Pesquisadores de segurança revelaram, nesta terça-feira (12), um método que pode ter permitido que hackers contornassem uma série de produtos comerciais projetados para proteger dispositivos da Apple de malwares. Embora não exista evidência de que a brecha foi usada maliciosamente, o problema passou despercebido por mais de uma década.

• Falha presente na Steam há dez anos permitia acesso remoto a computadores, diz pesquisador
• Hackers podem congelar sistema operacional e danificar HDs usando apenas o som

A vulnerabilidade está na maneira como fornecedores como Google e Facebook verificam a origem do código para garantir que ele não foi modificado. Ferramentas produzidas por essas empresas e várias outras usam APIs de assinatura de códigos para confirmar que são confiáveis. O método que vinha sendo usado era defeituoso. No entanto, ele facilita para que um hacker passasse um código como se ele tivesse sido assinado pela Apple — fingindo ser a Apple, em outras palavras.

O problema foi descoberto pela empresa de segurança Okta, em fevereiro deste ano. A Apple foi contatada logo depois, e desenvolvedores afetados foram então notificados. Os revendedores que foram vítima do problema, de acordo com a Okta, incluem: VirusTotal, Google, Facebook, Objective Development, F-Secure, Objective-See, Yelp e Carbon Black.

A assinatura de códigos é uma construção de segurança em que assinaturas geradas criptograficamente são usadas para verificar a fonte de um código. O código é digitalmente assinado usando uma chave privada conhecida apenas pelo autor. Isso é então pareado com uma chave pública, que qualquer um pode usar para verificar que o código foi assinado usando a chave privada do autor. Porém, o processo usado por fornecedores de segurança para checar as assinaturas era falho, teoricamente permitindo aos hackers fingir ser a Apple.

“Diferentes tipos de ferramentas e produtos usam assinatura de código para implementar segurança acionável: isso inclui listas de permissões, antivírus, resposta a incidentes e produtos de caça a ameaças”, escreveu o engenheiro da Okta Josh Pitts, em uma publicação no blog da empresa. “Minar uma implementação de assinatura de código de um grande sistema operacional quebraria uma construção de segurança central de que muitos dependem para operações de segurança do dia a dia (os detalhes básicos do problema são revelados por Pitts aqui).”

O problema, que pode ou não ter sido explorado por hackers, foi descoberto, relatado e divulgado em um curto período de tempo. Tudo o que restou foi um pouco de atribuição de culpa.

Em declarações publicadas pela Okta, a Apple parece indicar que a culpa havia sido dos desenvolvedores, por não executarem as checagens devidamente. Os desenvolvedores, por sua vez, dizem que a documentação da Apple — que foi supostamente atualizada — era confusa e pouco clara. Considerando a ampla gama de produtos afetados, a última opção parece mais do que provável.

Imagem do topo: Getty