Diferente dos ataques digitais por infecção, como aqueles que usam técnicas de phishing, no tipo clique-zero (zero-click attack) não é necessário que a vítima abra um arquivo ou tente entrar em algum link. Sem ter que realizar nenhuma ação, o alvo precisa apenas estar usando um sistema operacional ou aplicativo vulnerável instalado. [1]
Como acontece?
A coisa funciona da seguinte forma: um atacante precisa enviar um pacote de dados específico para o dispositivo alvo através de uma rede sem fio, como Wi-Fi, bluetooth, GSM, LTE (4G). Em seguida, a cadeia de ataque aciona uma vulnerabilidade desconhecida no nível de hardware (um chip SoC) ou software (cliente de email, mensageiro instantâneo, serviço de chamada, etc.). [2] Daí pra frente, o arquivo conseguiu entrar no dispositivo e começará a executar comandos predefinidos.
Dependendo de onde está a vulnerabilidade, esse arquivo vai ter uma cara específica: pacotes de rede, requisições de autenticação, mensagens de texto, seções de videoconferência, mensagens de skype, telegram, signal, etc. Cada tipo de arquivo “estimulará” uma resposta do seu respectivo aplicativo, tudo sem passar pela pessoa.
Dado que não é preciso clicar em nada para explorar esse tipo de vulnerabilidade, temos duas consequências: por um lado, o atacante não precisa dispender tempo com engenharia social para “convencer” uma vítima. Por outro, a vítima não tem quase nenhuma chance de se preparar e se proteger ou mesmo perceber que foi atacada.
Eu disse quase, pois nos casos de softwares ou aplicativos, os consertos no código (patches) acontecem geralmente em pouco tempo depois que a vulnerabilidade foi descoberta. Por isso, mantenha sempre atualizados seu sistema operacional e seus aplicativos.
Há uns anos atrás, tivemos a notícia de um ataque de clique-zero no whatsapp. O atacante (Grupo NSO, de Israel) conseguiu inserir um software espião (spyware) em espertofones de defensores de direitos humanos através de uma chamada de voz “infectada”. Isso acontecia tanto em iOS quanto em Android. O mais sinistro é que o ataque funcionava mesmo que a pessoa não atendesse a chamada. Em seguida, uma vez spyware tenha sido instalado com sucesso, a chamada era apagada dos registros do zap e o atacante conseguia, por exemplo, controlar a câmera, o microfone e obter a geolocalização da vítima, dado que o whatsapp possui essas permissões.
Porta dos fundos x clique-zero
Já que o dispositivo alvo pode ser acessado simplesmente por um comando ou estímulo externo (remote code execution), o que diferenciaria uma vulnerabilidade clique-zero de uma porta dos fundos (backdoor)?
Olhando superficialmente, a primeira seria uma falha “honesta”, algo não previsto que passou batido na hora que o código foi escrito. E a segunda, pelo contrário, seria uma abertura propositalmente desenhada para dar acesso furtivo para quem programou ou a empresa desenvolvedora do software/hardware ao dispositivo da vítima.
Agora, do nosso ponto de vista, como usuários, será que faz muita diferença se a falha é intencional ou não? Afinal, não sabemos que as mega-tecs colaboram com governos democráticos na espionagem de seus cidadãos e que, eventualmente, essas portas dos fundos são descobertas por atores privados e acabam novamente sendo usadas contra nós? No caso de falhas não intencionais, pelo menos todo mundo está mais ou menos vulnerável da mesma forma, seja o agente da ABIN ou a florista do bairro.
Maçãs podres
Os dispositivos da Apple (e consequentemente, seus aplicativos exclusivíssimos) têm apresentado diversas falhas propensas a ataques de clique-zero nos últimos anos. Uma delas, que visava o aplicativo de email do iOS desde 2012 até a sua versão 13 (2019), dava ao atacante acesso aos dados pessoais da vítima. Ao tentar receber um email de grande tamanho, o aplicativo de email causava uma sobrecarga na memória temporária (buffer overflow) do espertofone. Ao “estufar” a memória com lixo digital arbitrário, era possível sobrescrever o código normal por dados maliciosos dando ao atacante o controle sobre o aplicativo. [3]
Mais recentemente, foi descoberta em agosto de 2021 uma falha de segurança no iOS chamada de ForcedEntry (entrada forçada). Desenvolvida pela empresa israelense Grupo NSO, ela era explorada pelo seu software espião Pegasus. Um arquivo PDF disfarçado de GIF é enviado para o dispositivo da vítima causando uma sobrecarga na memória quando o sistema gráfico do iOS tentava renderizá-lo. [4] Todos os iOS interiores ao 14.8 assim como todo os maOS anteriores ao Big Sur 11.6 estão vulneráveis a essa falha.
E tem jeito?
Sempre dá pra fazer alguma coisa. Os atacantes adoram a postura niilista do “dane-se a segurança”. Como já foi dito acima, mater tudo atualizado seria o básico para qualquer tipo de usuário. Mas se você busca mais segurança, dá para usar a estratégia de compartimentalização. Ela diminui sua “superfície de ataque” reduzindo os caminhos possíveis pelos quais os seus dispositivos podem ser infectados. Ou, ainda, caso um aplicativo tenha uma falha, somente as informações contidas nele serão afetadas.
Algumas outras ações: [5]
- Diminua o número de aplicativos no seu espertofone.
- Revise regularmente os aplicativos instalados, principalmente suas permissões.
- Se você sabe que é um possível alvo de vigilância e sua vida está em risco, use um aplicativo importante (por exeplo, seu mensageiro instantâneo)
- Mesmo com diversos espertofones separando suas informações, eles não deixam de ser possíveis equipamentos de escuta e rastreamento. Por isso, deixe aqueles que não estiver usando em uma bolsa de faraday, o que evita totalmente que receba ou envie dados.