Uma letra específica do idioma telugo, falado no sul da Índia, é capaz de travar diversos dispositivos da Apple, incluindo o iPhone, o iPad e alguns programas no macOS, o sistema operacional dos computadores iMac e notebooks Macbook. No caso dos celulares, o problema pode causar um grande inconveniente caso apareça nas notificações do aparelho, o que pode colocar iPhone em um ciclo de reinicializações.

Embora o telefone ou o computador travem, não há indícios de qualquer dano maior.

O código ganhou popularidade como "pegadinha". Embora pareça ser uma única letra (confira a imagem), o caractere é na verdade uma composição de várias partes que ocupa 15 bytes (a regra para o alfabeto latino do português, por exemplo, é 1 byte por letra). Para apagar a letra, é preciso apertar "backspace" cinco vezes (cada acionamento apaga uma parte da letra). Isso significa que se trata de um caractere complexo.

Alguns apps param de funcionar caso uma mensagem com o código seja recebida. No macOS, o erro foi confirmado no Safari, que é o navegador oficial do sistema, e também em telas específicas. No Twitter, um usuário observou que o gerenciamento de rede do macOS pode travar caso uma rede de Wi-Fi use a sequência como parte do seu nome.

De acordo com o site "Hot for Security", da BitDefender, o Twitter está bloqueando mensagens com a "pegadinha", já que o aplicativo do Twitter no iOS também pode travar.

A Apple já está trabalhando em uma solução. O iOS 11.3, que está em fase de testes (versão "beta") não possui mais o erro, mas a Apple pretende corrigir o problema em uma atualização ainda antes do lançamento da versão final do iOS 11.3, de acordo como site "The Verge".

Problema anterior

O iMessage, aplicativo de comunicação da Apple, teve um problema muito parecido em 2015, quando usuários descobriram uma sequência com caracteres latinos, árabes e um ideograma chinês.

SAIBA MAIS
Problema no iPhone permite que SMS trave o celular
Apple explica o que fazer quando iPhone travar depois de receber SMS

Desta vez, o problema parece estar relacionado com algo específico do processamento do telugo. Segundo o engenheiro de software Manish Goregaokar, da Mozilla, o problema também aparece em uma sequência semelhante em bengalês. Goregaokar explica que esses idiomas exigem tratamento especial para a exibição da fonte, pois as letras podem precisar de modificação dependendo das letras adjacentes e a exibição também varia dependendo da fonte. Goregaokar especula que o erro pode estar ligado a isso.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O código do "iBoot", pacote de software responsável pela inicialização do sistema iOs usado nos celulares iPhone tablets iPad, vazou na web. O código tem cerca de dois anos, pois pertence ao iOS 9.3. A Apple confirmou a veracidade do código, enviando uma notificação de direitos autorais ao site "Github", onde o código chegou a ser disponibilizado.

O Github é um site muito usado por programadores de software para coordenar projetos. O serviço hospeda os códigos em "repositórios" e registra contribuições de cada programador, permitindo modificações sejam revisadas, acompanhadas e, se necessário, desfeitas. Para programas que mantiverem seu código público, o serviço é gratuito.

O repositório criado para o código do iBoot não está mais disponível sob a justificativa de uma "notificação DMCA "(a lei de direito autoral norte-americana). O código já havia sido replicado em outros locais antes de ser colocado no Github e é bastante provável que cópias do código ainda existam na rede.

Em comunicado, a Apple confirmou o vazamento e minimizou o impacto na segurança dos dispositivos. "Um código-fonte antigo de três anos atrás parece ter sido vazado, mas, desde o projeto, a segurança dos nossos produtos não depende do sigilo do nosso código-fonte. Há muitas camadas de proteção em hardware e software embutidas em nossos produtos e sempre encorajamos nossos consumidores a atualizar para o software mais recente para se beneficiar das proteções mais recentes", disse a empresa.

O software da Apple é parcialmente baseado no BSD, um sistema operacional de software livre. Isso significa que uma boa parte dos códigos usados pela Apple já são de conhecimento público. Em determinadas áreas, como no caso do "iBoot", os códigos são fechados. A justificativa da Apple de que a segurança dos seus produtos "não depende do sigilo do código-fonte" é uma provável referência a esse fato.

Embora o código seja antigo e possivelmente incompleto, ainda existe uma possibilidade de que partes do código ou outra programação semelhante continue existindo no iOS. Os maiores beneficiados podem ser os desenvolvedores e utilizadores do "jailbreak", o desbloqueio do iPhone que permite a instalação de aplicativos fora da App Store.

Por definição, o processo de jailbreak, embora não seja ilícito, fragiliza a segurança do iPhone.

Imagem: Traseira do iPhone (Foto: G1)

Outros vazamentos

Uma chave de segurança de um "compartimento secreto" do iPhone vazou na web em agosto de 2017. A chave deve permitir que curiosos decodifiquem a programação executada pelo Secure Enclave Processor (SEP), uma área ultrassegura do iPhone.

Mas a Apple não é a unica a sofrer vazamentos. Em junho de 2017, a Microsoft confirmou que parte do código-fonte do Windows 10 também vazou. Em 2004, um vazamento notório jogou na internet a maior parte do código-fonte do Windows 2000. Apesar de antigo, muitos trechos do sistema lançado em 1999 ainda guardam semelhança com versões do Windows amplamente utilizadas, especialmente o Windows 7.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A edição "mobile" da competição de segurança Pwn2Own encerrou somando mais de meio milhão de dólares (US$ 515 mil, ou R$ 1,7 milhão) em recompensas por 32 falhas de segurança demonstradas por especialistas e cujos detalhes técnicos serão revelados apenas para a organizadora da competição - a Trend Micro - e os desenvolvedores e fabricantes dos componentes e aplicativos envolvidos.

A Pwn2Own é um evento tradicional cuja organização já passou pelas mãos da 3Com e da HP. Ele é realizado desde 2007 e conta atualmente com duas edições anuais, uma no Canadá, onde a competição surgiu, e outra no Japão. Neste ano, a edição canadense, realizada em março, pagou US$ 833 mil por 51 vulnerabilidades inéditas, mas tinha foco em sistemas de virtualização e programas para computador (saiba mais). A edição japonesa, realizada nos dias 1º e 2 de novembro, teve foco em dispositivos móveis.

Embora todas as falhas demonstradas sejam inéditas, espera-se que os fabricantes dos softwares lancem atualizações para corrigir os defeitos encontrados em breve.

Ataque contamina iPhone com conexão ao Wi-Fi

Entre os feitos mais impressionantes do evento está um ataque demonstrado pelos especialistas em segurança da chinesa Tencent. Eles conseguiram utilizar falhas no sistema do iPhone para contaminar o celular apenas com uma conexão a uma rede Wi-Fi maliciosa. O celular da Apple estava usando a versão mais recente do iOS, a 11.1, lançada um dia antes do início do evento.

Pela primeira vez na Pwn2Own, foram demonstradas brechas no rádio dos celulares. Chamados de "ataques em banda base", eles têm alto potencial destrutivo, já que comprometem a conexão do celular aos sinais 3G ou 4G. Duas brechas em banda base foram demonstradas: uma, da Tencent, que afetou o celular Huawei Mate9 Pro e permitiu a alteração do IMEI do aparelho, enquanto segunda, a única participação de um especialista identificado como "acez" no evento, conseguiu contaminar com vírus um celular Samsung Galaxy S8.

Um ataque demonstrado pelo MWR Labs no Samsung Galaxy S8 também chamou atenção pelo número de falhas envolvidas: foram 11 vulnerabilidades encadeadas para conseguir infectar o aparelho por meio de um site na web.

Os outros ataques demonstrados no evento os navegadores dos celulares, tanto dos aparelhos com Android como o Safari, no caso do iPhone. Um dos ataques contra o Safari foi demonstrado por Richard Zhu, o quinto participante do evento a pontuar.

Tencent venceu competição

Além dos prêmios em dinheiro, a Pwn2Own pontua cada ataque demonstrado. A vencedora desta edição foi a Tencent, com 44 pontos. Em segundo lugar ficou a 360 Security, com 27. A 360 Security havia sido a vencedora da edição canadense, quando a Tencent participou com três times diferentes e diluiu a pontuação da empresa.

Os dois ataques que mais pontuaram foram os ataques em banda base, que ficaram com 20 pontos cada. Isso garantiu o primeiro lugar da Tencent e também o quarto lugar de "acez", atrás do MWR Labs, que ficou em terceiro. Eis o ranking final do evento:

1. Tencent - 44 pontos (3 ataques)
2. 360 Security - 27 pontos (3 ataques)
3. MWR Labs - 21 pontos (2 ataques)
4. Acez - 20 pontos (1 ataque)
5. Richard Zhu - 10 pontos (1 ataque)

(Foto: G1)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O pesquisador do Google Gal Beniamini liberou na web um código que pode ser usado para atacar celulares iPhone 7 que não estiverem com a versão mais recente do iOS, o sistema operacional do telefone. O iPhone, junto de vários outros aparelhos celulares, possui uma brecha no chip de Wi-Fi, que é fornecido pela Broadcom.

Para que o celular seja atacado, basta que o usuário tente se conectar a uma rede Wi-Fi maliciosa. A partir desse ponto, o invasor ganhará o controle sobre o chip Wi-Fi do iPhone. Não está claro quais atividades maliciosas poderiam ser realizadas a partir do chip, mas é possível que dados possam ser monitorados ou, encadeando alguma outra falha no sistema, que o celular inteiro possa ser comprometido.

Embora a brecha exista em diversos aparelhos celulares, Beniamini apenas criou e divulgou o código de demonstração para o iPhone. No Android, a atualização de segurança de setembro imuniza os aparelhos que tiverem a falha. Como não é fácil determinar qual chip Wi-Fi um celular possui, não há lista de dispositivos afetados.

Esta é a terceira brecha grave em chips da Broadcom revelada este ano. A primeira, revelada em abril, também foi descoberta por Beniamini. A segunda foi revelada em julho por Nitay Artenstein. Ambas já foram corrigidas em atualizações para os sistemas dos celulares. Não há registro de que elas tenham sido exploradas em casos reais de ataque.

A recomendação é a mesma para qualquer falha de segurança: manter o sistema operacional do aparelho atualizado.


Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Usuários que estão testando a prévia do iOS 11 - a nova versão do sistema operacional usada nos celulares iPhone e nos tablets iPad, da Apple - descobriram um recurso de "SOS" que fará com que o aparelho deixe de aceitar a impressão digital (Touch ID) para o desbloqueio, exigindo a digitação da senha.

A função é ativada quando o usuário pressiona o botão de ligar/desligar cinco vezes. Além de desativar imediatamente o leitor de impressão digital, o iPhone também dá a opção para que o usuário faça uma chamada de emergência para a polícia.

O recurso deve ser útil em circunstâncias em que o dono do iPhone pode ser obrigado a desbloquear o celular com o dedo, como no caso de um roubo. Nesses casos, um criminoso pode facilmente forçar a vítima a colocar o dedo sobre o sensor, desbloqueando o aparelho e dando acesso a todos os dados pessoais armazenados no celular ou no tablet.

Há boatos de que a Apple também inclua um recurso de desbloqueio com reconhecimento facial no iPhone, o que aumentaria a utilidade da "função de emergência". Recursos de autenticação biométrica, como reconhecimento de digitais, face e íris, já foram derrotados por especialistas, que recomendam o uso de uma senha para melhorar a segurança.

Com o novo recurso, o iPhone pode permitir que o usuário alterne rapidamente entre a senha e a autenticação biométrica para viabilizar a conveniência dessas funções sem comprometer a segurança do dispositivo em situações de risco elevado.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Uma chave capaz de decifrar um software armazenado em um compartimento "secreto" do iPhone foi vazada na web por um hacker que usa o apelido de "Xerub". O Secure Enclave Processor (SEP), como é chamado pela Apple, é uma área especial responsável por algumas funções de segurança do iPhone, entre elas o reconhecimento de digital (Touch ID).

O SEP atua como um processador separado do principal, com sua própria memória criptografada. A programação executada nesse processador também é criptografada, e é esse código que agora poderá ser acessado por pesquisadores, curiosos e criminosos. O SEP é parte dos processadores da Apple desde o A7, usado no iPhone 5S, de 2013.

No momento, o vazamento não compromete dados de usuários. A chave não permite, por exemplo, decifrar os dados de um iPhone que teve seu armazenamento criptografado.

Porém, a chave dará acesso a um código que operava em uma região de "segurança máxima" do iPhone, o que significa que há uma chance maior de vulnerabilidades serem encontradas.

Não se sabe como Xerub obteve a chave secreta.

(Foto G1)
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]