Curiosidade 10 Jun
No setor de pesquisa de segurança digital, uma prática comum é uma análise independente identificar uma brecha em um sistema proprietário, e os organizadores dessa análise comunicam o dono da plataforma, que por sua vez os recompensa.
Não se você se chamar “Apple”, aparentemente, já que a gigante de Cupertino recusa-se a pagar o dinheiro devido à Kaspersky, famosa pela suíte antivírus homônima. Recentemente, a firma russa identificou uma falha “dia zero/clique zero” no iOS– também conhecido como “o pior tipo de falha”, comunicando-a à “Maçã”. A dona do iPhone, por sua vez, pegou as conclusões da Kaspersky, usou-as para fechar a brecha e…dar o assunto como resolvido sem a devida compensação.
Veja também
Começando do início: a falha. Uma brecha “dia zero/clique zero” é uma vulnerabilidade que o dono da plataforma sequer sabe que existe, e que não requer nenhuma ação do usuário para ser eficaz.
Neste caso, a Apple (dona) não sabia da falha na plataforma (iOS). De acordo com a Kaspersky, a brecha poderia ser aproveitada por hackers para o roubo de informações, e poderia infectar qualquer iPhone – do mais recente iPhone 15 até o mais antigo iPhone 2G – ao simplesmente mandar um e-mail para seu dono.
Note que falamos “mandar um e-mail”, não “abrir um e-mail suspeito”. Só a mensagem, que contém um malware autoexecutável anexado à ela, chegar na sua caixa de entrada já é suficiente para iniciar a infecção.
“A coleta de informações dos dispositivos: geolocalização, câmeras, microfones, arquivos, contatos. De uma forma geral, todos os dados presentes em um dispositivo. Esse definitivamente não foi um ataque motivado por dinheiro, mas sim para a busca de informações”, disse a Kaspersky, que afirmou ainda que a falha foi identificada primeiramente em iPhones pertencentes a funcionários da própria empresa de segurança. Ou seja: o problema estava “em casa” antes de ir ao público.
Como sempre faz em análises do tipo, a empresa russa relatou todas as informações à Apple, que prontamente resolveu o problema com uma atualização de segurança no iOS.
O problema: a Apple tem um programa – apesar de não muito consistente – de recompensas a pesquisadores independentes que encontram falhas em seus sistemas. Não só ela, aliás: a Meta faz isso, o Google também, a Microsoft também. Praticamente toda empresa que é dona de um sistema operacional tem algum tipo de recompensa para ações independentes.
Neste caso, no entanto, a Apple sequer ofereceu um motivo pelo não pagamento: há especulações de vários sites online, afirmando que isso pode ter a ver com a situação de guerra entre Rússia e Ucrânia – e a Kaspersky, sendo uma empresa russa, estaria sujeita a sanções ou algo do tipo. Nada disso, no entanto, foi confirmado por qualquer uma das partes envolvidas.
Como resposta, a Kaspersky disse que já substituiu os smartphones corporativos de seus funcionários por modelos com sistema operacional Android, e prometeu se concentrar apenas em análises que envolvam a plataforma do Google, ao menos por enquanto.
A empresa ainda afirma que usa o dinheiro recebido dessas recompensas para financiar projetos de caridade, já que ela própria não “necessita” dele.
- O Apple iPhone 15 está disponível na Amazon por R$ 4.699. O custo-benefício é bom e esse é o melhor modelo nessa faixa de preço.
- O Apple iPhone 2G ainda não está disponível nas lojas brasileiras. Para ser notificado quando ele chegar clique aqui.
Comentários