- A ameaça de spyware mercenário contra indivíduos de alto risco foi novamente confirmada, e a Apple notificou usuários de iPhone em 92 países sobre a possibilidade de ataques direcionados
- Este alerta informa que foram detectadas tentativas de comprometer remotamente iPhones vinculados ao Apple ID, mas a identidade dos atacantes e os países dos alvos não foram divulgados
- Embora a Apple ressalte que não há certeza absoluta na detecção, orienta que este aviso deve ser levado a sério, pois se trata de um alerta com alto grau de confiança
- Desde 2021, a Apple enviou alertas semelhantes a usuários em mais de 150 países, e em outubro do ano passado também disparou o mesmo tipo de aviso a jornalistas e políticos na Índia
- A Apple trocou a expressão anterior “state-sponsored” por “mercenary spyware attacks”, distinguindo ataques como o Pegasus como muito mais sofisticados e raros do que malwares comuns
Alerta de ameaça enviado a usuários de iPhone em 92 países
- A Apple enviou ao meio-dia de quarta-feira (horário do Pacífico) alertas de ameaça para usuários individuais em 92 países
- O aviso alertava que iPhones vinculados ao Apple ID poderiam ser comprometidos remotamente por um ataque de spyware mercenário
- No alerta verificado pelo TechCrunch, não foram divulgados a identidade do atacante nem o país do usuário que recebeu a notificação
- O conteúdo principal enviado aos usuários foi o seguinte
- O ataque pode ter mirado o usuário como alvo individual por causa de quem ele é ou do que faz
- Esse tipo de ataque torna difícil garantir certeza absoluta no processo de detecção
- A Apple tem alta confiança nesse alerta, e os usuários devem levá-lo a sério
- A Apple informou que não pode fornecer detalhes adicionais sobre o motivo do envio do alerta, porque os atacantes podem mudar seus métodos no futuro para evitar a detecção
Alertas recorrentes e mudança de terminologia
- A Apple envia esse tipo de alerta várias vezes por ano e informa em sua página de suporte que, desde 2021, notificou usuários em mais de 150 países sobre ameaças semelhantes
- Em outubro do ano passado, o mesmo alerta também foi enviado a vários jornalistas e políticos da Índia
- Depois disso, a Amnesty International informou ter encontrado o spyware invasivo Pegasus, da empresa israelense de spyware NSO Group, nos iPhones de importantes jornalistas indianos
- Pessoas com conhecimento do caso disseram que usuários da Índia também estão entre os que receberam o alerta de ameaça mais recente
- O aviso chega em um momento em que vários países se preparam para eleições
- Recentemente, várias empresas de tecnologia alertaram para o aumento de atividades apoiadas por Estados com o objetivo de influenciar resultados eleitorais específicos
- O alerta da Apple em si não menciona o momento do envio
- A Apple anteriormente chamava os atacantes de “state-sponsored”, mas agora substituiu todas as expressões relacionadas por “mercenary spyware attacks”
- Ataques de spyware mercenário como o Pegasus são classificados como um tipo muito mais sofisticado e excepcionalmente raro do que o cibercrime comum ou malwares voltados ao consumidor
- A Apple afirma que usa apenas informações internas de inteligência de ameaças e investigação para detectar esse tipo de ataque
- Material relacionado: ferramenta para verificar se o spyware Pegasus da NSO atingiu seu celular
1 comentários
Opiniões no Hacker News
Há uma thread no Reddit publicada por alguém que recebeu esse tipo de alerta: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
O interessante é que a pessoa afirma ser apenas um estudante universitário comum; se fosse realmente alguém como um agente secreto, provavelmente não perguntaria no Reddit, então até parece plausível.
Fico curioso se os hackers escolhem os alvos com base em critérios como número de telefone. Dá para imaginar a possibilidade de o estudante ter recebido recentemente um número novo, e esse número ter sido associado antes a um alvo. Ainda assim, acho que deveria haver um jeito de descartar números conhecidos como alvos.
Se for possível comprometer um ativista e destruir sua credibilidade, isso é uma capacidade enorme. Eu não ficaria nem um pouco surpreso se o backdoor no xz também tivesse sido uma tentativa de algum governo obter a capacidade de derrubar ou manchar qualquer pessoa que se opusesse a ele.
Vendo Metaverse, spyware mercenário, designação de alvos por IA em guerras e drones letais, fico sempre me perguntando quem leu Neuromancer e pensou: “Que visão de futuro otimista! Como podemos concretizar essa visão maravilhosa?”
Empresa de tecnologia: finalmente criamos o Torment Nexus do clássico romance de ficção científica “Não criem o Torment Nexus”
https://twitter.com/AlexBlechman/status/1457842724128833538
Ou talvez sejam pessoas que não leram 1984 e, por isso, não entenderam o alerta.
E, no fim, ele não foi consertado. Parece que continuamos empurrando tudo para ser mais rápido e mais barato. Se você continuar reduzindo peso, logo terá de cortar braços e pernas. Se um burocrata ou gestor competente anterior já cortou a gordura, sobra pouca gordura para a próxima pessoa cortar. Além disso, certa quantidade de gordura é de fato boa.
Mesmo aqui, há muita gente que acredita que “tecnologia pela tecnologia” é algo bom, ou que qualquer tecnologia é inerentemente progresso social e que progresso === bem.
Se eu recebesse uma mensagem como “A Apple detectou que você está sendo alvo de um ataque de spyware mercenário que tenta comprometer remotamente o iPhone associado ao seu Apple ID -xxx-”, eu acharia que faz parte de um golpe de phishing.
Como saber se isso é real? Se parecer diferente de outras mensagens que costumo receber, a chance de eu achar que é falso é ainda maior.
Depois vi que, como nos comentários abaixo, dá para confirmar fazendo login em appleid.apple.com. Isso já parece confiável.
https://support.apple.com/en-lamr/102174
Se um banco entrar em contato sobre fraude no cartão de crédito e houver um botão grande tipo “clique aqui para fazer login”, eu ficaria muito desconfiado. Por outro lado, se houver apenas a informação e algo como “para mais detalhes, procure a agência mais próxima”, sem links nem números de telefone, parece menos suspeito.
Não entendo como Pegasus e NSO ainda têm permissão para existir. Sei que é uma empresa israelense, mas ainda assim, o governo de Israel já tomou alguma medida contra eles? Isso é praticamente comportamento de Estado pária.
Usuários de Android provavelmente estão em uma situação muito mais grave; o Google apenas não divulga isso
Ao ver isso, estou considerando seriamente mudar para a Apple. Não porque a Apple seja segura, mas porque ela tem esse nível de disposição de avisar os usuários
A natureza open source do Android aumenta a chance de essas coisas serem descobertas primeiro por pesquisadores de segurança. Também não dá para esquecer que a Zerodium ainda paga mais por 0-day de Android do que por 0-day de iOS
Além disso, há diferenças enormes entre aparelhos da Samsung, Google, Moto, Huawei etc., então é três vezes mais difícil um único exploit funcionar
Isso significaria que, quando uma infecção acaba sendo descoberta, a Apple consegue isolar o ponto de entrada da vulnerabilidade e depois escanear novamente todos os dispositivos para detectar aqueles que podem ter sido alvo do mesmo ataque
Do ponto de vista coletivo, faz sentido aplicar hash a dados que possam servir como impressão digital. Em um caso extremo, poderia ser algo simples como a stack de chamadas depois de receber um iMessage
Além disso, não acho que o Google tenha a responsabilidade de monitorar e avisar sobre celulares de outros fabricantes, como Samsung e Motorola
“Ataques de spyware mercenário, como os que usam o Pegasus do NSO Group, são extremamente raros e muito mais sofisticados do que crimes cibernéticos comuns ou malware de consumo”
Então, acionar um alerta da Apple para o alvo pode, por si só, fazer parte de uma operação sofisticada
Esses alvos reagem, ou são obrigados a reagir, de determinadas maneiras. É uma forma de fazer alguém escondido sair da toca e induzi-lo a reagir, mesmo que seja apenas para observar seu comportamento
O que esses alvos farão em seguida? Trocarão de telefone? Acessarão algum serviço digital específico? Alertarão sua rede por meios comuns de comunicação? Do ponto de vista de um observador, é bem interessante
Apple: “Se você recebeu uma notificação de ameaça da Apple, recomendamos fortemente que procure ajuda especializada, como o suporte emergencial de segurança de resposta rápida oferecido pela Digital Security Helpline, sem fins lucrativos, da Access Now. Destinatários de notificações de ameaça da Apple podem entrar em contato com a Digital Security Helpline pelo site 24 horas por dia, 7 dias por semana. Organizações externas não têm informações sobre o que levou a Apple a enviar uma notificação de ameaça, mas podem ajudar com aconselhamento de segurança personalizado para usuários visados.”
https://support.apple.com/en-lamr/102174
Amnesty International: “A Access Now Helpline e outros parceiros da sociedade civil do Security Lab também estão preparados para apoiar pessoas que receberam notificações da Apple.”
https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
Depois que o FBI conseguiu invadir um iPhone em 2018, é surpreendente que alguém ainda guarde segredos em um iPhone
Se você está curioso para saber como é a mensagem real, um usuário do Reddit publicou uma junto com uma versão anterior de 2023. Não inclui tudo: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
Esse spyware é possível por causa de falhas de engenharia nos produtos da Apple?
Mas nunca existiu software significativo sem nenhuma falha desse tipo. Em outras palavras, acho provável que o iOS seja melhor do que a maioria das outras plataformas contra esse tipo de ataque
https://darknetdiaries.com/episode/100/
Parece que isso deveria se aplicar a praticamente todos os países, então é curioso que os alertas vão apenas para 92 países
Não foi informado quais são esses 92 países