25 Outubro 2018
Recentemente, uma notícia bastante perturbadora abalou a internet: um programador conhecido como Khaos Tian havia encontrado uma grave vulnerabilidade na HomeKit, plataforma desenvolvida pela Apple para integrar dispositivos inteligentes ao iOS e ao watchOS. Usufruindo da brecha, criminosos eram capazes de controlar remotamente qualquer gadget presente na casa da vítima, incluindo fechaduras eletrônicas e câmeras de segurança.
No mesmo dia em que o bug passou a ser reportado pela mídia especializada, a Maçã lançou o patch 11.2.1 do iOS como uma medida emergencial para eliminá-lo. Porém, tudo indica que Tim Cook estava mais preocupado em manter a boa imagem da empresa do que efetivamente proteger seus consumidores. Na tarde de ontem (19), Tian publicou um longo texto na plataforma Medium desabafando sua frustração com a lerdeza da equipe de desenvolvimento da marca.
De acordo com o hacker, a vulnerabilidade foi descoberta no dia 27 de outubro, e, na manhã seguinte, a Apple foi avisada sobre o assunto através de um email cuidadosamente detalhado. A Maçã respondeu dois dias depois, prometendo estudar a brecha ao longo de novembro. Durante o mês seguinte, Tian tentou manter contato com a companhia diversas vezes (enviando emails nos dias 31 de outubro, 2 de novembro, 16 de novembro e 27 de novembro), mas jamais obteve outra resposta.
Ao perceber que a falha havia ficado mais grave com o lançamento do iOS 11.2, o programador resolveu entregar seus estudos como um furo jornalístico para o site 9to5Mac, primeiro a noticiar o caso. "Foi aí que eu percebi que a assessoria de imprensa da Apple é muito mais ágil do que o seu time de segurança", afirma. Em 48 horas, o iOS 11.2.1 havia sido lançado, proporcionando uma correção real para a vulnerabilidade.
Basicamente, com o HomeKit, você é capaz de enviar comandos remotamente para os dispositivos de sua residência, ordenando que a plataforma da Apple abra a sua fechadura ou ligue as luzes da sala de estar mesmo estando longe de casa. O problema era que o SDK não verificava a identidade do remetente desses comandos antes de executar a tarefa, permitindo que qualquer indivíduo se passasse por você para comandar seus gadgets residenciais.
O setor de Internet das Coisas (ou IoT, como é mais conhecido) sempre foi sinônimo de muita preocupação no mundo da cibersegurança. Visto que a Maçã tem um histórico de blindar completamente seus inventos, a vulnerabilidade no HomeKit pegou muita gente de surpresa.
Comentários