Veja por que seus dispositivos Apple estão prestes a ficar muito mais seguros

Embora os dispositivos Apple sejam famosos por seus recursos de segurança e privacidade, eles não são invulneráveis ​​contra hackers ou outros ataques. Felizmente, os dispositivos da Apple estão prestes a ficar muito mais seguros no futuro.

Relacionado:

• Melhorias de privacidade e segurança do iOS 13 anunciadas na WWDC
• Aqui estão os novos recursos de segurança e privacidade para macOS Mojave e iOS 12
• Dicas para segurança do Mac e como evitar vírus

Isso se deve às recentes mudanças na política da Apple anunciadas nas conferências de segurança Black Hat em Las Vegas neste mês. Além disso, também existem alguns exploits notáveis ​​revelados na Black Hat e Def Con 2019.

Aqui está o que você deve saber sobre as notícias de segurança recentes da Apple.

Mudanças na política de segurança da Apple

Ivan Krstić, chefe de engenharia de segurança da Apple, fez alguns anúncios importantes na conferência Black Hat deste ano.

Embora os anúncios tenham sido direcionados a hackers éticos e pesquisadores de segurança, eles representam mudanças importantes nas políticas de segurança da Apple. Isso pode muito bem resultar em dispositivos muito mais seguros no futuro.

Programa Bug Bounty

A maior notícia relacionada à Apple da conferência de segurança Black Hat em agosto foi uma expansão significativa do programa de recompensa de bugs da Apple.

Essencialmente, um programa de recompensa por bug é uma forma de hackers éticos e pesquisadores de segurança ajudarem a fortalecer as plataformas existentes. Assim que encontram um bug ou vulnerabilidade no iOS, por exemplo, eles relatam essa falha à Apple - e são pagos por isso.

No que diz respeito às mudanças, a Apple está expandindo o programa de recompensa de bug para dispositivos macOS daqui para frente. Também está aumentando o tamanho máximo de uma recompensa de $ 200.000 por exploit para $ 1 milhão por exploit. Isso, é claro, dependendo de quão grave é.

A Apple introduziu pela primeira vez um programa de recompensa de bug do iOS em 2016. Mas, até agosto deste ano, não havia tal programa para macOS (que é, inerentemente, mais vulnerável a ataques do que o sistema operacional móvel da Apple).

Isso causou problemas quando um hacker alemão inicialmente se recusou a relatar os detalhes de uma falha específica à Apple. O hacker citou a falta de pagamento como o motivo, embora eventualmente tenha fornecido os detalhes à Apple.

IPhones pré-desbloqueados

A Apple também fornecerá iPhones especializados para hackers examinados e pesquisadores de segurança para que eles possam tentar quebrar o iOS.

Os iPhones são descritos como dispositivos “dev” pré-desbloqueados, que carecem de muitas das medidas de segurança incorporadas à versão de consumidor do iOS.

Esses especializados devem permitir que os testadores de penetração tenham muito mais acesso aos sistemas de software subjacentes. Dessa forma, eles podem encontrar vulnerabilidades no software com muito mais facilidade.

Os iPhones serão fornecidos como parte do Programa de Dispositivos de Pesquisa de Segurança iOS da Apple, que planeja lançar no próximo ano.

É importante notar que existe um mercado negro para os iPhones "dev" mencionados acima.

De acordo com um relatório do Motherboard do início deste ano, esses iPhones de pré-lançamento às vezes são contrabandeados para fora da linha de produção da Apple. A partir daí, eles geralmente cobram um preço alto antes de chegarem a ladrões, hackers e pesquisadores de segurança.

Vulnerabilidades notáveis

Embora a política de segurança mude e os iPhones de hackers sejam as maiores novidades da Black Hat e Def Con, pesquisadores de segurança e hackers de chapéu branco também revelaram uma série de notáveis ​​relacionados à Apple vulnerabilidades.

É importante observar isso se você usa um dispositivo Apple e deseja manter a privacidade e a segurança de seus dados.

Bypass de identificação facial

A Apple afirma que o Face ID é significativamente mais seguro do que o Touch ID. E, na prática, é muito mais difícil de contornar. Mas isso não significa que não existam exploits.

Pesquisadores da Tencent descobriram que foram capazes de enganar o sistema de detecção de "vivacidade" do Face ID. Essencialmente, é uma medida destinada a distinguir características reais ou falsas em seres humanos - e impede que as pessoas desbloqueiem seu dispositivo com seu rosto quando você está dormindo.

Os pesquisadores desenvolveram um método proprietário que pode enganar o sistema usando apenas óculos e fita adesiva. Essencialmente, esses óculos "falsos" podem emular a aparência de um olho no rosto de uma pessoa inconsciente.

A façanha só funciona em pessoas inconscientes, no entanto. Mas é preocupante. Os pesquisadores conseguiram colocar os óculos falsos em uma pessoa adormecida.

A partir daí, eles podem desbloquear o dispositivo da pessoa e enviar dinheiro para si mesmos por meio de uma plataforma de pagamento móvel.

App de contatos

O sistema operacional iOS da Apple, como uma plataforma de jardim murado, é bastante resistente a ataques. Em parte, isso ocorre porque não há uma maneira fácil de executar aplicativos não assinados na plataforma.

Mas os pesquisadores de segurança da Check Point at Def Con 2019 encontraram uma maneira de tirar proveito de um bug no aplicativo de contatos que pode permitir que hackers executem códigos não assinados em seu iPhone.

A vulnerabilidade é, na verdade, um bug no formato de banco de dados SQLite, que o aplicativo Contatos usa. (A maioria das plataformas, de iOS e macOS a Windows 10 e Google Chrome, realmente usa o formato.)

Os pesquisadores descobriram que eram capazes de executar códigos maliciosos em um iPhone afetado, incluindo um script que roubava as senhas de um usuário. Eles também foram capazes de ganhar persistência, o que significa que podiam continuar a executar o código após uma reinicialização.

Felizmente, a vulnerabilidade depende da instalação de um banco de dados malicioso em um dispositivo desbloqueado. Portanto, contanto que você não deixe um hacker ter acesso físico ao seu iPhone desbloqueado, você deve ficar bem.

Cabos maliciosos

Há muito tempo é recomendado que você não conecte unidades USB aleatórias em seu computador. Graças a um desenvolvimento recente, você provavelmente não deve conectar cabos Lightning aleatórios em seu computador.

Isso se deve ao cabo O.MG, uma ferramenta especializada de hacking desenvolvida pelo pesquisador de segurança MG e exibida na Def Con este ano.

O cabo O.MG se parece e funciona exatamente como um cabo Apple Lightning típico. Ele pode carregar seu iPhone e conectar seu dispositivo ao Mac ou PC.

Mas dentro do invólucro do cabo está, na verdade, um implante proprietário que pode permitir a um invasor acesso remoto ao seu computador. Quando está conectado, um hacker pode abrir o Terminal e executar comandos maliciosos, entre outras tarefas.

Felizmente, os cabos atualmente são feitos à mão e custam US $ 200 cada. Isso deve reduzir o risco. Mas daqui para frente, você provavelmente vai querer evitar conectar cabos Lightning aleatórios em seu Mac.