Pesquisadores da Independent Security Evaluators (ISE) afirmam ter encontrado a primeira falha grave no smartphone da Apple, o iPhone. O aparelho, que foi lançado no dia 29 de junho, tem sido alvo de diversos pesquisadores que tentam descobrir falhas no dispositivo, mas as brechas descobertas eram de baixa gravidade, permitindo no máximo que um número fosse automaticamente discado a partir de uma página web.

De acordo com os pesquisadores da ISE, a brecha permite execução de código, o que geralmente permite a instalação de vírus em um sistema, sendo o tipo mais grave de falha nestes casos. Eles dizem ter conseguido criar uma página maliciosa que, ao ser acessada pelo navegador web do iPhone, é capaz de enviar arquivos presentes no aparelho para um servidor remoto.

No código de conceito criado para demonstrar a falha, o relatório de mensagens SMS, o catálogo de endereços, o histórico de chamadas e dados do correio de voz são enviados para um site remoto. “Mas este código poderia ser substituído por um código que pode fazer qualquer coisa que o iPhone pode fazer”, dizem os pesquisadores na página informativa sobre a brecha.

Para ser ativado, o código malicioso precisa que o usuário abra uma página criada especialmente para tirar proveito do problema, pois este se encontra no Safari, o navegador web do iPhone. Além dos métodos conhecidos para que um usuário possa chegar neste tipo de página (e-mail, sites de rede social e fórum, resultados em sites de busca), os pesquisadores da ISE também mencionam a possibilidade da criação de uma rede Wi-Fi (sem fio) que usa o mesmo nome de uma rede previamente acessada pelo aparelho.

Caso o iPhone veja esta rede com o mesmo nome da anterior, ele irá supor que é uma rede “conhecida” e irá se conectar nela automaticamente. O indivíduo malicioso responsável pela rede pode então fazer com que o código malicioso seja incluído em qualquer página acessada pelo aparelho enquanto ele estiver usando aquela rede falsa.

O iPhone, diferentemente de outros celulares até mais simples do que ele, não é capaz de executar programas de terceiros. Isto impossibilita que um vírus seja instalado no aparelho sem o uso de uma falha de segurança, o que o torna um alvo difícil para malwares. Os pesquisadores que descobriram a nova falha disseram ter avisado a Apple e esperam que a empresa conserte o problema.

A falha também existe nas versões para Windows e Mac OS X do Safari, mas os pesquisadores dizem não saber se ela é grave nestes sistemas. Mais detalhes serão revelados no dia 2 de agosto durante a conferência de segurança BlackHat 2007, que acontecerá em Las Vegas.

Veja também

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.