Atualizações do iOS e iPadOS: falhas podem levar a invasões de conversas e e-mails privados

Na última terça-feira (26), a Apple lançou uma atualização de segurança contra três vulnerabilidades desconhecidas (zero-day) em seus sistemas operacionais móveis: CVE-2021-1780, CVE-2021-1781 e CVE-2021-1782. A empresa acredita que cibercriminosos não identificados já estão explorando essas falhas e aconselha que todos os usuários de iOS e iPadOS atualizem os sistemas operacionais.

Para o analista sênior da segurança da Kaspersky no Brasil, Fabio Assolini, é urgente que os usuários dos dispositivos Apple realizem a atualização o quanto antes. Ele explica que ataques de Drive-By-Download podem permitir o acesso indevido dos criminosos a mensagens em redes sociais e e-mails (inclusive a conteúdos corporativos, caso os usuários utilizem o dispositivo para o trabalho).

"Sabemos o quão difícil é infectar um iPhone ou iPad e fazer o root (quebra das proteções de segurança) do dispositivo para interceptar dados. Porém, existe um método eficaz de infecção - o chamado ataque Drive-By-Download. Um alvo só precisa visitar uma página web preparada com um exploit que usará a vulnerabilidade no sistema operacional para realizar a invasão. Isso é perigoso, pois o criminoso terá acesso a todos os dados armazenados no dispositivo", comenta Assolini.

"Esta é uma atualização crítica, uma vez que o método de infecção é um exploit e permite que o criminoso realize uma infecção completa, que permitirá ao invasor o acesso a quaisquer dados que estejam no dispositivo, como, por exemplo, mensagens em app com criptografia ponta-a-ponta, geolocalização, histórico de chamadas e e-mail corporativo. Corrigir a vulnerabilidade é a melhor forma de combater o ataque", enfatiza.

De acordo com o site da Apple, a atualização está disponível para os modelos lançados a partir do iPhone 6 até os mais recentes, e a partir do iPad Air 2 até os mais recentes, bem como a partir do iPad mini 4 e mais novos, e também do iPod touch de sétima geração.

"Mas precisa sair correndo para atualizar? Sim, para este tipo de ataque, os criminosos tentam infectar um site popular: de notícias ou mesmo um e-commerce. E basta o internauta visitar a página para ser infectado automaticamente. Se o sistema estiver atualizado, a pessoa verá um erro de acesso ou um alerta e terá a chance de perceber o golpe", completa o analista da Kaspersky.

Para mais informações, acesse o blog da Kaspersky (conteúdo em inglês).

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 250.000 clientes corporativos a proteger o que é mais importante para eles.