Ao longo do ano passado foram reportados vários casos de violações de privacidade e segurança em diferentes plataformas. O Facebook foi afetado por uma falha que permitiu o acesso aos tokens de segurança de milhares de contas, e poderia potencialmente levar ao roubo de informações pessoais.
Pouco depois a Google também passou por algo similar sobre a sua plataforma do Google+, tanto que a falha na plataforma levou ao anúncio do seu encerramento para este ano. No entanto, existe também mais uma empresa que poderá ter sido afetada e do qual se desconhecia.
De acordo com o investigador turco Melih Sevim, o iCloud da Apple pode ter sofrido uma falha de segurança, na qual podem ter sido comprometidos os dados de acesso a algumas contas e alguns dos ficheiros pessoais dos utilizadores no serviço. No entanto, ao contrário do que aconteceu com as situações do Google e do Facebook, a Apple terá optado por não divulgar esta falha publicamente.
Segundo o portal The Hacker News, o investigador de segurança terá descoberto uma falha no serviço iCloud da Apple, na qual seria possível aceder a alguns conteúdos dentro das contas dos utilizadores. A falha permitia o acesso a alguns dados da conta – sobretudo a notas – tanto de contas do serviço totalmente aleatórias como de outras associadas a um número de telefone.
O investigador terá descoberto esta falha em Outubro de 2018, tendo reportado a mesma para a Apple com a devida documentação e vídeos de demonstração, revelando ser possível aceder aos conteúdos dos utilizadores sem que estes tivessem conhecimento.
A falha apenas viria a ser corrigida em novembro de 2018, sendo que a empresa respondeu ao investigador, indicando que a falha tinha sido corrigida mas que teria sido descoberta por programadores internos da empresa, encerrando em seguida o ticket.
> iCloud Bug simples de explorar
A falha estaria associada com o sistema de faturação do iCloud e com o número de telefone associado a uma determinada conta no serviço. Através da exploração deste sistema, os utilizadores poderiam modificar os detalhes da sua conta e, dessa forma, aceder a certos conteúdos que não deveriam ter acesso.
Ou seja, através da mudança do número de telefone associado a uma conta do iCloud, o utilizador poderia obter um acesso temporário a certos conteúdos existentes nas contas alvo. Qualquer utilizador poderia modificar o número de telefone da sua conta para uma potencial vítima e, a partir dai, aceder a alguns dos seus conteúdos na plataforma.
O investigador revela que, durante a sua análise da falha, foi possível aceder a diversas notas guardadas em contas do iCloud que possuíam passwords e outras informações sensíveis. Apesar de o acesso a estes conteúdos ser apenas temporário – e de nem sempre ser possível aceder a todos os conteúdos – ainda assim era uma falha que poderia ser explorada para fins nefastos ou roubo de informações de terceiros.
Melih afirmou ainda que, nos formulários de edição dos dados de uma conta no iCloud, a Apple não procedia com nenhuma validação dos números de telefone. Os utilizadores poderiam guardar apenas um dígito como sendo o seu número de telefone que a plataforma iria aceitar sem problemas.
> Apple confirmou a falha, mas com reservas...
A Apple terá confirmado que a falha esteve em produção até finais de Novembro, altura em que foi corrigida e o investigador também recebeu a notificação que o problema tinha sido resolvido. No entanto, não foram revelados detalhes sobre quanto tempo a falha esteve ativa e qual o número de utilizadores afetados pela mesma.
A empresa manteve uma reserva no que respeita à divulgação da falha para o público em geral, optando por manter a mesma oculta e afirmando ter sido descoberta internamente pela empresa.
Este caso surge também numa altura em que foi descoberta uma falha no FaceTime, sobre a qual era possível aceder ao microfone e vídeo de utilizadores remotamente através de uma chamada no serviço, e sem que este precisa-se de atender a chamada.
Nenhum comentário
Seja o primeiro!