Apple lança patches de emergência para corrigir bug que permitia instalação do spyware Pegasus

Um dia antes de anunciar o iPhone 13, a Apple divulgou patches de segurança para seus sistemas operacionais móveis e de desktop e para seu motor de navegador WebKit. As atualizações, divulgadas na segunda-feira (13), corrigem duas vulnerabilidades de segurança, uma delas, inclusive, pode ter sido usada por governos autocráticos para espionar defensores dos direitos humanos.

As atualizações foram realizadas para os sistemas iOS 14.8 e iPadOS 14.8, watchOS 7.6.2 e macOS Big Sur 11.6. As versões anteriores do macOS Catalina (10.15) e Mojave (10.14), que receberam versões atualizadas do Safari baseado em WebKit (14.1.2), com Catalina também recebendo uma correção suplementar, segundo informações do site The Register.

Segundo pesquisadores do Citizen Lab, da Universidade de Toronto, o bug CVE-2021-30860, que reside na estrutura CoreGraphics da Apple, foi descoberto quando os pesquisadores analisavam o celular de um ativista da Arabia Saudita.

A vítima seria um dos nove ativistas que foram hackeados entre junho de 2020 e fevereiro de 2021 através do spyware Pegasus do Grupo NSO e de dois exploits iMessage de zero clique. O bug, diz a publicação do The Register, consiste em um estouro de número inteiro que permite que um arquivo PDF malicioso alcance a execução de código arbitrário, permitindo que spyware e outros programas maliciosos sejam executados.

A Apple reconheceu que a falha pode ter sido explorada ativamente.

“Ataques como os descritos são altamente sofisticados e custam milhões de dólares para serem desenvolvidos. Geralmente, eles possuem uma vida útil curta e são utilizados para atacar indivíduos específicos”, disse a Apple.

Um dos exploits KISMET identificado pelos pesquisadores no ano passado afetou o iOS antes da versão 14. A outra vulnerabilidade identificada mais recentemente é chamada de FORCEDENTRY pelo Citizen Lab e Megalodon pelo grupo de segurança da Anistia Internacional, segundo a publicação.

“Quando o exploit FORCEDENTRY estava sendo disparado em um dispositivo, os logs do dispositivo mostraram travamentos associados ao IMTranscoderAgent”, explica o relatório do Citizen Lab. “As falhas pareciam ser segfaults gerados ao invocar a função copyGifFromPath: toDestinationPath: erro em arquivos recebidos via iMessage.”

Acredita-se que o exploit de mensagens esteja em uso desde fevereiro de 2021.

Os travamentos surgiram ao usar CoreGraphics para decodificar dados codificados por JBIG2 em um arquivo PDF preparado para acionar o bug, diz o site. Os arquivos maliciosos tinham uma extensão de arquivo .gif, mas eram na verdade arquivos Adobe PDF, contendo um fluxo codificado por JBIG2. As vítimas só precisavam receber a mensagem para serem hackeadas.

De acordo com o Citizen Lab, o exploit FORCEDENTRY, quando bem-sucedido, instalou o spyware Pegasus do Grupo NSO.

O outro bug corrigido pela Apple foi relatado por um pesquisador não identificado. Chamado de “Synoptic Acanthopterygian” por Vulnonym, o bug CVE-2021-30858 é uma vulnerabilidade de uso pós-livre que, diz o The Register, permite que conteúdo malicioso da web processado pelo mecanismo de renderização WebKit da Apple – que a Apple exige que todos os navegadores do iOS usem – execute código arbitrário.

A Apple disse que essa falha também pode estar sob exploração ativa, embora não forneça mais detalhes.