Logo do escândalo gerado pelo roubo de fotos íntimas de famosos como Jennifer Lawrence, a Apple procura melhorar a segurança e a privacidade de seus usuários apresentando novidades importantes: o Sistema Operativo iOS 8 com políticas de privacidade mais fortes e com a implementação do duplo fator de autenticação para o iCloud, o serviço de armazenamento de backups na nuvem.
Nova Política de Privacidade
A política de privacidade da Apple, atualizada no dia 17/09/2014, visa estabelecer o alcance do uso da informação pessoal de seus usuários. A política completa pode ser visualizada aqui. Um dos seus pontos mais importantes explica a divulgação de informação pessoal a terceiros: “As informações pessoais serão somente compartilhadas pela Apple para fornecer ou melhorar nossos produtos, serviços e propaganda; elas não serão compartilhadas com terceiros para seus propósitos de marketing.”.
Duplo Fator de Autenticação para iCloud
Vejamos quais são os fatores de autenticação atualmente:
- Algo que o usuário sabe: usuario, senha, resposta da pergunta de segurança
- Algo que o usuário tem: dispositivo móvel, hard token, cartão inteligente (Smart card)
- Algo que o usuário é: impressão digital, padrão de veias, íris dos olhos
Quando escolhemos dois dos fatores mencionados para permitir o ingresso de um usuário a um serviço, temos o duplo fator de autenticação estabelecido. Empresas como o Twitter, Facebook, Linkedin e Dropbox já oferecem essa funcionalidade há meses.
Essa camada extra é muito mais do que algo importante hoje em dia; não tê-lo pode ser considerado uma vulnerabilidade grave, já que simplesmente tentando adivinhar nomes de usuário e senhas, ou utilizando um programa que o faz de forma automática, muitos casos de roubos de dados pessoais já foram documentados.
Assim que essas novidades da Apple são passos na direção correta, porém a segurança de seus usuários ainda não se encontra em um nível ideal. Vejamos por que:
- A OTP (senha de uso único) é enviada diretamente à tela do iPhone, e se ele estiver bloqueado, ainda assim é possível vê-la sem desbloquear o dispositivo. Embora seja verdade que um eventual atacante teria que ter o aparelho propriamente dito para poder ver a senha, o ideal seria poder somente ver a senha depois de desbloquear o iPhone.
- Se o atacante tem – ou adivinha - o usuário e a senha do iCloud da vítima, é possível acessar esse serviço, fazer o download do backup do telefone e restaurá-lo em outro dispositivo vazio sem precisar da OTP. O motivo para essa inconsistência é que, na lógica, se um usuário tenta fazer o download do backup de seu iPhone, é porque o mesmo foi roubado ou perdido, e portanto não teria como receber a OTP.
Algumas formas de corrigir esses detalhes seriam, por exemplo, sempre exigir uma OTP para todos os serviços, não permitir a visualização da OTP com o telefone bloqueado e implementar o envio da OTP a outro dispositivo ou serviço (previamente cadastrados), no caso de não contar com o aparelho que normalmente receberia esse código.
Ter uma política de privacidade atualizada e um serviço de duplo fator de autenticação são vitais no mundo digital atual, e a Apple certamente está no caminho certo. Agora é a hora de ajustar o funcionamento da dupla verificação e garantir que a política de privacidade seja respeitada, para que seus usuários possam contar com níveis de segurança e privacidade otimizados.
Autor: Ilya Lopes, ESET
