Em meio ao debate atual entre o FBI e a Apple a respeito do conceito da criptografia do iPhone, pesquisadores da Universidade Johns Hopkins publicaram um relatório sobre uma vulnerabilidade que, ironicamente, destrói as técnicas de criptografia da gigante da tecnologia. A instituição de Baltimore divulgou detalhes de uma falha no iOS e OSX na transmissão de mensagens pelo aplicativo de mensagem instantânea iMessage – uma falha que pode permitir que um agressor decodifique o envio de fotos, vídeos e mensagens.
Chefiando uma equipe de pesquisadores de ciência da computação, o professor Matthew D. Green observou que existe uma falha desde o ano passado, percebendo que o processo de criptografia divulgado pela empresa em um guia de segurança era fraco.
Depois de meses de observação, a equipe de Green encenou um ataque de prova de conceito que desafiou a criptografia de fotos e vídeos enviadas pelo aplicativo. Depois de várias tentativas de ataque os estudantes de graduação foram bem-sucedidos em dispositivos com versões de sistema operacional desatualizadas.
A interceptação de arquivos foi possível com a criação de um software disfarçado como um servidor da Apple. A transmissão alvo criptografada envolvia um link de uma foto armazenada no servidor do iCloud junto com uma chave de 64 dígitos usada para decodificar a foto. Também se observou que uma versão modificada do ataque poderia funcionar em versões mais novas do SO. Usando essa chave, os pesquisadores conseguiram acessar uma foto do servidor da Apple. O resultado do ataque teste serve como um alerta de que um cibercriminoso poderia facilmente fazer isso sem o conhecimento do usuário.
O relatório também mostra que o exploit pode ser usado para decodificar mesmo as mensagens que não foram enviadas pelo iMessage, mas permanecem nos servidores do iCloud por 30 dias.
Porém, no contexto do recente atrito entre a Apple e o FBI, os pesquisadores disseram que a descoberta da vulnerabilidade não ajuda, de forma alguma, a obter acesso ao dispositivo em questão envolvido no tiroteio de San Bernardino. Green declarou, “Mesmo a Apple, com todas as suas habilidades – e eles têm criptógrafos fantásticos – foram capazes de fazer isso direito. Portanto, tenho medo dessa conversa sobre a adição de backdoors para criptografia quando não conseguimos obter a criptografia básica certa.”
A Apple foi notificada sobre a vulnerabilidade depois da descoberta da equipe de pesquisa. Em uma declaração a empresa diz, “A Apple trabalha duro para tornar para tornar nosso software mais seguro a cada lançamento. Agradecemos a equipe de pesquisadores que identificaram esse bug a nos informaram sobre ele para podermos corrigir a vulnerabilidade. A segurança exige uma dedicação constante e estamos gratos por termos uma comunidade de desenvolvedores e pesquisadores que nos ajudam a estar à frente.”
Após a notificação a Apple disse que o problema de segurança foi “parcialmente corrigido” no último terceiro trimestre com o lançamento do iOS 9. Os usuários devem manter seus dispositivos – desde iPhones a notebooks – atualizados com as melhorias de segurança do lançamento do iOS 9.3.