Investigador coloca aplicação maliciosa na loja da Apple

Foto
A descoberta levanta a hipótese de que outras aplicações estejam a explorar a falha Joe Skipper/Reuters

Um especialista em segurança informática conseguiu que fosse disponibilizada na loja de aplicações da Apple uma aplicação capaz de roubar dados e de fazer outros tipos de acções maliciosas.

O americano Charlie Miller, que trabalha numa empresa de pesquisa em segurança informática e que costuma investigar falhas nos sistemas da Apple, criou uma aplicação, chamada InstaStock, que permitia acompanhar a cotação de acções em bolsa.

Miller submeteu a aplicação para que fosse revista e colocada na loja da Apple, que disponibiliza aplicações para iPad, iPhone e iPod Touch. A Apple, conhecida por critérios apertados de selecção (que passam por deixar de fora não apenas software malicioso, mas também conteúdo pornográfico ou qualquer outro de que a empresa não goste), acabou por dar luz verde em Setembro. E a aplicação ficou disponível até que o próprio Miller divulgou, ontem, a falha de segurança.

A novidade é um golpe na reputação de segurança da loja da Apple. Contrariamente ao que acontece no rival Android Market – criado pelo Google e onde há várias aplicações maliciosas –, a Apple orgulha-se de que todas as aplicações disponibilizadas são analisadas, não representando perigo para o utilizador.

Também contrariamente ao que acontece com os telemóveis Android, a Apple tenta impedir que os utilizadores instalem aplicações que não sejam as aprovadas (num Android, é possível simplesmente descarregar uma aplicação de um qualquer local na Internet).

Porém, o InstaStock era capaz de se ligar a um servidor de Miller, daí descarregando e incorporando código informático. Este código poderia, em teoria, permitir que a aplicação roubasse ficheiros e dados guardados nos aparelhos (por exemplo, fotos e contactos) ou controlar funcionalidades como a câmara, o microfone ou o telefone.

Miller aproveitou uma excepção de segurança que a Apple abre para o seu próprio browser – o Safari – e que permite que seja executado código não verificado pela empresa. A aplicação foi programada de forma a que o sistema operativo acreditasse que o InstaStock era o Safari.

A descoberta levanta a hipótese de que outros programadores tenham descoberto (e eventualmente estejam a aproveitar) a falha.

A Apple não fez comentários públicos sobre o assunto, mas parece não ter gostado que a falha fosse exposta e retirou a Miller, durante um ano, a autorização para programar aplicações (os programadores têm de pagar à Apple para poderem criar aplicações).

Miller pretende explicar a vulnerabilidade numa conferência especializada, em Taiwan, no dia 17.

Sugerir correcção
Comentar