Um email que chega em branco, mas que traz um software malicioso, que permite que o pirata informático entre nos dispositivos dos utilizadores através da aplicação de email dos iPhone e iPad. Foi esta a falha de segurança que a ZecOps, uma empresa norte-americana de cibersegurança, diz ter encontrado nos telemóveis e tablets da Apple e que já levou a gigante tecnológica a desenvolver uma correção para este software. 

À agência Reuters, a Apple indicou que esta falha existe mesmo e que já está a desenvolver uma correção para o software, que será disponibilizada com a próxima atualização do sistema operativo.

Tudo começou quando a ZecOps, sediada em São Francisco, estava a investigar um ataque informático feito a um cliente no final do ano passado. Segundo a mesma empresa, esta falha ainda não tinha sido detetada pela Apple, o que pode ter facilitado o trabalho de hackers em aceder a dados dos utilizadores através de uma simples ferramenta: a app nativa do email do iOS, o sistema operativo móvel da Apple”.

“O ponto do ataque consiste em enviar um email especialmente criado para a caixa de correio da vítima, permitindo que ela ative esta vulnerabilidade no contexto do iOS Mobile Mail do iOS12 ou 13”, explica o relatório da empresa, acrescentando que esta falha estará presente no email do iPhone pelo menos desde o iOS6, lançado em 2012.

A ZecOps diz que tem “confiança de que essas vulnerabilidades terão sido amplamente exploradas em ataques conduzidos por operadores avançados de ameaças”, acrescentando que entre as “vítimas” destes ataques, ainda que mantenha o anonimato das mesmas, terão estado indivíduos de uma organização do ranking Fortune 500, um executivo de uma transportadora no Japão, um jornalista da Europa, uma figura pública da Alemanha e uma empresa de segurança na Arábia Saudita e Israel.

Esta falha estará a ser explorada pelo menos desde janeiro de 2018, não tendo sido possível obter o código do malware nem perceber quem estará por detrás dos ataques, uma vez que, acredita a empresa, as mensagens de email utilizadas para aceder aos dados já terão sido eliminadas.

De acordo com o The Verge, o que torna esta falha tão perigosa, na teoria, é que não exige que os utilizadores façam download de qualquer ficheiro ou carreguem em qualquer link que lhes é enviado. É apenas exigido que seja executado um código no dispositivo iOS da vítima, para que o email seja recebido e ela abra a mensagem.