Pouco mais de um mês após lançar o iPhone, a Apple disponibilizou ontem (31/07) a primeira atualização para o aparelho — iPhone v1.0.1. Cinco falhas de segurança foram corrigidas, sendo que uma delas é considerada grave por permitir que código malicioso seja executado quando uma página web for visitada.

Apenas uma das falhas corrigidas (CVE-2007-3944) permite a execução de código, necessária para a instalação de vírus. Outra brecha (CVE-2007-2399) também pode permitir que isto aconteça, mas, de acordo com a Apple, há chance de que o aplicativo em uso seja simplesmente fechado, sem maiores danos.

Das outras três, duas permitem ataques XSS (em que um site executa código como se fosse outro) e a última tenta facilitar a verificação da autenticidade de domínios (“www.example.com”) que utilizam caracteres internacionais, como acentos. Das cinco falhas, duas afetam o Safari, enquanto uma afeta o WebCore e as últimas duas o WebKit.

O WebCore e o WebKit são bibliotecas (código “compartilhado”) usadas pelo Safari, o que, na prática, significa que ele também pode ser o alvo de um ataque que vista estas falhas. No entanto, problemas nestas bibliotecas são mais abrangentes, pois, sendo elas código compartilhado, outros programas, além do Safari, podem ser afetados.

O iTunes verifica automaticamente a disponibilidade de uma atualização para o iPhone a cada 7 dias. Caso uma seja encontrada, o usuário será consultado para instalá-la quando o iPhone for conectado ao computador.

Em busca da fama

Pouco depois de o iPhone ser anunciado, ainda muitos antes de seu lançamento, diversos especialistas e analistas já especulavam sobre sua segurança. Na área de pragas digitais, o conceito de restrição de aplicativos, que não foi bem recebido por desenvolvedores, tornou o aparelho mais seguro. Se qualquer criminoso quiser infectar algum usuário de iPhone com qualquer tipo de praga digital, precisará utilizar alguma falha de segurança que permita execução de código.

Desde que foi lançado, no dia 29 de junho, o iPhone tem sido alvo de pesquisadores de segurança. A falha mais grave corrigida neste pacote de atualização terá seus detalhes técnicos expostos durante a conferência Black Hat 2007. No entanto, quem tem descoberto brechas no iPhone até agora foram pesquisadores e profissionais de segurança buscando fama e reconhecimento, o que significa que as vulnerabilidades e vetores de ataque encontrados não representam um interesse de criminosos em atacar o aparelho, pelo menos por enquanto.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.