Um pesquisador de segurança publicou, nesta sexta-feira (24), um relatório acusando a Apple de ignorar várias vulnerabilidades presentes no lançamento do iOS 15. O profissional disse ter encontrado quatro problemas, sendo que um deles afeta gravemente a privacidade dos usuários.
Identificado apenas como "illusionofchaos", o pesquisador também engrossou as críticas contra o programa de recompensas da Maçã. Outros especialistas dizem que a gigante da tecnologia é lenta na correção das falhas, que paga pouco e que às vezes até atrasa os pagamentos.
O pesquisador montou uma linha do tempo sobre o seu trabalho e contato com a marca. De acordo com ele, tudo começou em 29 de abril, quando enviou um relatório detalhado sobre problemas ainda do iOS 14.
)
Depois de demorar para receber uma resposta, uma das vulnerabilidades foi corrigida, mas não foi informada e ele não foi creditado no relatório público da Apple. Depois de cobrar respostas e ser ignorado por vários meses, ele resolveu divulgar o assunto na internet.
"Há dez dias pedi uma explicação e avisei que tornaria minha pesquisa pública se não recebesse uma explicação. Meu pedido foi ignorado, então estou fazendo o que disse que faria. Minhas ações estão de acordo com as diretrizes de divulgação responsável. Esperei muito mais, até meio ano em um caso", disse.
No texto divulgado no Habr, o pesquisador revelou que falhas que estavam no iOS 14.7 foram lançadas junto com o iOS 15 e ainda estão lá.
As brechas
O pesquisador illusionofchaos listou as brechas de segurança que ainda estão presentes no sistema operacional do iPhone. A primeira delas permite que qualquer aplicativo da App Store acesse dados dos usuários como e-mail do Apple ID, token de autenticação do Apple ID, leitura do banco de dados Core Duet (com lista de contatos, SMS, iMessage, aplicativos de mensagem e mais) entre outros.
Outra vulnerabilidade é ainda mais grave, de acordo com o pesquisador, já que deixa acessível a simplesmente qualquer app instalado uma série de informações sensíveis e muito pessoais, como:
- Informações médicas (frequência cardíaca e eventos de ritmo cardíaco irregular);
- Duração do ciclo menstrual, sexo biológico, idade e se a usuária está registrando atividade sexual;
- Informações de uso do dispositivo (captação do dispositivo em diferentes contextos, contagem de notificações push, ação do usuário etc.);
- Informações de tempo de tela e contagem de sessão para todos os aplicativos;
- Informações sobre acessórios do dispositivo com seu fabricante, modelo, versão de firmware e nomes atribuídos pelo usuário;
- Idiomas das páginas da web que o usuário visualizou no Safari.
"Todas essas informações estão sendo coletadas pela Apple para fins desconhecidos, o que é bastante preocupante, principalmente pelo fato de que informações médicas estão sendo coletadas. É por isso que é muito hipocrisia da Apple afirmar que se preocupa profundamente com a privacidade", disparou o pesquisador.
)
Além dos próprios apps, illusionofchaos diz que os dados podem ser disponibilizados para um invasor mesmo se a opção de "Compartilhar análises" estiver desativada nas configurações. A publicação completa com as provas de conceito podem ser acessadas neste site.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
