Categories
A Apple lançou na segunda-feira uma atualização de segurança fora do cronograma para corrigir uma falha no iOS e no iPadOS que, segundo a empresa, tem sido explorada ativamente.
Identificada como CVE-2025-24200, a vulnerabilidade foi descrita como um problema de autorização que permite a um invasor desativar o Modo Restrito de USB em um dispositivo bloqueado, facilitando ataques cibernéticos de natureza física.
Isso indica que os invasores precisam ter acesso físico ao dispositivo para explorar a falha. O Modo Restrito de USB foi introduzido no iOS 11.4.1 para impedir que dispositivos iOS e iPadOS se comuniquem com acessórios conectados se não forem desbloqueados e conectados a um acessório dentro de uma hora.
Esse recurso foi projetado para dificultar a ação de ferramentas forenses digitais, como Cellebrite e GrayKey, amplamente utilizadas por autoridades policiais para acessar dispositivos apreendidos e extrair dados sensíveis.
Conforme o padrão em casos desse tipo, a Apple não divulgou detalhes adicionais sobre a vulnerabilidade, mas afirmou que a falha foi corrigida com melhorias na gestão de estado do sistema.
A empresa também reconheceu que “tem conhecimento de um relatório indicando que essa falha pode ter sido explorada em um ataque altamente sofisticado contra indivíduos específicos”.
O pesquisador de segurança Bill Marczak, do The Citizen Lab, ligado à Munk School da Universidade de Toronto, foi creditado pela descoberta e relatório sobre a vulnerabilidade.
Dispositivos e sistemas afetados
A atualização foi disponibilizada para os seguintes dispositivos e versões do sistema operacional:
-
iOS 18.3.1 e iPadOS 18.3.1: iPhone XS e modelos posteriores, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3ª geração e posterior), iPad Pro de 11 polegadas (1ª geração e posterior), iPad Air (3ª geração e posterior), iPad (7ª geração e posterior) e iPad mini (5ª geração e posterior).
-
iPadOS 17.7.5: iPad Pro de 12,9 polegadas (2ª geração), iPad Pro de 10,5 polegadas e iPad (6ª geração).
O lançamento da atualização ocorre poucas semanas depois que a Apple corrigiu outra falha de segurança, um bug de “uso-após-liberação” no componente Core Media (CVE-2025-24085), que já havia sido explorado em versões anteriores do iOS, antes do iOS 17.2.
Exploração de zero-days e espionagem digital
Falhas zero-day no software da Apple são frequentemente exploradas por empresas de vigilância comercial para implantar ferramentas sofisticadas capazes de extrair dados de dispositivos das vítimas.
Softwares como o Pegasus, desenvolvido pelo NSO Group, são promovidos como soluções “para salvar vidas” e combater crimes graves, driblando o problema do “apagão digital”. No entanto, essas ferramentas também têm sido usadas para espionar jornalistas, ativistas e membros da sociedade civil.
O NSO Group alega que o Pegasus não é uma ferramenta de vigilância em massa e que é licenciado apenas para “agências de inteligência e autoridades de segurança devidamente verificadas”.
Em seu relatório de transparência de 2024, a empresa israelense afirmou ter 54 clientes em 31 países, incluindo 23 agências de inteligência e outras 23 forças de segurança pública.
