Em outubro de 2016, as centrais de emergência dos Estados Unidos enlouqueceram com várias chamadas simultâneas para o 911, que conseguiram colocar em colapso um serviço que oferece suporte para toda a nação.

Como isso aconteceu?

Simples: um jovem de 18 anos que investigava a segurança do iOS detectou um método onde os usuários do iPhone que clicavam em um link do Twitter automaticamente transformavam seus smartphones em zumbis de um botnet que chamava ao 911 sem controle algum.

Mas espere. Piora.

 

 

Como colocar um serviço de emergência em colapso?

 

 

O sistema de emergência dos EUA responde em média 240 milhões de chamadas por ano, que são divididas em 6.500 centros gerenciados pelas autoridades locais, que contam com tecnologias diversas, como receber mensagens de texto e localizações das chamadas.

O perigo desse botnet foi informado por pesquisadores de cibersegurança da Universidade Ben-Gurion de Israel, onde 6 mil smartphones zumbis conseguiram derrubar o serviço com um ataque de degradação em formato telefônico.

No ataque, uma das operadoras encontrou um indício disso, quando um dos usuários informou que o seu iPhone estava discando para o 911 por diversas vezes depois que ele clicou em um link no Twitter disfarçado em um link encurtado pela Google.

Com essa pista, as autoridades prenderam o usuário do Twitter @SundayGavin (ou Gavin Hasler, de 18 anos). O jovem explicou que só compartilhou o link para os seus 1.200 seguidores na rede social, e que ele também foi vítima de um engano que se tornou viral (o link prometia levar para uma lista de novas músicas do cantor Drake), e milhares de iPhones foram infectados com isso.

 

 

Buscar falhas no iOS pode sair muito caro

 

 

Foram feitos 117.502 cliques nesse link, e a cada vez que um usuário do iPhone clicava nele, seu smartphone se transformava em um zumbi, realizando chamadas ao 911.

Quando o tweet original foi encontrado, ele dava acesso para uma página com a mensagem “LOLOLOLOLOOL”. Quando consultado quem era o dono do domínio, o criador do botnet foi localizado.

O autor era Meetkumar Desai, um jovem estudante de informática de 18 anos, que depois de ser preso se defendeu que estava em um programa de buscas de falhas de software da Apple.

A Apple negou, mas é fato que o jovem encontrou uma falha no iOS que resultou nesse grande problema, já que o botnet não era reproduzido quando o link era acessado de um dispositivo Android ou a partir de um PC com Windows.

A Apple prepara uma correção para o problema, e não vai pagar nenhuma recompensa para o Sr. Desai, que ainda enfrenta um processo que pode resultar em uma pena de até 12 anos e meio de prisão.

O experimento pode ter saído muito caro, e o problema poderia ter sido muito mais grave se a falha de segurança tivesse sido aproveitada para fins realmente maléficos.

 

Via WSJ