Pesquisadores do Secure Mobile Networking Lab da Universidade de Darmstadt, na Alemanha, publicaram um artigo que descreve um método teórico para hackear um iPhone– mesmo que o dispositivo esteja desligado. O estudo examinou o funcionamento dos módulos sem fio, encontrou formas de analisar o firmware do Bluetooth e, consequentemente, de introduzir malware capaz de funcionar de forma totalmente independente do iOS, o sistema operacional do dispositivo.
Com um pouco de imaginação, não é difícil conceber um cenário em que um invasor mantenha um telefone infetado próximo ao dispositivo da vítima e transfira um malware, que poderá roubar as informações do cartão de pagamento ou até mesmo a chave virtual do carro.
Mas, por enquanto, isso ainda está no campo da hipótese. Isso porque os autores do artigo não demonstraram o risco, e pararam a um passo de uma implementação prática do ataque em que algo realmente útil desagradável é carregado no smartphone. Mesmo assim, os pesquisadores fizeram muito ao analisar a funcionalidade não documentada do telefone, fazer engenharia reversa do seu firmware Bluetooth e modelar vários cenários para o uso de módulos sem fio.
Então, se o ataque não aconteceu, sobre o que é este post? Vamos explicar, não se preocupe, mas primeiro uma declaração importante: se um dispositivo está desligado, mas a interação com ele (hacking, por exemplo) ainda é possível, então…. ele não está completamente desligado!
Como chegamos ao ponto em que desligar algo não significa necessariamente que está realmente desligado? Vamos começar do início:
- O Modo de Baixa Energia da Apple
Em 2021, a Apple anunciou que o serviço Buscar Meu Dispositivo, usado para localizar um aparelho perdido, agora vai funcionar mesmo se o dispositivo estiver desligado. Esta melhoria está disponível em todos os smartphones da Apple desde o modelo iPhone 11.
Se, por exemplo, você perder o seu telefone em algum lugar e a sua bateria acabar depois de um tempo, ele não desliga completamente, mas muda para o Modo de Baixo Consumo, no qual apenas um conjunto muito limitado de módulos é mantido vivo. Estes são principalmente os módulos sem fio, Bluetooth e Ultra WideBand (UWB), bem como NFC. Há também o chamado Secure Element – um chip seguro que armazena os seus segredos mais preciosos, como detalhes do cartão de crédito para pagamentos por aproximação ou chaves do carro– o recurso mais recente disponível desde 2020 para um número limitado de veículos.
O Bluetooth no modo de baixo consumo é usado para transferência de dados, enquanto o UWB serve para determinar a localização do smartphone. No modo de baixo consumo, o smartphone envia informações sobre si mesmo, nas quais os iPhones de transeuntes podem captar. Se o proprietário de um telefone perdido fizer login na sua conta da Apple online e marcar o telefone como perdido, as informações dos smartphones ao redor serão usadas para determinar a localização do dispositivo.
O anúncio rapidamente provocou uma discussão acalorada entre os especialistas em segurança da informação sobre os possíveis múltiplos riscos de segurança. A equipa de pesquisadores da Alemanha decidiu testar os possíveis cenários de ataque, na prática.
- Em primeiro lugar, os pesquisadores realizaram uma análise detalhada do serviço Buscar Meu Dispositivo no modo de baixo consumo e descobriram algumas características anteriormente desconhecidas. Após desligar, a maior parte do trabalho é feita pelo módulo Bluetooth, sendo recarregado e configurado por um conjunto de comandos do iOS. Em seguida, ele envia periodicamente pacotes de dados pelo ar, que permite com que outros dispositivos detetem o iPhone <em>quase desligados</em>.
- Descobriu-se que a duração desse modo é limitada: na versão iOS 15.3, apenas 96 sessões de transmissão são definidas com um intervalo de 15 minutos. Ou seja, um iPhone perdido e desligado poderá ser encontrado por apenas 24 horas. Se o telefone for desligado devido a uma bateria fraca, a janela será ainda menor – cerca de cinco horas. Isso pode ser considerado uma peculiaridade do recurso, mas um bug real também foi encontrado: às vezes, quando o telefone está desligado, o modo “beacon” não é ativado, embora devesse ser.
- O mais interessante aqui é que o módulo Bluetooth é reprogramado antes de ser desligado; ou seja, a sua funcionalidade é fundamentalmente alterada. Mas, e se ele puder ser reprogramado em detrimento do proprietário?
Ataque a um telefone desligado
Na verdade, a principal descoberta da equipa foi que o firmware do módulo Bluetooth não é criptografado e não é protegido pela tecnologia Secure Boot. A inicialização segura envolve a verificação em vários estágios do código do programa na inicialização, para que apenas o firmware autorizado pelo fabricante do dispositivo possa ser executado.
A falta de criptografia permite a análise do firmware e a busca de vulnerabilidades, que posteriormente podem ser utilizadas em ataques. Mas a ausência do Secure Boot permite que um invasor vá mais longe e substitua completamente o código do fabricante pelo seu próprio, que o módulo Bluetooth executa. Para comparação, a análise do firmware do módulo UWB do iPhone revelou que ele é protegido pelo Secure Boot, embora o firmware também não seja criptografado.
A Apple não se impressionou com o estudo e recusou-se a responder. Isso por si só, no entanto, diz pouco: a empresa tem o cuidado de manter uma imagem de indiferença mesmo nos casos em que a ameaça é grave e demonstrada na prática.
Pelo lado positivo, o artigo não tem impacto imediato nos usuários comuns: os dados obtidos no estudo são insuficientes para um ataque prático. Como uma solução infalível, os autores sugerem que a Apple implemente um switch de hardware que mate completamente a energia do telefone. Mas, dada a fobia de botões físicos da Apple, você pode ter certeza de que isso não deve acontecer.