iOS

Entenda as acusações e a resposta da Apple sobre Backdoors no iOS

iPhone 5s

Você já parou para considerar quais informações uma pessoa pode acessar tendo o seu iPhone ou iPad em mãos? Sem o uso de uma senha o acesso é naturalmente completo, mas com senha ou Touch ID a nossa ideia inicial é que ninguém poderia obter qualquer informação, mesmo tendo o aparelho fisicamente. A ideia está correta, mas existem alguns detalhes técnicos.

Geralmente quando pensamos no acesso físico ao aparelho, pensamos na digitação de uma senha e acesso aos dados como mensagens, calendário, fotos, agenda e outros. Este é o comportamento padrão de uso do aparelho, parecido com o de um computador tradicional. Já ocorreram alguns casos no iOS de, mesmo com senha, um acesso físico com algum truque extra levar a um uso limitado do aparelho tendo acesso a fotos ou contatos, como neste exemplo. No entanto, um acesso físico implica em outras questões como a conexão do aparelho com cabo (USB) e comunicação.

Podemos pensar no caso de um computador tradicional: tendo uma senha, você tem a ideia que os dados contidos no computador estão seguros de qualquer acesso. Na realidade, em geral por padrão a senha só está protegendo do acesso “fácil” às informações. Se uma pessoa com acesso físico ao computador retirar o HD/SSD e ligar a outro computador, os dados tornam-se facilmente acessíveis. Mesmo não sendo simples este processo em computadores novos com SSD embutido, como por exemplo os MacBook Air, uma pessoa poderia também iniciar um sistema operacional por USB e ter o acesso aos dados sem o uso de qualquer senha.

Para solucionar isto, sistemas oferecem meios de criptografar os dados internos que ficam armazenados no computador. Sempre que a criptografia é ativada, a senha é obrigatória e os dados ficam protegidos com uma codificação baseada nesta senha. Repare que o primeiro sempre depende do segundo. Por exemplo, o Mac OS X oferece há muitos anos (desde o Mac OS X 10.3) um recurso chamado FileVault que se encontra nas Preferências do Sistema > Segurança e Privacidade > FileVault. Ao ativar este recurso, mesmo com acesso completo ao seu computador (por exemplo, um roubo, assistência, etc.) não é possível obter qualquer informação sem a senha. Se a senha for esquecida, todos os dados são completamente perdidos, por isto também é oferecida uma chave de recuperação e um backup, opcional e desligado por padrão, diretamente com a Apple.

Sem a senha utilizada no sistema e sem a chave de recuperação os dados estão totalmente protegidos. Nem mesmo a Apple com qualquer nível de suporte pode recuperar os dados, nem mesmo uma ação legal ou determinação legal poderia forçar alguém a acesar os dados. É um recurso que é recomendado por não implicar em degradação de desempenho e ao mesmo tempo reforçar (viabilizar) a segurança e privacidade completa dos dados.

Mas como funciona no iOS? Exatamente igual. Nos aparelhos iPhone 3GS e posteriores, todos os iPads e iPod touch 3ª geração e posteriores existe um mecanismo de criptografia em hardware que foi introduzido no iOS 4. Este mecanismo, chamado Proteção de Dados, é ativado apenas com o uso de uma senha de bloqueio. Você pode observar nos Ajustes > Código (ou Touch ID e Código no iPhone 5s) que, tendo uma senha de bloqueio, aparece a mensagem “A proteção de dados está ativada“.

Proteção de dados

No iOS há uma pequena diferença do exemplo mencionado com o FileVault do Mac: os aplicativos, inclusive da Apple e de terceiros (App Store) precisam “ligar” o uso de proteção de dados explicitamente em seus conteúdos, e no caso do FileVault todo o conteúdo é automaticamente protegido. A opção do iOS de manter como opcional para os desenvolvedores de aplicativos foi provavelmente para economizar bateria e processamento em aparelhos mais antigos, como o iPhone 3GS e iPad 1. Assim é possível que o aplicativo escolha só conteúdos importantes que devam ser protegido através das “classes de proteções”, outros podem ficar “abertos”, mesmo usando senha e com o aparelho bloqueado.

A “classe de proteção” padrão mudou recentemente, no entanto. No iOS 7 passou a ser padrão a proteção dos arquivos, portanto se não é definido explicitamente pelo desenvolvedor um nível de proteção, por padrão ele é para ser criptografado. Talvez você lembre, pois isto é ainda super recente e foi notícia aqui no blog, mas a própria Apple “esqueceu” algo relacionado a proteção no Mail do iOS e lançou a atualização 7.1.2 corrigindo a criptografia de dados.

Mas algo que pode ficar confuso nessa história toda é estarmos falando de arquivos, se no iOS não existem arquivos e ao conectar via USB em um computador todo o gerenciamento (hoje opcional) é feito pelo iTunes. Na realidade, o iTunes faz uma grande simplificação e abstração de algo que, por baixo, são apenas arquivos. Já foi mencionado algumas vezes no blog sobre o PhoneClean, ele é um exemplo de aplicativo que, ao ter um aparelho iOS plugado via USB, pode “varrer” e remover conteúdos não importantes (como arquivos de cache) para aumentar o espaço disponível no aparelho. Assim como ocorre no PhoneClean, outros aplicativos que “conversam” com aparelhos iOS por USB além do iTunes podem vasculhar arquivos normalmente, sem jailbreak ou qualquer alteração no sistema.

Dentro do sistema

Envolvendo a comunicação USB, o sistema iOS tem uma proteção adicional: ele só “conversa” com computadores conhecidos. No iOS 7 foi adicionado o recurso de segurança para “Confiar” em computadores, portanto ao conectar o USB em um computador ele vai primeiro perguntar ao usuário (com o aparelho desbloqueado) se este é um computador “confiável” para só então permitir a comunicação. Antes do iOS 7 esta autorização era automática ao conectar o aparelho com iOS a qualquer computador estando com o aparelho desbloqueado. Esta autorização explícita permite por exemplo que você carregue o seu aparelho em um computador de um amigo, não “confie” neste computador, e não tenha o menor problema de ter os dados acessados mesmo usando o aparelho normalmente.

Esta recurso de “confiança” envolvendo computadores através do USB é interessante também para os “quiosques de smartphones” que estão surgindo em aeroportos e shoppings: você geralmente pluga o seu aparelho e o usa normalmente. Com um iOS 6 ou anterior, alguém poderia usar maliciosamente um “quiosque” desses para capturar todos os dados do aparelho, sem o menor sinal visível para quem está aguardando aquele vôo chato que já está atrasado. No iOS 7 você iria primeiro precisar “autorizar” a comunicação, ou só ficar carregando (recomendado).

Portanto tudo é realmente bem pensado: um aparelho iOS só conversa com um computador via USB quando autorizado, os dados armazenados pelos aplicativos, seja da Apple ou de terceiros, são protegidos com criptografia quando uma senha de bloqueio é usada, e agora no iOS 7 a proteção de dados (classe de proteção) é criptografada por padrão. Realmente trata-se de um ambiente muito seguro.

Palestra técnica

Nesta semana, no entanto, o especialista em segurança e autor Jonathan Zdziarski divulgou em uma palestra técnica em uma conferência hacker, a HOPE/X, algumas informações que imediatamente chamaram a atenção. A palestra tem o chamativo título Identifying Backdoors, Attack Points, and Surveillance Mechanisms in iOS Devices (em português, “Identificando Backdoors, Pontos de Ataque e Métodos de Espionagem em Aparelhos iOS“). Na avaliação técnica, os recursos de segurança mencionados anteriormente podem ser desligados sem qualquer explicação ou documentação oficial. São estranhamente mecanismos “não documentados”.

Quando o assunto envolve espionagem, especialmente após os episódios recentes envolvendo o Snowden que tomaram todos os noticiários do mundo, o tema logo toma grandes proporções e acaba gerando polêmica e notícias desinformadas. Sempre repetindo o mesmo discurso, a Apple afirma que nunca trabalhou com nenhum governo ou agência de inteligência para qualquer atividade de espionagem. Quando solicitada através de uma ação legal, a empresa pode fornecer dados muito limitados sobre os seus usuários, alegando não ter acesso a arquivos e dados que são sigilosos do próprio usuário. Também foi noticiado recentemente que a Apple resolveu disponibilizar um relatório sobre requisições que recebe de governos e como funciona este processo.

No entanto, quando o tema é backdoor, tudo fica mais complicado. Um backdoor é um mecanismo escondido de todos que proporciona um acesso privilegiado a dados, ignorando restrições existentes. Por exemplo, é como se além da senha do próprio usuário existisse uma senha secreta que funciona em todos os aparelhos, uma chave “padrão”. Essa senha especial seria conhecida apenas pela Apple ou, supostamente, por agências de espionagem e inteligência.

A parte complicada é diferenciar o que é realmente um backdoor (algo intencional) ou o que é realmente só uma falha de segurança por um descuido no desenvolvimento do sistema, ou um mecanismo usado para fins de suporte e manutenção. É tão difícil comprovar isso que até mesmo em projetos de código aberto, onde todo o projeto do sistema está aberto, já foram encontradas falhas que parecem ser backdoors mas podem ter sido falhas de um pobre desenvolvedor. Ficam portanto as teorias que o desenvolvedor “responsável” pela falha pode ter sido pago e contratado por uma agência como a NSA. Um exemplo é o caso recente que ficou famoso e conhecido como Heartbleed.

É justamente neste sentido que a Apple rapidamente lançou um artigo (ainda apenas em inglês) que “explica” que algumas coisas que foram apontadas pelo relatório do Zdziarski são simplesmente mecanismos necessários para softwares como o iTunes, Xcode e outros. Realmente faz sentido, como já foi comentado anteriormente os softwares em um computador precisam de mecanismos de comunicação com os aparelhos. Por exemplo, uma música precisa ser copiada, os contatos sincronizados, um aplicativo instalado, etc. Fora isso, a empresa alega que alguns desses mecanismos são usados exclusivamente por departamentos de TI de empresas que usam iOS em grande escala ou mesmo por seus Apple Genius para suporte ao usuário em Apple Stores.

As respostas fazem sentido, mas infelizmente são incompletas. O próprio Zdziarski avaliou em seu blog que o breve artigo da Apple apenas confirma que esses mecanismos existem no iOS, mas que contribuem muito pouco com respostas. De fato, a apresentação aponta diversos pontos muito mais amplos do que está “explicado” no artigo da Apple. Ao final de sua palestra o autor tem uma seção específica de “teorias” descrevendo já algumas desculpas que poderiam ser usadas para explicar esses mecanismos, e essas teorias são justamente as que estão descritas muito brevemente na rápida explicação da Apple.

Resta agora saber quais serão os próximos capítulos desta história. Adiantando, o autor Zdziarski reforça que nunca quis afirmar que estes mecanismos foram criados pela Apple para ações de espionagem em um possível envolvimento com a NSA. Como sempre acontece, todas as teorias envolvendo governos e agências de espionagem ficaram por conta exclusiva dos jornalistas que reduzem a história a “existem mecanismos de backdoors no iOS“. No entanto, ele reforça que sim, os mecanismos existem e que poderiam ser usados para espionagem e o trabalho dele trata-se apenas de um estudo de segurança. Talvez sejam realmente recursos escondidos usados para suporte e para softwares como o iTunes ou o Xcode para desenvolvimento. O que a Apple costuma fazer nesses casos é responder o que deve ser respondido, e apenas corrigir o que deve ser corrigido sem muitas explicações.

A realidade é que o sistema iOS é realmente muito seguro, e em todas as suas versões, do iPhone OS 1.0 ao ainda não lançado iOS 8.0, sempre existem melhoramentos de segurança. Paradoxalmente, a Apple é conhecida também por seu foco em facilidade e simplicidade, e segurança geralmente conflita diretamente com usabilidade. Ninguém gosta de digitar 4 senhas para acessar suas operações bancárias, mas acaba sendo um trabalho necessário. Focada em usabilidade e simplicidade e sempre comprometida com seguranca e privacidade, a Apple seguirá melhorando o sistema iOS a cada nova versão e talvez até resolverá alguns desses casos na futura grande atualização do iOS 8.0.

Tags
Mostrar mais

Felipe Kellermann

Bacharel em Ciência da Computação por formação, eterno técnico por paixão. Começou no iPhone quando o aparelho foi anunciado e pediu demissão do último emprego quando a App Store foi lançada. Hoje dedicado ao iOS Corporativo.

Artigos Relacionados

  • Daniel

    Quanto mimimi. Enquanto eu for uma pessoa anonima e desconhecida, podem ver meus dados o quanto quiseren, Apple e NSA. Fuck off.

    • Não é neurose imaginar que quando tentares passar pela imigração ao entrar no USA tu possa ser levado para um interrogatório desnecessário ou até barrado por conta desse tipo de vazamento de informação. Experimente escrever bomba no teu Twitter e embarcar em voo para o USA… Se tu não é um militante político, algum ambientalista mais radical ou algo do tipo realmente não tem muito o que se preocupar, mas é revoltante imaginar que qualquer diálogo teu no Gmail, Facebook, arquivos no iCloud ou Dropbox, pesquisas no Google, seja de doenças, condições profissionais, atos duvidosos mas particulares e reservados a tua intimidade, enfim, coisas pessoais, podem ser exploradas e te trazer transtornos numa viagem a passeio ou a negócio, só para exemplificar. Não acho isso mimimi (palavra batida já perdeu o vernis de tanto que usam), pior que é bem real.

      • Daniel

        Nenhum dos exemplos utilizados batem com a idéia do artigo. Twitter é uma publicação publica voluntaria, vc já sabe que todo mundo pode visualizar. Nesse caso se trata de espionagem e não ia ser muito facil admitir tal ato (e expor a apple) para barrar um imigrante. Alias, seria até bom que lessem minhas conversas pois saberiam que nào tenho intenção nenhuma de me tornar imigrante ilegal lá ou de explodir bomba. Posso pensar por esse lado? Vcs neuroticos veem tudo pelo lado negativo, até na hora de ler ficam desgastados (desculpe por ter usado mimimi, prometo nao usar mais. Ou pelo menos iria dar uma mão de vernis antes). Vai ser feliz, rapaz. Seja mais positivo. 😉

        • Mas não foi pessoal, estamos falando do contexto geral, não precisa ficar ofendido. Fora o Twitter que ainda citei que é público o resto pode ser acessado por backdoor no aparelho. Calma rapais, não é pra te convencer ou te ofender, é uma discussão geral sobre o assunto sem neurose. Já entrei e sai dessas imigrações sem stress mas acho razoável desconfiar um pouco.

  • Junior Manoel

    Eu nem esquento, quando se trata em segurança confio cegamente na Apple.

    • Dinnosan

      Fico imaginando o que tem no sistema Android rsrs.

    • Diego Silva

      Eu tbm 😉

    • Felipe Kellermann

      Honestamente eu também não esquento, mas não deixa de ser um tema interessante e ver o tratamento (especial) da Apple sobre segurança.

      • Jean Lavallé

        Eu adoro o tema, mas qual criptografia de sistema de aquivos o iOS usa? É um sistema aberto, auditável, ou é um algoritmo fechado ou um desses homologados nos NSAs da vida?

        • Felipe Kellermann

          Depende Jean. Quando é interno (como o esquema usado pelo Data Protetion) é privado/fechado. Quando são protocolos padrão (como SSL, protocolos VPN IPSec e tantos outros), são abertos e algumas vezes usam até componentes open source.

          @felipek

          • Jean Lavallé

            Interessante. Significa que eu não tenho a menor ideia de como meu sistema de arquivos é criptografado. Pode até ser feita por uma chave fracote de 64 bits, uma algoritmo não com uma porta dos fundos, mas uma rodovia dos fundos, etc. Isso que cansa da Apple (e de outras empresas também), ser tudo fechado e obscuro, “Para a sua proteção” (Proteção – Plebe Rude).

    • Jean Lavallé

      Como já disse no outro post, admiro a fé positiva nas pessoas e nas grandes corporações. Só não sei porque a Apple, uma das maiores corporações do mundo, seria santa, para eu confiar cegamente.

  • Marcus

    Muito bom! Eu ainda acho a plataforma do iOS/Mac OS uma das mais seguras hoje em dia, mesmo com todos os riscos que o mundo oferece hoje. O que mais me irrita são pessoas que as desconhecem, normalmente usuárias do Android, e vem falar que isso não procede porque o sistema “não dá liberdade”. (Essa desculpa eles aplicam a quase tudo)

  • Marcus Mendes

    No Android a falha é de frontdoor mesmo. =P Nem precisa ter o trabalho de dar a volta.

  • Daniel Zibordi

    Matéria mto boa e completa! Bem explicada também! Parabéns Felipe!

    Sobre a segurança, concordo que falhas de sistemas sempre vão existir e poderão ser utilizadas para o mal. Cabe a Apple sempre buscar fechá-las.
    Mas não vou negar que essa resposta da Apple sobre backdoor no IOS me deixou com uma pulga atrás da orelha.

    • Felipe Kellermann

      Obrigado Daniel!

      Concordo, é uma resposta muito simples, há outras coisas que precisariam ficar mais claras. Eu confio muito na Apple e no iOS, não custa estamos um pouco melhor informados apenas…

  • Joaquim Sargaço

    Belo texto!!!

  • Parabéns @felipekellermann:disqus, estava gostando muito da matéria e no final vi que tu assinava e deu mais credibilidade. Valeu.

    • Felipe Kellermann

      Obrigado! Procurarei escrever mais por aqui 🙂

      • William Youssef

        Ótima matéria msm, parabéns

  • Diogo Lana

    Belíssimo texto!

  • Ricardo Barata

    Parabéns Felipe!!

    • Felipe Kellermann

      Obrigado 😉

      @felipek

  • Anderson

    Texto muito, muito bom! Parabéns.

    • Felipe Kellermann

      Obrigado Anderson!

      @felipek

  • Felipe Kellermann

    Obrigado!

    @felipek

  • Cadu Nunes

    Infelizmente isso que você falou é já é realidade há algum tempo. Lembro do caso de um DJ brasileiro (carioca, se não me engano) que postou no seu twitter há uns 2 anos que estava indo pros EUA e que estava super animado porque iria tocar em uma festa de um amigo.

    Na hora em que ele chegou na imigração americana já puxaram ele pra interrogatório pra saber porque ele estava vindo trabalhar nos EUA sem visto de trabalho.Depois de várias horas os agentes federais americanos disseram que ele foi interrogado por causa de um post no twitter.

    • O Twitter apesar de publica as postagens, já impressiona o quanto governos nos investigam. Mas o mais sinistro são com informações privadas, do tipo tu enviar um email privado no GMAIL citando algo sobre bomba, ou um bate papo reservado no Facebook com outra pessoa e a probabilidade grande de vires a sofrer consequências sobre isso. Este meu exemplo de bomba é meio tosco, mas é um termo chave que eles são radicais independente de escreveres algo mesmo na brincadeira. Da mesma forma poderia ser uma mulher citando que esta grávida (dá margem para ter o filho lá no outro pais) e assim vai.

  • Fabio Zedan

    Já havia percebido este esquema do gerenciamento ao conectar meu iphone no Ubuntu. Vc ve as pastas dos aplicativos com fotos q ate imaginaria ter apagado

  • Don Fanucci

    Um dos melhores textos que li no blog. Parabéns!

  • Acho legal matérias que falam de segurança, porém é um assunto muito mais complexo. Excelente matéria Felipe.

    • Felipe Kellermann

      Realmente é um assunto infinitamente complexo…

      @felipek

  • mmcaldeira

    Ou seja, o cara apontou as supostas falhas e a Apple “sabonetou”.

    Não há sistema 100% seguro, isso é fato. Há os mais e os menos seguros, mas nunca os infalíveis. E a Apple não foge a essa regra.

    • Jean Lavallé

      Eu não acho que a questão não ele ser infalível, a questão é ter INTENCIONALMENTE algum mecanismo para, quando for necessário (não para mim), alguém tenha acesso direto aos dados. Qualquer sistema de código fechado, diferente do Linux, vai ter sempre muito mais probabilidade disso acontecer.

      • Felipe Kellermann

        Oi Jean, mas lembre-se que até código aberto pode ter algum detalhe que ficará confuso se foi backdoor ou falha, como é o exemplo do Heartbleed no OpenSSL Mas concordo, pessoalmente sou 100% de sistemas abertos 😉

        @felipek

        • Jean Lavallé

          Sim, amigo Felipe, pra você ver como o negócio é difícil, foram achar o Hearthbleed só agora depois de anos. Bem feito, ficam usando essas licenças abertas capengas como a Apache, no GnuTLS, que é GPL, não tem esse furo de segurança. Não sei porque a Apple no seu CUPS (sistema de impressão) usa o GnuTLS, e no resto usa o OpenSSL.

  • Jean Lavallé

    Espionagens digitais já eram faladas há muito tempo antes do Snowden. Aí, ele se manifesta e um monte de gente, que dizia que isso era coisa de neurótico, se espanta com o que já era mais do que manjado. E aí, mesmo assim, ainda tem gente que continua achando coisa de neurótico. Admiro a fé positiva nas pessoas e nas grandes corporações.

  • Alex iPilot

    Excelente texto. O avançoem segurança do iOS7 ainda nãome convenceu a deixar o 6… Em aeroportos, eu conecto o laptop na tomada e então carrego o iPhone nele… E no windows,eu deixo desligada a memoria dasportas usb, com um atalho para esse “on/off” do Registro na área de trabalho, isso impede qualquer uso não autorizado de hd, pendrive, mesmo reiniciando o micro.

    • Felipe Kellermann

      Boas dicas…

      @felipek

  • Marcelo

    Ótimo artigo, só peca quando diz que o Filevault não trás perda de desempenho, o que não é verdade.

    • Felipe Kellermann

      Obrigado Marcelo. Ele não tem impacto significativo, não. É similar a avaliares que o iPhone (3GS) ou superior fica mais lento por ter senha ativada, que “liga” o Data Protection, e causa impacto de desempenho.

      Uma perda sempre existe, mas nem sempre é mensurável (ou seja, é tão pequena que não se considera como uma “perda” de desempenho).

      Eu mesmo já fiz testes em um MacBook 15″ (2010) com SSD (não original) com FileVault 2 usando o “dd” (shell) para mensurar os diferentes resultados.

      Computacionalmente, isso se deve a termos hoje computadores com sobra de CPU (inclusive múltiplos cores) e o gargalo é I/O (a escrita/leitura). Como podemos delegar a criptografia (é algo CPU-bound) a leitura/escrita acabam não sendo mensuravelmente impactadas pois em geral sobra CPU (e falta I/O) nos computadores atualmente.

      OBS: Existe diferença entre o FileVault e o FileVault 2.

      Veja:
      http://www.anandtech.com/show/4485/back-to-the-mac-os-x-107-lion-review/18
      http://apple.stackexchange.com/questions/105320/does-filevault-encryption-slow-read-write-access-on-an-ssd

      @felipek

  • Felipe Kellermann

    Exatamente, ele aparece praticamente como um “USB”, mesmo.

    @felipek

  • Felipe Kellermann

    Obrigado 🙂