# CVE-2016-4657 > [!critical] Trident/Pegasus - Zero-Day no WebKit do iOS (NSO Group) > CVE-2016-4657 é um dos três zero-days que compõem a cadeia **Trident**, utilizada pelo spyware **Pegasus** do NSO Group para comprometer iPhones sem interação do usuário. A vulnerabilidade WebKit permite RCE ao visitar uma URL maliciosa, disparando a cadeia de jailbreak remoto completo do dispositivo. ## Visão Geral CVE-2016-4657 é o primeiro componente da cadeia de exploit **Trident**, descoberta pelo Citizen Lab e pela Lookout Security em agosto de 2016 após análise do spyware **Pegasus** do NSO Group. A falha no mecanismo WebKit do iOS permite execução remota de código ao processar conteúdo web malicioso - basta clicar em um link enviado via SMS, iMessage ou e-mail. A cadeia Trident completa inclui três zero-days encadeados: CVE-2016-4657 (WebKit RCE), CVE-2016-4655 (information leak do kernel) e CVE-2016-4656 (kernel UAF para jailbreak). O resultado é comprometimento silencioso e total do iPhone, com acesso a mensagens, câmera, microfone, localização e aplicativos de comunicação cifrada. O **Stealth Falcon** (APT, UAE/Emirados Árabes), grupo associado ao uso do Pegasus, utilizou esta cadeia para vigilância de jornalistas, ativistas e dissidentes em todo o mundo. O caso Trident é considerado marco na história da segurança mobile, revelando a sofisticação e o custo operacional do mercado de spyware estatal. > [!latam] Relevância para Brasil e LATAM > O Pegasus e suas variantes foram utilizados em operações de vigilância contra jornalistas, ativistas e políticos em países latinoamericanos, incluindo México e países da América Central. Defensores de direitos humanos, advogados e jornalistas investigativos brasileiros representam perfis potencialmente alvo deste tipo de spyware estatal sofisticado. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | WebKit Memory Corruption / Remote Code Execution | | Produto | iOS WebKit (Safari e WebViews) | | Cadeia | CVE-2016-4657 + CVE-2016-4655 + CVE-2016-4656 = Trident RCE+jailbreak | | Zero-click | Não (requer click em link), mas difícil de detectar | | Spyware | Pegasus (NSO Group) | | CVSS | 8.8 (High) | | CISA KEV | Sim | ## TTPs Relacionadas - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1430-location-tracking|T1430 - Location Tracking]] - [[t1429-capture-audio|T1429 - Capture Audio]] ## Mitigação - Atualizar iOS para 9.3.5 ou superior imediatamente - Não clicar em links de fontes desconhecidas (especialmente SMS/iMessage) - Habilitar Modo de Isolamento (Lockdown Mode) no iOS 16+ para usuários de alto risco - Usar aplicativos de detecção de spyware (iVerify, Amnesty MVT) para dispositivos suspeitos - Implementar [[m1001-remove-or-update-app-lifecycle|M1001 - Remove or Update App Lifecycle]] e políticas de atualização móvel obrigatória ## Referências - [Citizen Lab - Trident Discovery](https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/) - [Lookout Security - Trident Analysis](https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf) - [CISA KEV - CVE-2016-4657](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2016-4657](https://nvd.nist.gov/vuln/detail/CVE-2016-4657)