hackers podem infectar iPhones bloqueados
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
FireEye demonstra aplicativo clonado do Gmail que captura dados de mensagens. (Reprodução)
Ainda não há relatos de nenhuma praga digital que tenha infectado iPhones e iPad da Apple, pelo menos não em larga escala. A razão disso é que o iOS, o sistema usado nesses aparelhos, só permite a instalação de aplicativos aprovados pela Apple e incluídos na App Store. Mas agora se sabe que há meios de burlar essa restrição com uma técnica batizada de "Masque" e que já foi empregada por um vírus para Mac OS X, o "WireLurker".
O "Masque", que foi demonstrado em vídeo pela companhia de segurança FireEye, tem duas partes: uma delas é a instalação de um aplicativo malicioso no iPhone. Essa é a última etapa do processo, mas é a mais simples. Há duas maneiras de fazer isso: com um certificado de desenvolvedor, que custa US$ 99 (cerca de R$ 260) ou um certificado de provisionamento de aplicativos corporativos (que custa US$ 299, ou cerca de R$ 770). Esses certificados são "autorizações" emitidas pela própria Apple e que, portanto, também podem ser revogadas pela empresa.
O certificado de desenvolvedor é destinado a programadores de aplicativos para iPhone. Ele é usado para testar os apps antes de enviá-los para inclusão na App Store. O certificado só pode ser usado com um iPhone específico (o do desenvolvedor). Sendo assim, um hacker precisaria de acesso direto ao iPhone da vítima para instalar um app com esse certificado. Já o certificado empresarial é fornecido a empresas que querem instalar aplicativos próprios em iPhones de funcionários. Por isso, ele não tem nenhuma restrição: um aplicativo pode ser diretamente instalado em qualquer iPhone.
O app pode ser instalado via USB se o iPhone for conectado a um PC ou Mac OS X infectado. Também é possível criar um link que, ao ser acessado pelo iPhone, ofereça a instalação do aplicativo.
No entanto, como o iPhone isola os dados dos programas, não há muita utilidade em meramente instalar um app malicioso no iPhone. Ele poderia captar os dados de torpedos SMS e o histórico de chamadas, que são dados disponíveis a qualquer software. Mesmo assim, a utilidade é bastante limitada, pois, sem desbloquear o aparelho (o chamado "jailbreak"), não há acesso irrestrito ao sistema. Não é possível, por exemplo, capturar os dados digitados no navegador, nem mensagens que chegam para aplicativos específicos.
É aí que entra a outra parte e a primeira etapa do ataque "Masque": a clonagem de aplicativo. É possível clonar qualquer app, incluindo o WhatsApp ou o Gmail, por exemplo. Isso é feito por meio de um processo de "engenharia reversa" e não depende de vulnerabilidades do aplicativo específico. Também não se trata da criação de um aplicativo novo, mas sim do uso de uma versão adulterada do original que foi reassinada com o certificado do hacker. Isso significa que o aplicativo clone funcionará de forma exatamente idêntica, mantendo inclusive funções como notificações e até checagem de atualização na App Store, porque ambos aplicativos têm o mesmo identificador.
O hacker, em vez de instalar um aplicativo novo no celular, substitui o aplicativo desejado e, com isso, pode obter todos os dados daquele app. O "clone" terá funções extras de espionagem para enviar os dados captados ao seu criador. Lembrando que, uma vez criado o clone, basta usar o certificado empresarial ou de desenvolvedor para instalar o aplicativo no iPhone, mesmo sem aprovação da App Store da Apple.
A possibilidade de clonar aplicativos é considerada uma vulnerabilidade. Existem medidas que podem ser adotadas pela Apple para garantir que um mesmo aplicativo não possa ser assinado por certificados diferentes. O app ainda seria instalado, mas não reconhecido, ou seja, ele apareceria como não instalado ou duplicado na lista de apps. A Apple, no entanto, até agora não sinalizou nenhuma mudança no funcionamento do iOS, declarando apenas que a maioria dos usuários não está em risco.
Para Jonathan Zdziarski, especialista independente em iOS, até o abuso dos certificados corporativos poderia ser evitado pela Apple. Bastaria que os iPhones tivessem uma configuração para ativar ou desativar o modo corporativo. Sem esse modo ativado, certificados corporativos não seriam aceitos para instalar qualquer software no celular. Como a maioria dos usuários não precisa desses programas, nada seria perdido.
Embora a receita esteja dada, a instalação de aplicativos maliciosos no iPhone continua sendo muito mais complicada do que no Android. iPhones com jailbreak também estão em risco muito maior por não serem restritos ao que está na App Store. Além disso, a Apple também pode revogar certificados que forem abusados para a instalação de aplicativos clonados, que dificulta a distribuição de clones maliciosos em larga escala.
Mesmo assim, o risco continua alto para grandes corporações que podem estar na mira de agências de inteligência ou grupos de espionagem. Com vírus para Mac OS X que leem dados de iPhone e a possibilidade de substituir aplicativos para roubo de dados, um invasor determinado já sabe qual caminho seguir para obter a informação que deseja.
Outro alerta fica para os desenvolvedores de apps. Qualquer usuário pode obter um certificado de desenvolvedor e substituir aplicativos em seu próprio celular. Zdziarski exemplifica isso em seu blog dizendo que é possível substituir programas como o Snapchat para que mensagens não sejam mais apagadas automaticamente. Resumindo, o desenvolvedor precisa considerar que o celular não é confiável e tentar transferir o máximo da lógica do aplicativo para o servidor, além de tentar, se possível, criar um meio de identificar que está "falando" com um app clonado.
FireEye demonstra aplicativo clonado do Gmail que captura dados de mensagens. (Reprodução)
Ainda não há relatos de nenhuma praga digital que tenha infectado iPhones e iPad da Apple, pelo menos não em larga escala. A razão disso é que o iOS, o sistema usado nesses aparelhos, só permite a instalação de aplicativos aprovados pela Apple e incluídos na App Store. Mas agora se sabe que há meios de burlar essa restrição com uma técnica batizada de "Masque" e que já foi empregada por um vírus para Mac OS X, o "WireLurker".
O "Masque", que foi demonstrado em vídeo pela companhia de segurança FireEye, tem duas partes: uma delas é a instalação de um aplicativo malicioso no iPhone. Essa é a última etapa do processo, mas é a mais simples. Há duas maneiras de fazer isso: com um certificado de desenvolvedor, que custa US$ 99 (cerca de R$ 260) ou um certificado de provisionamento de aplicativos corporativos (que custa US$ 299, ou cerca de R$ 770). Esses certificados são "autorizações" emitidas pela própria Apple e que, portanto, também podem ser revogadas pela empresa.
O certificado de desenvolvedor é destinado a programadores de aplicativos para iPhone. Ele é usado para testar os apps antes de enviá-los para inclusão na App Store. O certificado só pode ser usado com um iPhone específico (o do desenvolvedor). Sendo assim, um hacker precisaria de acesso direto ao iPhone da vítima para instalar um app com esse certificado. Já o certificado empresarial é fornecido a empresas que querem instalar aplicativos próprios em iPhones de funcionários. Por isso, ele não tem nenhuma restrição: um aplicativo pode ser diretamente instalado em qualquer iPhone.
O app pode ser instalado via USB se o iPhone for conectado a um PC ou Mac OS X infectado. Também é possível criar um link que, ao ser acessado pelo iPhone, ofereça a instalação do aplicativo.
No entanto, como o iPhone isola os dados dos programas, não há muita utilidade em meramente instalar um app malicioso no iPhone. Ele poderia captar os dados de torpedos SMS e o histórico de chamadas, que são dados disponíveis a qualquer software. Mesmo assim, a utilidade é bastante limitada, pois, sem desbloquear o aparelho (o chamado "jailbreak"), não há acesso irrestrito ao sistema. Não é possível, por exemplo, capturar os dados digitados no navegador, nem mensagens que chegam para aplicativos específicos.
É aí que entra a outra parte e a primeira etapa do ataque "Masque": a clonagem de aplicativo. É possível clonar qualquer app, incluindo o WhatsApp ou o Gmail, por exemplo. Isso é feito por meio de um processo de "engenharia reversa" e não depende de vulnerabilidades do aplicativo específico. Também não se trata da criação de um aplicativo novo, mas sim do uso de uma versão adulterada do original que foi reassinada com o certificado do hacker. Isso significa que o aplicativo clone funcionará de forma exatamente idêntica, mantendo inclusive funções como notificações e até checagem de atualização na App Store, porque ambos aplicativos têm o mesmo identificador.
O hacker, em vez de instalar um aplicativo novo no celular, substitui o aplicativo desejado e, com isso, pode obter todos os dados daquele app. O "clone" terá funções extras de espionagem para enviar os dados captados ao seu criador. Lembrando que, uma vez criado o clone, basta usar o certificado empresarial ou de desenvolvedor para instalar o aplicativo no iPhone, mesmo sem aprovação da App Store da Apple.
A possibilidade de clonar aplicativos é considerada uma vulnerabilidade. Existem medidas que podem ser adotadas pela Apple para garantir que um mesmo aplicativo não possa ser assinado por certificados diferentes. O app ainda seria instalado, mas não reconhecido, ou seja, ele apareceria como não instalado ou duplicado na lista de apps. A Apple, no entanto, até agora não sinalizou nenhuma mudança no funcionamento do iOS, declarando apenas que a maioria dos usuários não está em risco.
Para Jonathan Zdziarski, especialista independente em iOS, até o abuso dos certificados corporativos poderia ser evitado pela Apple. Bastaria que os iPhones tivessem uma configuração para ativar ou desativar o modo corporativo. Sem esse modo ativado, certificados corporativos não seriam aceitos para instalar qualquer software no celular. Como a maioria dos usuários não precisa desses programas, nada seria perdido.
Embora a receita esteja dada, a instalação de aplicativos maliciosos no iPhone continua sendo muito mais complicada do que no Android. iPhones com jailbreak também estão em risco muito maior por não serem restritos ao que está na App Store. Além disso, a Apple também pode revogar certificados que forem abusados para a instalação de aplicativos clonados, que dificulta a distribuição de clones maliciosos em larga escala.
Mesmo assim, o risco continua alto para grandes corporações que podem estar na mira de agências de inteligência ou grupos de espionagem. Com vírus para Mac OS X que leem dados de iPhone e a possibilidade de substituir aplicativos para roubo de dados, um invasor determinado já sabe qual caminho seguir para obter a informação que deseja.
Outro alerta fica para os desenvolvedores de apps. Qualquer usuário pode obter um certificado de desenvolvedor e substituir aplicativos em seu próprio celular. Zdziarski exemplifica isso em seu blog dizendo que é possível substituir programas como o Snapchat para que mensagens não sejam mais apagadas automaticamente. Resumindo, o desenvolvedor precisa considerar que o celular não é confiável e tentar transferir o máximo da lógica do aplicativo para o servidor, além de tentar, se possível, criar um meio de identificar que está "falando" com um app clonado.
Comentários