# CVE-2023-41991 > [!medium] Bypass de certificado no Security Framework Apple - componente da cadeia Predator > Vulnerabilidade no Security Framework do iOS/macOS permite que um app malicioso bypasse a válidação de certificado. Componente da tríade de zero-days (**CVE-2023-41991**, **CVE-2023-41992**, **CVE-2023-41993**) explorada pelo spyware **Predator** contra alvos de alto perfil. ## Visão Geral A [[cve-2023-41991|CVE-2023-41991]] é uma vulnerabilidade no Security Framework da Apple que permite que aplicações maliciosas contornem a verificação de certificados digitais. Embora com CVSS relativamente baixo de forma isolada, ela é parte integral da cadeia de exploit utilizada pelo spyware [[predator|Predator]] (Intellexa Consortium) para comprometer dispositivos Apple de jornalistas, políticos e ativistas. A tríade completa - [[cve-2023-41993|CVE-2023-41993]] (entrada via WebKit), [[cve-2023-41992|CVE-2023-41992]] (escalonamento de privilégios no kernel) e CVE-2023-41991 (bypass de certificado) - foi descoberta e documentada pelo Citizen Lab em investigação sobre a vigilância do deputado egípcio Ahmed Eltantawy em setembro de 2023, confirmando uso ativo antes da divulgação pública. Para o contexto latinoamericano, o bypass de certificado é especialmente relevante porque permite que o spyware instale perfis de configuração ou componentes adicionais que seriam normalmente bloqueados por verificação de assinatura - contornando uma das proteções centrais do modelo de segurança Apple. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 5.5 (Medium) | | **Componente** | Security.framework (Apple) | | **Tipo** | Certificate válidation bypass | | **Plataformas** | iOS < 17.0, macOS < Ventura 13.6, watchOS < 10 | | **Patch** | iOS 17 / macOS Sonoma 14 (21 set 2023) | ## Posição na Cadeia Predator ``` CVE-2023-41993 → Entrada (WebKit RCE) CVE-2023-41991 → Bypass de verificação de certificado → Permite instalação de código não-assinado CVE-2023-41992 → Escalação de privilégios no kernel → Instalação do implante Predator com root ``` O bypass de certificado (CVE-2023-41991) é o componente que permite ao Predator instalar seu implante persistente contornando os controles de assinatura de código da Apple - uma peça crítica que torna o ataque funcional. **TTPs relacionados:** [[t1553-002-code-signing|T1553.002]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1437-application-layer-protocol|T1437]] · [[t1512-video-capture|T1512]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar para iOS 17, macOS Sonoma 14 ou watchOS 10 - Habilitar Lockdown Mode em dispositivos de alto risco - Verificar dispositivos com Mobile Verification Toolkit (MVT) do Citizen Lab **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1011-mobile-device-management|M1011]] · [[m1045-code-signing|M1045]] > [!latam] Relevância LATAM > A tríade Apple zero-days do Predator foi utilizada em vigilância política documentada. Na América Latina, com histórico de uso de spyware comercial contra opositores políticos, jornalistas investigativos e defensores de direitos humanos (ex: casos Pegasus no México), dispositivos Apple não atualizados representam risco real de comprometimento. ## Referências - [Apple Security Advisory](https://support.apple.com/en-us/103829) - [Citizen Lab - Predator Zero-Days](https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-using-zero-days/) - [Access Now - Spyware in LATAM](https://www.accessnow.org/spyware-latam/)