Segundo o The Hacker News, em 2018, pode haver um vazamento de dados, durante o qual as informações dos usuários do serviço iCloud foram divulgadas. No entanto, a Apple não anunciou oficialmente esses problemas.
Qual é o problema
Um pesquisador turco de segurança da informação, Melih Sevim, contatou repórteres. Ele afirmou que conseguiu detectar uma vulnerabilidade no iCloud, o que lhe permitiu visualizar alguns dados das contas de outras pessoas no serviço - por exemplo, notas nas contas. O pesquisador conseguiu acessar os dados de contas aleatórias e, propositalmente, divulgar informações de usuários específicos - para isso, precisava saber o número de telefone associado ao serviço.
De acordo com Melikh, ele descobriu um bug em outubro de 2018 e já em novembro, como parte de uma política de divulgação responsável, relatou à Apple, anexou instruções para reproduzir o erro e demonstrou em vídeo o uso da vulnerabilidade.
Os representantes da Apple também em novembro de 2018 disseram ao pesquisador que o erro foi corrigido, mas disseram que a empresa o havia descoberto antes de sua mensagem. Depois disso, o bilhete foi imediatamente fechado.
Segundo o pesquisador, a possível vulnerabilidade surgiu devido à conexão do número de telefone armazenado nas informações de pagamento da sua conta Apple ID com a sua conta iCloud. Essa conexão surgiu ao usar o serviço no dispositivo com o número correspondente.
Certas manipulações do pesquisador permitiram salvar o número associado a outra conta no iCloud e, em seguida, obter acesso parcial aos dados dessa conta.
"Suponha que o número de celular da conta abc@icloud.com seja 12345. Se eu inserir o número de celular 12345 no meu ID Apple, registrado em xyz@icloud.com, posso ver certas informações da conta abc em xyz."
Segundo o pesquisador, durante os experimentos, ele foi capaz de acessar as notas dos usuários do iCloud, que continham muitas informações importantes - incluindo as informações de contas bancárias.
Como a vulnerabilidade estava contida na área de configurações do iCloud para dispositivos iOS, a Apple conseguiu corrigi-la em segundo plano via Internet. Não havia necessidade de lançar uma atualização separada do iOS para isso.
Reação da Apple
Melikh forneceu correspondência a repórteres, durante os quais os funcionários da Apple Security Team confirmam o problema e relatam que ele já foi corrigido.
Em resposta a uma carta do The Hacker News, a Apple também confirmou a vulnerabilidade e disse que ela foi "corrigida em novembro de 2018", ignorando perguntas sobre quanto tempo a vulnerabilidade estava presente no sistema, o número aproximado de usuários cujos dados foram divulgados e há evidências de sua exploração por hackers.
Também nesta semana, ficou conhecido sobre um bug no FaceTime, que permite ao chamador acessar o microfone e a câmera de outras pessoas, mesmo que não atendam à chamada. Os desenvolvedores foram forçados a desativar o Group FaceTime para proteger os usuários.
Mais tarde, soube-se que a mãe do adolescente que descobriu a vulnerabilidade
tentou notificar a Apple uma semana antes de se tornar conhecida. Ninguém respondeu às mensagens dela nas redes sociais e ao relatório de erros.
Os pesquisadores da Positive Technologies também encontraram vulnerabilidades nos produtos da Apple. Portanto, no verão de 2018, a empresa
lançou uma atualização para o macOS High Sierra 10.13.4, que elimina a vulnerabilidade no firmware de computadores pessoais (CVE-2018-4251), descoberta por Maxim Goryachy e Mark Ermolov. A vulnerabilidade permitiu explorar um erro perigoso no subsistema Intel Management Engine.