do cart\u00e3o de pagamento ou at\u00e9 mesmo a chave virtual do carro.<\/p>\n

Mas, por enquanto, isso ainda est\u00e1 no campo da hip\u00f3tese. Isso porque os autores do artigo n\u00e3o demonstraram o risco, parando a um passo de uma implementa\u00e7\u00e3o pr\u00e1tica do ataque em que algo realmente \u00fatil<\/span>\u00a0desagrad\u00e1vel \u00e9 carregado no smartphone. Mesmo assim, os pesquisadores fizeram muito ao analisar a funcionalidade n\u00e3o documentada do telefone, fazer engenharia reversa de seu firmware Bluetooth e modelar v\u00e1rios cen\u00e1rios para o uso de m\u00f3dulos sem fio.<\/p>\n

Ent\u00e3o, se o ataque n\u00e3o aconteceu, sobre o que \u00e9 este post? Vamos explicar, n\u00e3o se preocupe, mas primeiro uma declara\u00e7\u00e3o importante: se um dispositivo est\u00e1 desligado, mas a intera\u00e7\u00e3o com ele (hacking, por exemplo) ainda \u00e9 poss\u00edvel, ent\u00e3o\u2026. ele n\u00e3o est\u00e1 completamente desligado!<\/p>\n

Como chegamos ao ponto em que desligar algo n\u00e3o significa necessariamente que est\u00e1 realmente desligado? Vamos come\u00e7ar do in\u00edcio<\/p>\n

O Modo de Baixa Energia da Apple<\/h2>\n

Em 2021, a Apple anunciou que o servi\u00e7o Buscar Meu Dispositivo, usado para localizar um aparelho perdido, agora vai funcionar mesmo se o dispositivo estiver desligado. Esta melhoria est\u00e1 dispon\u00edvel em todos os smartphones da Apple desde o modelo iPhone 11.<\/p>\n

Se, por exemplo, voc\u00ea perder seu telefone em algum lugar e sua bateria acabar depois de um tempo, ele n\u00e3o desliga completamente, mas muda para o Modo de Baixo Consumo, no qual apenas um conjunto muito limitado de m\u00f3dulos \u00e9 mantido vivo. Estes s\u00e3o principalmente os m\u00f3dulos sem fio Bluetooth e Ultra WideBand (UWB), bem como NFC. H\u00e1 tamb\u00e9m o chamado Secure Element<\/a> \u2013 \u200b\u200bum chip seguro que armazena seus segredos mais preciosos, como detalhes do cart\u00e3o de cr\u00e9dito para pagamentos por apromxima\u00e7\u00e3o ou chaves do carro \u2013 o recurso mais recente dispon\u00edvel desde 2020 para um n\u00famero limitado de ve\u00edculos.<\/p>\n

O Bluetooth no modo de baixo consumo \u00e9 usado para transfer\u00eancia de dados, enquanto o UWB serve para determinar a localiza\u00e7\u00e3o do smartphone. No modo de baixo consumo, o smartphone envia informa\u00e7\u00f5es sobre si mesmo, nas quais os iPhones de transeuntes podem captar. Se o propriet\u00e1rio de um telefone perdido fizer login em sua conta da Apple online e marcar o telefone como perdido, as informa\u00e7\u00f5es dos smartphones ao redor ser\u00e3o usadas para determinar a localiza\u00e7\u00e3o do dispositivo. Para detalhes de como isso funciona, veja nosso post recente sobre persegui\u00e7\u00e3o de AirTag<\/a>.<\/p>\n

O an\u00fancio rapidamente provocou uma discuss\u00e3o acalorada entre os especialistas em seguran\u00e7a da informa\u00e7\u00e3o sobre os poss\u00edveis m\u00faltiplos riscos de seguran\u00e7a. O time de pesquisadores da Alemanha decidiu testar poss\u00edveis cen\u00e1rios de ataque na pr\u00e1tica.<\/p>\n

Ao desligar o telefone, o usu\u00e1rio agora v\u00ea a mensagem \u201ciPhone permanece localiz\u00e1vel ap\u00f3s o desligamento\u201d. Fonte<\/a><\/p><\/div>\n

Buscar o dispositivo ap\u00f3s desligamento<\/h2>\n

Em primeiro lugar, os pesquisadores realizaram uma an\u00e1lise detalhada do servi\u00e7o Buscar Meu Dispositivo no modo de baixo consumo e descobriram algumas caracter\u00edsticas anteriormente desconhecidas. Ap\u00f3s o desligamento, a maior parte do trabalho \u00e9 feita pelo m\u00f3dulo Bluetooth, que \u00e9 recarregado e configurado por um conjunto de comandos do iOS. Em seguida, ele envia periodicamente pacotes de dados pelo ar, permitindo que outros dispositivos detectem o iPhone <em>quase desligados<\/em>.<\/p>\n

Descobriu-se que a dura\u00e7\u00e3o desse modo \u00e9 limitada: na vers\u00e3o iOS 15.3, apenas 96 sess\u00f5es de transmiss\u00e3o s\u00e3o definidas com um intervalo de 15 minutos. Ou seja, um iPhone perdido e desligado poder\u00e1 ser encontrado por apenas 24 horas. Se o telefone for desligado devido a uma bateria fraca, a janela ser\u00e1 ainda menor \u2013 cerca de cinco horas. Isso pode ser considerado uma peculiaridade do recurso, mas um bug real tamb\u00e9m foi encontrado: \u00e0s vezes, quando o telefone est\u00e1 desligado, o modo \u201cbeacon\u201d n\u00e3o \u00e9 ativado, embora devesse ser.<\/p>\n

O mais interessante aqui \u00e9 que o m\u00f3dulo Bluetooth \u00e9 reprogramado antes de ser desligado; ou seja, sua funcionalidade \u00e9 fundamentalmente alterada. Mas e se ele puder ser reprogramado em detrimento do propriet\u00e1rio?<\/p>\n

Ataque a um telefone desligado<\/strong><\/h2>\n

Na verdade, a principal descoberta da equipe foi que o firmware do m\u00f3dulo Bluetooth n\u00e3o \u00e9 criptografado e n\u00e3o \u00e9 protegido pela tecnologia Secure Boot. A inicializa\u00e7\u00e3o segura envolve a verifica\u00e7\u00e3o em v\u00e1rios est\u00e1gios do c\u00f3digo do programa na inicializa\u00e7\u00e3o, para que apenas o firmware autorizado pelo fabricante do dispositivo possa ser executado.<\/p>\n

A falta de criptografia permite a an\u00e1lise do firmware e a busca de vulnerabilidades, que posteriormente podem ser utilizadas em ataques. Mas a aus\u00eancia do Secure Boot permite que um invasor v\u00e1 mais longe e substitua completamente o c\u00f3digo do fabricante pelo seu pr\u00f3prio, que o m\u00f3dulo Bluetooth executa. Para compara\u00e7\u00e3o, a an\u00e1lise do firmware do m\u00f3dulo UWB do iPhone revelou que ele \u00e9 protegido pelo Secure Boot, embora o firmware tamb\u00e9m n\u00e3o seja criptografado.<\/p>\n

Claro, isso n\u00e3o \u00e9 suficiente para um ataque s\u00e9rio e pr\u00e1tico. Para isso, um invasor precisa analisar o firmware, tentar substitu\u00ed-lo por algo de sua autoria e procurar maneiras de invadir. Os autores do artigo descrevem em detalhes o modelo te\u00f3rico do ataque, mas n\u00e3o mostram praticamente que o iPhone pode ser hackeado atrav\u00e9s de Bluetooth, NFC ou UWB. O que fica claro a partir de suas descobertas \u00e9 que, se esses m\u00f3dulos estiverem sempre ativados, as vulnerabilidades tamb\u00e9m sempre funcionar\u00e3o.<\/p>\n

A Apple n\u00e3o se impressionou com o estudo e se recusou a responder. Isso por si s\u00f3, no entanto, diz pouco: a empresa tem o cuidado de manter uma imagem de indiferen\u00e7a mesmo nos casos em que a amea\u00e7a \u00e9 grave e demonstrada na pr\u00e1tica.<\/p>\n

Lembre-se de que a Apple n\u00e3o mede esfor\u00e7os para manter seus segredos guardados a sete chaves: os pesquisadores precisam lidar com c\u00f3digo de software fechado, muitas vezes criptografado, no pr\u00f3prio hardware da Apple, com m\u00f3dulos de terceiros feitos sob encomenda. Um smartphone \u00e9 um sistema grande e complexo que \u00e9 dif\u00edcil de entender, especialmente se o fabricante atrapalha em vez de ajudar.<\/p>\n

Ningu\u00e9m descreveria as descobertas da equipe de seguran\u00e7a alem\u00e3 como impressionantes, mas elas s\u00e3o o resultado de um trabalho muito meticuloso. O trabalho tem m\u00e9rito por questionar a pol\u00edtica de seguran\u00e7a de desligar o telefone, mas manter alguns m\u00f3dulos vivos. As d\u00favidas se mostraram justificadas.<\/p>\n

Um dispositivo meio desligado<\/h2>\n

O artigo conclui que o firmware do Bluetooth n\u00e3o est\u00e1 suficientemente protegido. \u00c9 teoricamente poss\u00edvel modific\u00e1-lo no iOS ou reprogramar o mesmo Modo de Baixo Consumo, expandindo ou alterando sua funcionalidade. O firmware UWB tamb\u00e9m pode ser examinado em busca de vulnerabilidades. O principal problema, no entanto, \u00e9 que esses m\u00f3dulos sem fio (assim como o NFC) se comunicam diretamente com o enclave protegido que \u00e9 o Secure Element. O que nos leva a algumas das conclus\u00f5es mais empolgantes do artigo:<\/p>\n

Teoricamente, \u00e9 poss\u00edvel roubar uma chave de carro virtual de um iPhone \u2013 mesmo que o dispositivo esteja desligado! Claramente, se o iPhone for a chave do carro, perder o dispositivo pode significar perder o carro. No entanto, neste caso, o telefone real permanece em sua posse enquanto a chave \u00e9 roubada. Imagine a seguinte situa\u00e7\u00e3o: um intruso se aproxima de voc\u00ea no shopping, encosta o celular na sua bolsa e rouba sua chave virtual.<\/p>\n