Topo

Fique esperto! Bug envolvendo nomes muito longos pode travar seu iPhone

Getty Images
Imagem: Getty Images

Felipe Mendes

Colaboração para Tilt, em São Paulo

06/01/2022 04h00

Um bug nos sistemas iOS e no iPadOS da Apple pode levar seu dispositivo a um looping de congelamento, travamento e reinicialização que trava os dispositivos. A falha, chamada de "doorLock", permite que cibercriminosos criem uma armadilha usando o app HomeKit.

"Quatro meses atrás, descobri e relatei um grave bug de negação de serviço no iOS que ainda permanece na versão mais recente. Ele persiste nas reinicializações e pode ser acionado após restaurações sob certas condições", publicou o pesquisador de segurança Trevis Spinolas no Twitter.

O bug acontece quando o HomeKit é usado com um nome extremamente longo (cerca de 500 mil caracteres).

Quando o iPhone se conecta a esse dispositivo, parar de responder e inicia o ciclo de reinicialização —que só é cortado quando o iOS é formatado.

De acordo com o site norte-americano "The Verge", o problema não para por aí. Como os nomes dos dispositivos HomeKit são copiados para o iCloud, entrar na mesma conta iCloud reativa e ciclo de reinicialização. Ou seja, o dispositivo só irá voltar a funcionar normalmente se o proprietário desligar a opção de sincronizar dispositivos domésticos do iCloud.

Spinolas compartilhou com o site alguns emails que apontam que um representante da Apple reconheceu o problema e solicitou que o pesquisador não publicasse nenhuma informação a respeito do bug até o início deste ano.

"A falta de transparência da Apple não é apenas frustrante para os pesquisadores de segurança que muitas vezes trabalham de graça, mas também representa um risco para milhões de pessoas que usam os produtos da Apple no dia a dia, ao reduzir a responsabilidade da Apple em questões de segurança", afirmou Spiniolas à publicação.

A Apple ainda não se manifestou sobre o assunto.

Como se proteger?

Primeiramente é preciso entender como o bug funciona. Na prática, o provável invasor usa uma rede doméstica falsa para o ataque, levando a vítima a aceitar um convite enviado por email - o famoso phishing.

Ou seja, uma das primeiras coisas a se observar para evitar o problema é não aceitar convites para entrar em uma rede doméstica desconhecida.

Além disso, usuários que utilizam dispositivos domésticos inteligentes devem ir em Ajustes > Central de Controle e desativar a opção "Mostrar Controles Domésticos".

Importante destacar que essa ação não irá impedir que dispositivos domésticos sejam usados, mas vai limitar quais informações podem ser acessadas.