Home > Notícias

iPhone tem problemas de segurança sem resolução

Pesquisador afirma que falhas no Mail e no Safari podem ser usadas por phishers e spammers. Apple nega bug no Safari.

Computerworld/EUA

24/07/2008 às 11h24

Foto:

Vulnerabilidades na segurança do iPhone, presentes no Mail e no browser Safari, podem ser usadas por phishers para enganar usuários na visita a sites maliciosos ou por spammers que podem ter lotado a caixa de correio do iPhone com lixo eletrônico, alertou o pesquisador Aviv Raff na quarta-feira (23/07).

Raff disse que reportou à Apple as três falhas duas semanas atrás: são duas no Mail e uma no Safari.

A Apple confirmou que duas vulnerabilidades no Mail são problemas de segurança, disse o pesquisador, mas a companhia disse que não sabe se a falha do Safari é realmente um bug.

A Apple tradicionalmente se recusa a classificar como falhas de segurança problemas como o que aconteceu em maio, quando um bug do Safari permitia que malwares fossem baixados ao desktop do usuário. Ainda assim, a falha não foi relacionada nos alertas de segurança da companhia.

Um mês depois a Apple liberou uma correção do Safari para evitar esse tipo de ataque - que a Raff e outras empresas têm indicado.

“Por criar uma URL exclusiva e enviá-la via e-mail, o agressor pode convencer o usuário sobre a URL falsa, mostrando no e-mail que o endereço é um domínio confiável, semelhante a um banco ou redes sociais”, disse Raff no seu blog na quarta-feira à tarde. “Quando você clica na URL, o Safari irá abrir [e] a falsa URL, que aparece no campo de endereço, será visualizada pela vítima como se fosse um domínio confiável”.

No lugar de alguns patches, Raff incentivou os usuários a não clicar nos links presentes nas mensagens de e-mails. E para evitar o spam, ele recomenda que as pessoas parem de usar o Mail.

Raff hesitou ao falar sobre os detalhes técnicos de qualquer um dos três bugs. Em uma entrevista feita  por mensagens instantâneas, ele disse que não iria revelar nada sobre os problemas até que a Apple se manifeste. Mas quando questionado sobre falhas no e-mail e no Safari, disse que poderiam estar relacionadas com o gerenciador de protocolos - uma origem comum dos bugs nos browsers há mais de um ano. “Não, não há nada a se fazer com o gerenciador de protocolos”. Entretanto, momentos mais tarde ele acrescentou: “Humm. Deixe-me refazer essa frase. Quase nada a se fazer com o gerenciador de protocolos”.

A falha relacionada ao spam no e-mail é “uma falha de design muito básica”, disse Raff, que pode criar uma conta de e-mail mais vulnerável ao spam. “Eu não posso dizer mais sobre isso". Esse problema já apareceu em outras versões do Mail, já que ele tem uma versão para desktop no Mac OS X, e foi corrigido pela Apple.

Na versão do software 1.1.4 do iPhone e na edição recém-lançada do 2.0, os três bugs estão presentes. Raff disse que explorar qualquer um dos três blogs foi fácil e criou algumas evidências para demonstrar possíveis ataques.

A Apple não comentou as falhas descobertas por Raff.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail