Os investigadores da Morphisec descobriram uma vulnerabilidade zero day no update de software da Apple para o iTunes para Windows. De acordo com o relatório da empresa de cibersegurança a falha permitia que hackers conseguissem escapar aos antivírus e instalar ransomware nos computadores das vítimas.
A chegada do macOS Catalina ditou o fim do software nos computadores da empresa da maçã e a sua substituição por um trio de aplicações: Apple Music, Apple TV e Apple Podcasts. No entanto, o iTunes vai continuar a existir como app independente para computadores com sistema operativo Windows.
O update de software da Apple é utilizado como uma forma de manter não só o iTunes, mas também o iCloud atualizados. No entanto os especialistas da Morphisec constataram que o serviço contém um unquoted service path, onde um dos códigos fonte não está entre aspas. A falha encontrada é uma porta de entrada para o cibercrime, em especial, porque o serviço é assinado digitalmente pela Apple.
O relatório da Morphisec indica também que os hackers se aproveitaram do facto de diversos antivírus confiarem no serviço de update para levar a cabo o ciberataque. A vulnerabilidade permitia que os atacantes executassem um ficheiro malicioso com o nome de “Programa” e sem uma extensão executável.
Uma vez que o “Programa” conseguia passar despercebido pelos antivírus, ao pôr o serviço de update da Apple a funcionar, a vítima iria encontrar não o programa que estava à espera, mas sim o ransomware BitPaymer.
Tal como elucida Michael Gorelik, CTO da Morphisec, a questão torna-se ainda mais problemática, pois ainda existem muitas pessoas que desconhecem que precisam de desinstalar separadamente o serviço de update quando estão a remover o iTunes do seu computador. Mesmo sem o software de música da Apple, o programa continua a funcionar.
A Morphisec notificou a Apple após a sua investigação e gigante tecnológica lançou uma atualização de segurança para resolver a vulnerabilidade. Os utilizadores do iTunes em computadores com sistema operativo Windows podem fazer o download do patch na página de apoio da Apple.
Pergunta do Dia
Em destaque
-
Multimédia
Fortnite toma de assalto Counter-Strike 2 e Valorant com o novo modo Ballistic -
App do dia
Nintendo Music traz 40 anos de bandas sonoras dos jogos para o smartphone -
Site do dia
Europa Clipper inspira nova banda desenhada sobre astrobiologia da NASA -
How to TEK
Mude o assistente do Waze para a vozes do Venom e Eddie Brock
Comentários