Ontem publicamos em Actualidad iPhone que foi detectado um grave problema de segurança que afeta dispositivos que utilizam os sistemas operacionais iOS e OS X. O problema foi batizado de XARA, Acesso não autorizado de recursos entre aplicativos (o X que presumo é para "cruzado") e visa o chaveiro do iCloud, sendo de particular preocupação no caso do OS X. A Apple precisa consertar esse bug, mas você também não precisa entrar em pânico.
Neste artigo, tentaremos explicar tudo sobre XARA, o que faz, o que afeta e o que podemos fazer para evitar que um usuário malicioso acesse nossas chaves do iCloud.
[ATUALIZAÇÃO 20/6/2015] Apple fala sobre XARA:
"No início desta semana, adicionamos uma atualização de segurança na forma de um aplicativo no servidor que protege os dados do aplicativo e bloqueia aplicativos com problemas de configuração de sandbox da Mac App Store." Eles também responderam a uma consulta dizendo que "Temos mais patches em andamento e estamos trabalhando com pesquisadores para resolver o problema no local."
O que é XARA?
XARA é o nome usado para unir no mesmo termo a um grupo de explorações que usam um aplicativo malicioso para obter acesso a informações seguras por meio de um aplicativo legítimo. Eles fazem isso usando o método "man-in-the-middle", o que significa que estão entre nós e um servidor legítimo usando phishing para nos induzir a fornecer nossas credenciais.
Qual é o objetivo do XARA?
No OS X, o XARA visa o banco de dados de chaves do iCloud (iCloud Keychain), onde armazenamos nossos usuários e senhas; WebSockets, canal de comunicação entre aplicativos e associados a serviços; e identificadores de pacote, que apenas identificam aplicativos de sandbox e podem ser usados como contêineres de dados de destino.
No iOS, o XARA direciona esquemas de URL. O roubo de URL não é uma vulnerabilidade do sistema operacional. Ele pode ser usado se um mecanismo de segurança oficial não estiver em vigor para atingir a funcionalidade desejada. Parece que no iOS a falha não é tão grave, pois sua exposição é muito mais limitada.
Como os exploits são distribuídos?
Os pesquisadores de segurança criaram aplicativos e os carregaram na Mac App Store e na App Store. No caso do OS X, eles também podem ser distribuídos por outro site e podemos instalá-los se configurarmos nas preferências do sistema.
As lojas de aplicativos tentam identificar se há comportamento malicioso. Se eles detectarem tal comportamento na App Store, como é o caso do XARA, a informação será usada para análises futuras para evitar que os mesmos exploits acessem a App Store no futuro. Assim que a App Store não foi comprometida.
Como funcionam esses aplicativos?
Simplificando, eles agem como intermediários entre a troca de informações ou em aplicativos sandbox. O que eles fazem é esperar e "cruzar os dedos" esperando para serem usados. Se não for esse o caso, eles não podem fazer nada.
No caso do OS X iCloud Keychain, você pode pré-registrar ou excluir e registrar novamente as credenciais. Com WebSockets, você pode ocupar uma porta preventivamente. Com identificadores de pacote, você pode adicionar subtargets maliciosos às listas de controle de acesso de aplicativos legítimos.
No iOS, você só pode sequestrar URLs legítimos e fazer phishing.
Que tipo de dados está em risco?
Dados de chaveiro ICloud, Websockets e URLs.
O que pode ser feito para prevenir o XARA?
O melhor seria um sistema no qual os aplicativos fossem autenticados com segurança em todas as comunicações possíveis. Esse é o trabalho da Apple.
Se percebermos que algo foi excluído em nosso chaveiro, podemos pensar que é uma falha, mas se virmos um registro que não fizemos, é um sintoma de que alguém teve acesso a ele.
A Apple tem que atualizar o sistema, isso é o mais importante. E você tem que fazer isso o mais rápido possível.
É possível saber se meus dados foram interceptados?
No iOS, devemos ver o aplicativo falso por pelo menos um instante antes de passar para o aplicativo legítimo. Se estivéssemos procurando uma falha, notaríamos, mas se não, seria difícil.
Por que o XARA foi publicado?
Os investigadores descobriram a falha no ano passado. Eles relataram isso à Apple e o pessoal de Cupertino lhes pediu pelo menos 6 meses para resolver o problema. Após 6 meses, os pesquisadores tornaram isso público.
Pior de tudo, é uma irresponsabilidade que só serve para se tornarem importantes como pesquisadores de segurança. O que eu faria ao descobrir esse bug é trabalhar com a empresa até que ele seja corrigido. Então, e só então, ele publicaria as informações.
Além disso, os pesquisadores reconheceram que A Apple está trabalhando nisso desde que foram informados sobre o problema, portanto, publicar a existência dessa falha de segurança não ajudará a Apple a se apressar. Servirá apenas para se promover e colocar em risco os dados do usuário, já que agora qualquer usuário malicioso pode usar as informações publicadas.
Por outro lado, a Apple corrigiu muitos bugs mais importantes durante esse tempo. E não é que o XARA não seja perigoso, senão que não é tanto para priorizá-lo ou para nos alarmar enquanto o fazemos. Uma chamada para se acalmar.
Então o que deveríamos fazer?
XARA é um grupo de exploits que devem ser corrigidos, mas devem ser corrigidos pela Apple. Como dizem em iMore, que é a fonte deste artigo, você não precisa entrar em pânico, mas qualquer usuário de Mac, iPhone ou iPad deve ser informado. Até que a Apple resolva o problema, o melhor é manter a rotina: não baixe aplicativos de origem duvidosa. E eu coloco dois exemplos: se baixarmos um novo jogo de um desenvolvedor desconhecido da App Store e eles pedirem para colocarmos nossa senha de acesso ao nosso chaveiro, não o fazemos. E o mesmo com os usuários que têm o jailbreak no seu dispositivo, mas nesses casos também é importante usar os ajustes dos repositórios oficiais.
Como sempre, seus artigos são muito objetivos e interessantes, saudações do México!