Pesquisa em LivreSocial

sexta-feira, 31 de julho de 2009

Falha expõe dados gravados no iPhone

O aparelho mais querido dos últimos tempos pelos fanáticos de tecnologia está em cheque. Falha crítica de segurança deixa a informação nele contida completamente disponível para que sejam copiadas livremente.

O aparelho
O iPhone é sem dúvida nenhuma um marco na história das comunicações pessoais. Inovador em tudo o que faz, e principalmente como faz, se tornou uma estrela e campeão de vendas. Uma busca simples no youtube com a palavra iPhone gera uma relação incrível de contribuições de vídeo. Provavelmente este é 1 dos 10 mais desejados objetos techies. Fotos, vídeos, mensagens, documentos, planilhas, programas, e muito mais tornam este smartphone muito mais um excelente computador que veio com um telefone de brinde.

A falha de segurança
Como quase sempre ocorre, para ser bem aceito pelo público, tem que ter um esmero nas funções, na facilidade de uso, na interface, etc. E quase sempre que isto é feito, o quesito segurança sofre, em geral, recebendo menos atenção.

A Forbes anunciou em 28 de julho um perigo que ronda todos os iPhones do mundo: a perda de todas as informações contidas neste iPhone. Se o proprietário do aparelho receber uma mensagem contendo um único quadradinho, pode ter quase certeza que alguém já teve algum acesso completo ao aparelho. Os especialistas em segurança Charlie Miller e Collin Mulliner afirmam que irão demonstrar isto na Black Hat cybersecurity conference em Las Vegas. Esta falha daria ao atacante a possibilidade de discar usando o aparelho invadido, visitar sites, ativar a câmera e microfone, e usar o aparelho invadido para tomar o controle de mais aparelhos, podendo iniciar um ataque em massa.

A posição da Apple
O pior é que mais uma vez a velha história se repete: algum pesquisador descobre a falha, avisa o fabricante, e o fabricante nada anuncia em relação a isso. Ou não liga para o aviso, ou não consegue resolver o problema, mas obviamente não assumiria esta inaptidão. Os pesquisadores afirmam ter avisado a Apple a mais de um mês mas a Apple não liberou até o momento nenhuma correção. A revista Forbes informa também ter ligado diversas vezes acerca do assunto, mas não recebeu nenhum parecer. Infelizmente, a Apple aparenta fugir da mídia neste momento importante.
Neste exato instante, Marcelo Todaro me informa por email que a solução para este problema já foi até anunciado e que estará disponível pelo iTunes, conforme anúncio no site do Terra. Uma olhada superficial na página americana do iPhone não informa nada ainda. O site indicado por Marcelo Todaro diz que um porta-voz de uma operadora de telefonia celular da Grã-Bretanha informou que a atualização será divulgada através do iTunes. Ou seja, a afirmação não veio da Apple.

O ponto crítico
Miller e Mulliner avisam que durante a conferência irão anunciar MAIS falhas do sistema. Eles informam que o Windows Mobile também está sujeito a falha semelhante com mensagens SMS, assim como também o Android da Google. Entretanto, a Google informa já ter corrigido esta falha.

O pior cenário disto tudo é que o iPhone se popularizou, conquistou o mercado doméstico e profissional. Hoje, diversas empresas fazem uso massivo do aparelho, inclusive para transporte de informações vitais para negócios. Agora, para os atacantes, basta encontrar um iPhone na mão de um aparente executivo, e ele estará indefeso.

Infelizmente, a informação que a Apple vai disponibilizar a correção veio um pouco tarde demais. Jonathan Zdziarski já havia demonstrado como ele consegui transferir informações de um iPhone em 45 minutos, e mesmo assim nenhum parecer foi publicado, ao menos que eu tenha localizado. Zdziarsky afirma também que é tão fácil conseguir informações privadas do usuário usando o iPhone 3GS como era em suas versões anteriores, que não tinham encriptação de dados. Fiz um rápido levantamento de vulnerabilidades relacionadas ao iPhone, e encontrei uma lista generosa, tanto diretamente relacionadas ao sistema, como relacionadas a aplicações que funcionam no sistema.

Ainda extraído do MacMais, O The Register disse que a Apple mostrou sua inabilidade em implementar uma proteção criptográfica decente, mas reiterou que são poucos os sistemas de telefonia celular que se preocupam com isso. A exceção são os Blackberry. No mesmo site há dois vídeos interessantes.

É possível que a imagem absurdamente negativa que ia ser gerada na Black Hat cybersecurity conference tenha acelerado pela Apple a liberação desta correção.

Lembrete
Gostaria de lembrar a todos os que lêem este blog que é muito importante a opinião coletada na pequena pesquisa de utilidade logo a seguir, como pelos comentários, que são sempre bem-vindos.

Nenhum comentário:

Notícias Linux

Dicas-L: Dicas técnicas de Linux e Software Livre

Ubuntu Dicas

Security Fix

 
Creative Commons License
Blog Livre e Social by Gilberto Martins is licensed under a Creative Commons Atribuição 2.5 Brasil License.