BLOG DO ALTIERES ROHR
Uma equipe formada por cinco especialistas em segurança recebeu US$ 288.500 (cerca de R$ 1,5 milhão) da Apple como recompensa por descobrir 55 vulnerabilidades nos serviços on-line da companhia. Destas falhas, 11 foram classificadas como “críticas” e outras 29 eram de severidade “alta”.
O quinteto de Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb e Tanner Barnes trabalhou de 6 de julho a 6 de outubro para analisar os serviços da Apple, usando as mesmas informações disponíveis a qualquer usuário. Ou seja, eles não tiveram acesso privilegiado aos sistemas da Apple.
Os pagamentos são fruto do programa de recompensas (“bug bounty”) da Apple. Nesse tipo de iniciativa – que hoje existe em várias empresas, incluindo Google, Facebook, Microsoft e Sony –, a companhia se promete a pagar por informações sobre falhas inéditas, desde que elas sejam comunicadas de forma discreta.
Dessa forma, os problemas podem ser corrigidos sem qualquer prejuízo para os usuários, como aconteceu nesse caso.
A Apple abriu seu programa de recompensas para o público no final de 2019, anunciando que pagaria apenas por brechas relacionadas a produtos.
No entanto, especialistas têm publicado relatos de que a empresa está disposta a pagar por qualquer falha que tenha impacto significativo na segurança dos usuários, mesmo que não sejam vinculadas aos produtos físicos, como o iPhone.
Sabendo que havia uma chance de serem pagos por falhas em serviços on-line, os especialistas iniciaram o trabalho.
“Durante a nossa abordagem, encontramos uma variedade de vulnerabilidade em partes centrais da infraestrutura deles que permitiria a um atacante comprometer totalmente as aplicações de clientes e funcionários”, escreveu Sam Curry, um dos membros do grupo que veio a público com as descobertas.
Em termos mais concretos, Curry alega que as falhas teriam permitido:
Lançar um worm [praga digital que se executa automaticamente, passando de um usuário para outro] capaz de invadir contas do iCloud. Para explorar essa falha, o invasor só teria de convencer a vítima a abrir uma mensagem no iCloud Mail;
Obter o código fonte de projetos internos da Apple;
Comprometer um software de controle industrial em uso pela Apple. Os pesquisadores descobriram que uma página de login autenticava o usuário sem credenciais por meio do botão “Redefinir senha”; após isso, eles conseguiram elevar as permissões para atacar o sistema;
Assumir sessões [chaves de logins realizados anteriormente] de funcionários da Apple autorizados a acessar ferramentas de gestão e recursos sensíveis.
A Apple corrigiu a maioria das falhas um ou dois depois de ser comunicada. Algumas brechas críticas foram fechadas quatro a seis horas após o envio da notificação pelos especialistas.
Todos os problemas revelados publicamente por Curry já foram corrigidos e a divulgação ocorreu em comum acordo com a Apple, tendo em vista que as falhas já não representam nenhum perigo.
Como a Apple realiza os pagamentos em lotes, a quantia ainda pode aumentar. Os US$ 288.500 recebidos pelos especialistas resultam da soma de 32 pagamentos.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com