Foi identificado um esquema para atacar dispositivos com iOS, Android e Windows que esteve ativo entre fevereiro e outubro de 2020. Os ataques partiram da injeção de código malicioso em sites web, usados depois para entrar nos dispositivos e explorar falhas de segurança. Nestes nove meses, os atacantes conseguiram identificar e tirar partido de 11 vulnerabilidades de dia-zero, falhas de segurança desconhecidas e sem correção disponível.
O esquema foi descoberto pela equipa do Projet Zero, um grupo da Google especializado na busca e deteção de vulnerabilidades de segurança em diferentes plataformas. O grupo conseguiu identificar mais de duas dezenas de sites redirecionados para servidores programados para explorar vulnerabilidades em dispositivos Windows e Android, numa primeira fase, e também iOS, num segundo momento (em outubro).
O grupo sublinha que os atacantes tinham um conhecimento aprofundado dos sistemas envolvidos a ponto de conseguirem contornar os mecanismos de segurança “ de sistemas operativos e aplicações bem blindados e totalmente atualizados”. O sucesso do esquema deve-se à capacidade de tirar partido de múltiplas falhas em simultâneo, com técnicas que vão desarmando as “defesas” dos sistemas.
Em fevereiro os especialistas do Projet Zero já tinham detetado o esquema, que na altura estava a tirar partido de quatro falhas de segurança completamente desconhecidas, numa vantagem clara para os atacantes, que podem criar malware para as explorar, antes de chegarem as correções.
Em outubro, verificaram que os autores do esquema tinham voltado à carga, com o mesmo modelo, conseguindo tirar partido de mais sete falhas de segurança antes de serem descobertos. No relatório que o Projet Zero divulgou sublinha-se que não há garantias de o ataque só visar estes três sistemas operativos, já que estes foram os únicos testados.
Pergunta do Dia
Em destaque
-
App do dia
Treinar de forma mais inteligente e não mais difícil com o Impakt AI Coach -
Site do dia
O que é que posso fazer com a Inteligência Artificial hoje? -
Multimédia
NASA lança uma espécie de “corrida mais louca do mundo” mas para rovers lunares -
How to TEK
Como separar (ou juntar) as contas do Facebook e Instagram
Comentários