A falha está a ser explorada pelos cibercriminosos e afeta uma ampla gama de dispositivos, incluindo iPhone, iPad e Apple Watch.
A Apple lançou uma atualização de emergência para os sistemas operativos iOS, iPadOS e watchOS. O intuito da atualização é corrigir uma vulnerabilidade zero-day que está já a ser explorada. A falha afeta vários modelos do iPhone, iPad, Apple Watch e iPod touch.
“A Apple está ciente de um relatório que indica que essa falha pode estar a ser explorada”, diz o comunicado de segurança publicado pela Apple e que descreve a falha, a qual é corrigida na versão 14.4.2 do iOS e 14.4.2 do iPadOS.
A lista de dispositivos afetados inclui o iPhone 6s e posteriores, todas as versões do iPad Pro, iPad Air 2 e posteriores, a quinta geração do iPad e posteriores, iPad mini 4 e posterior e a sétima geração do iPod touch. A empresa também lançou atualizações de segurança para os produtos Apple Watch (watchOS 7.3.3).
Considerando a gravidade da ameaça, a Apple também lançou uma atualização (iOS 12.5.2) para dispositivos mais antigos, como o iPhone 5s e o iPhone 6. Num esforço para proteger os seus clientes, a empresa não divulgou nenhuma informação sobre os cibercriminosos ou o alvo dos ataques. Enquanto isso, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança (CERT) dos Estados Unidos, Hong Kong e Singapura emitiram alertas aconselhando os utilizadores dos dispositivos afetados a aplicar as atualizações imediatamente.
Registada como CVE-2021-1879, a falha de segurança reside no WebKit, o motor do navegador de código aberto da Apple usado pelo navegador Safari, Mail e várias outras aplicações iOS e iPadOS. “O processamento de conteúdo web malicioso pode levar a ataques de cross site scripting entre sites”, diz a descrição da vulnerabilidade.
De acordo com o site CyberSecurityHelp, um atacante remoto que consigua enganar a sua vítima para que clique num link especialmente criado e execute um código arbitrário poderia roubar dados confidenciais, realizar um ataque de phishing ou de drive-by-download, assim como alterar a aparência do site.
A descoberta e divulgação da vulnerabilidade foram atribuídas a Clément Lecigne e Billy Leonard, do Grupo de Análise de Ameaças do Google. Esta não é a primeira vez que os pesquisadores de segurança do Google descobrem uma falha que afeta dispositivos da Apple. No ano passado, a equipa Project Zero do Google encontrou três vulnerabilidades zero-day que afetam uma longa lista de produtos da Apple. No início deste ano, a Apple também teve que lançar uma atualização de emergência para corrigir três falhas zero-day que também afetaram uma ampla gama de produtos.
Caso o seu dispositivo não tenha a opção de atualizações automáticas ativada, deve atualizar o seu iPhone e iPad manualmente através do menu Configurações > opção Geral > Atualização de Software.