Após ação de hackers, Apple atualiza o Safari

Compartilhe isso:
Tempo de leitura: 1 Minuto

Falha na segurança do sistema permitia roubo de conta e interação não autorizada

No dia 26/03, a Apple lançou atualizações no iOS, iPadOS e WatchOS para corrigir uma vulnerabilidade no “coração do Safari”.

Segunda a empresa, o falha acabou sendo explorada por ações hackers. Por essa razão, se você ainda não atualizou os seus dispositivos, recomenda-se que faça isso o quanto antes. Veja abaixo em qual versão do Safari seu dispositivo precisa ter para você estar seguro:

  • iOS 14.4.2
  • iPad OS 14.4.2
  • watchOS 7.3.3

SOBRE A ATUALIZAÇÃO

A nova versão não trouxe melhorias. Ela focou apenas em corrigir o problema de segurança.

No entanto, uma nova versão está prevista para abril, onde a Apple deve anunciar algumas mudanças e melhorias no Safari.

Segundo a empresa, ela foi alertada do problema através do TAG do Google, um grupo especializado em rastrear e analisar ataques de hackers. Também foi revelado que a brecha permitia “cross-site scripting universal”

Apesar de tudo isso a Apple não informou quem foram os alvos dos ataques.

“CROSS-SITE SCRIPTING UNIVERSAL”

O “XSS”, como é abreviado o “cross-site scripting”, é uma falha de segurança em que uma página de internet interage com outra página sem autorização do usuário.

Essas falhas decorrem de erros de programação do próprio site e impactam apenas a página vulnerável. Esse tipo de problema é bastante comum e, por isso, o XSS é um tipo de ataque associado a sites, não aos navegadores. Porém, como o navegador é o responsável por isolar as páginas abertas, um erro nisso viabiliza executar comandos em qualquer página. Por isso “universal”.

ROUBO DE COOKIES

Um “Cross-Site Scripting Universal” permite o roubo de cookies de autenticação, aquele que identifica os usuários. Então, quem acessa e faz login num site e depois acessa o site “corrompido”, está sujeito ao XSS roubar a chave da sessão e envia-la ao invasor.

Com ela em mãos, o invasor consegue fazer login na conta do usuário mesmo sem a senha ou a autenticação de dois fatores, porque a chave concede acesso direto. É como se o usuário tivesse apenas aberto uma nova aba.

Como o ataque não foi detalhado pela Apple, não dá pra saber como os hackers se aproveitaram da situação.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *