O MacOS é geralmente, e não surpreendentemente, considerado um dos sistemas operacionais mais seguros do mercado. No entanto, isso não significa que seja 100% à prova de crimes cibernéticos, e o pesquisador Patrick Wardle (que trabalha há muito tempo NSA, uma agência dos Estados Unidos famosa por empregar técnicas de espionagem digital) acabou de demonstrar isso da maneira mais chocante possível.
Em sua apresentação durante a respeitosa conferência Black Hat (que, nesta edição de 2020, está sendo organizada on-line devido à pandemia de COVID-19), realizada nesta quarta-feira (5), o especialista explicou como é possível usar arquivos de um Extensão Jurassic – o SLK, abreviação de Symbolic Link – para hackear um computador maçã sem exigir muita interação com o usuário.
A extensão SLK, vale mencionar, foi criada por Microsoft em 1980, para facilitar o intercâmbio de dados entre vários aplicativos, usados principalmente nos “antecessores” do pacote Office (como o programa de planilhas da Multiplan, considerado o pai de Destacando-se) O problema é que, assim como esse formato foi adotado nos anos seguintes, ele não recebe nenhuma revisão de segurança de seus padrões desde 1986.
O que Wardle descobriu foi que basicamente as versões mais recentes do Office executam macros (scripts incorporados em documentos) a partir de arquivos SLK sem nenhuma verificação de segurança. Isso, junto com outras fraquezas estruturais no macOS Catalina 10.15.3. As lacunas já foram corrigidas na versão mais recente do pacote Microsoft e também nas versões posteriores do sistema operacional, mas o pesquisador observa que a Apple “não foi muito receptiva” às suas queixas.
“É meio frustrante quando, como pesquisadores de segurança, fazemos basicamente essa investigação gratuita. E fazemos isso porque queremos ajudar a aumentar a segurança do ecossistema na plataforma para nós mesmos, como usuários de Mac, mas também para outros usuários “, diz Wardle em uma entrevista à VICE. O especialista também observa que ele nunca recebeu um único centavo de Apple pelos erros encontrados.
Gostou deste artigo?
Assine o seu e-mail para Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.
