Table of Contents
Introdução
A Apple lançou atualizações que corrigem duas falhas que poderiam ter comprometido a privacidade de usuários de iPhone e iPad. As atualizações abordam problemas específicos que estavam gerando preocupações de segurança entre os proprietários de dispositivos móveis da empresa.
Problemas Identificados
As falhas identificadas eram as seguintes:
- Vulnerabilidade no recurso VoiceOver, que poderia expor senhas sensíveis em voz alta.
- Gravação inadvertida de usuários ao enviar mensagens de voz.
As novas versões dos sistemas operacionais iOS e iPadOS (18.0.1) foram implementadas para corrigir esses bugs, proporcionando validações e verificações aprimoradas. A recomendação para os usuários é que atualizem os dispositivos a fim de evitar qualquer vulnerabilidade.
Michael Covington, vice-presidente de estratégia de portfólio da Jamf, comentou: “A boa notícia é que nenhum desses problemas envolve exploits remotos. Eles são, de fato, questões que surgem com o uso do dispositivo, e a privacidade do usuário está, em última análise, em risco.”
A Importância da Atualização
Covington também ressalta que “para empresas que utilizam dispositivos móveis em qualquer capacidade para o trabalho, eu recomendo que prestem bastante atenção a ambos os problemas de segurança e tomem as medidas apropriadas para atualizar os dispositivos o mais rápido possível”.
Bug #1: Leitura de Senhas em Voz Alta
O primeiro problema diz respeito ao VoiceOver, um recurso de acessibilidade que oferece descrições audíveis para usuários com deficiência visual. Essa funcionalidade permite que os usuários naveguem em seus dispositivos por meio de comandos de voz e gestos.
Entretanto, nem tudo em um dispositivo deve ser lido em voz alta, especialmente as senhas. Com o lançamento do iOS e iPadOS 18, a Apple introduziu um novo aplicativo chamado Passwords, permitindo o armazenamento e gerenciamento de logins de forma mais eficiente. O problema CVE-2024-44204 era uma falha de lógica que poderia ter permitido ao VoiceOver ler as senhas dos usuários, afetando praticamente todos os modelos de iPhone e iPad lançados desde 2018.
Vale ressaltar que o VoiceOver está desativado por padrão, o que significa que apenas alguns usuários de iPhone foram potencialmente afetados.
Covington observa: “Esta não é a primeira vez que vemos recursos de acessibilidade sendo mal utilizados. Instâncias anteriores incluem tecnologia de leitores de tela sendo utilizada por aplicativos mal-intencionados para capturar detalhes na tela e exfiltrar dados do dispositivo. Felizmente, a maioria dos recursos de acessibilidade passa por rigorosos testes de segurança e privacidade, de modo que esses cenários não tendem a ocorrer com frequência.”
Bug #2: Início Precoce de Mensagens de Áudio
Os usuários de iPhone, que muitas vezes estão em movimento ou simplesmente têm os dedos cansados, podem optar por gravar uma mensagem de áudio no iMessage em vez de enviar um texto comum. Após pressionar o ícone de adição e selecionar “Áudio”, o dispositivo indica que começou a gravar com um ponto sonoro destacado na caixa de mensagem.
No entanto, um pesquisador de segurança descobriu que as mensagens de áudio poderiam gravar alguns segundos de áudio antes que os usuários percebessem que o microfone estava ativo. Essa falha, rotulada como CVE-2024-44207, afeta todos os novos modelos de iPhone 16.
Apesar de parecer uma questão menor, Covington enfatiza que “essa desconexão entre a função do dispositivo e os indicadores visuais associados é algo que a equipe de pesquisa de ameaças da Jamf conectou a técnicas de persistência utilizadas por atacantes para manter a presença no dispositivo após um exploit bem-sucedido. Abordar esse bug antes que ele possa ser mal utilizado é uma grande vitória para a Apple”.
Até o momento, nenhuma das vulnerabilidades relacionadas ao VoiceOver ou às mensagens de áudio foi classificada no Common Vulnerability Scoring System (CVSS), e nenhum detalhe adicional foi divulgado.
#Apple #Privacidade #Segurança #iPhone #Atualização #iPadOS #Vulnerabilidades
autor ref: Nate Nelson, Contributing Writer
ref:https://www.darkreading.com/cyber-risk/iphone-voiceover-feature-read-passwords-aloud