O que vamos falar agora é bem sério. Começa a vir à tona toda a história por trás do polêmico vazamento de fotos de celebridades, que ocorreu no último final de semana. As investigações ainda estão sendo feitas pela Apple e pelo FBI e, portanto, as histórias ainda não são conclusivas, pois são vindas de depoimentos e comentários de pessoas anônimas. Mas o que podemos tirar disso tudo são fatos reais: a verificação por dois passos da Apple [mark]não protege completamente[/mark] seus usuários.
Independentemente de como se conseguiu as fotos das celebridades (trabalho que precisou de meses para ser efetuado), toda essa confusão acabou expondo mais uma falha no sistema da Apple. A Verificação por Dois Passos só funciona ao se tentar entrar na conta para realizar alguma alteração; porém, é ainda possível recuperar todo o backup de um iPhone ou iPad e até mesmo as fotos na nuvem apenas com o usuário e a senha.
Isto é realmente grave. Significa que bastou que se conseguisse o usuário e a senha das celebridades (seja por phishing ou por ataque de força bruta) para ser possível instalar em qualquer aparelho restaurado o backup (com contatos, fotos, mensagens) e as fotos compartilhadas na nuvem. Ao fazer isso, a Apple não exige a verificação de segurança.
Se o backup for de um aparelho com uma senha ativa, aí os hackers (ou crackers, em uma definição mais correta) usavam um programa destinado à polícia e à justiça americana que permite acessar os dados de qualquer aparelho sem precisar de senha. Segundo o site Wired, este programa na teoria não deveria ser usado por quem não é “da lei”, mas a empresa que o vende não exige nenhuma documentação no momento da compra (por preços a partir de US$79). A mesma ferramenta também recupera dados de aparelhos BlackBerry.
Repare que nem é necessário frequentar fóruns obscuros, exclusivos para crackers e ladrões de celulares; a ferramenta está disponível para todos, no site oficial de uma empresa que trabalha em diversos países.
Normalmente não divulgamos este tipo de informação aqui, para não facilitar a vida de pessoas mal-intencionadas. Porém, a repercussão está sendo tão grande que os ladrões já estão sabendo como fazer. Por isso, achamos que o importante agora é informar os usuários comuns, para que saibam dos riscos que estão correndo.
Infelizmente, ao contrário do que a Apple nos fez acreditar, a verificação por dois passos ainda não nos protege completamente de roubos de dados. Mesmo com a função ativa, é possível conseguir acesso à contatos, mensagens, fotos e até mesmo a possibilidade de apagar remotamente todos os aparelhos cadastrados na mesma conta.
Como realmente se proteger?
Esta brecha de segurança é muito grave, mas não significa que todos os dados foram vazados, pois os ataques são individuais (ou seja, a invasão de contas de celebridades não significa que a sua conta foi automaticamente invadida). Se você não é famoso, rico ou não tem inimigos, é muito provável que ninguém ainda tenha tentado invadir sua conta, o que não significa que você não deva tomar cuidados para se proteger.
A dica de ouro é sempre a mesma: use somente senhas fortes para as suas contas. Isto significa que elas precisam ter mais de 10 caracteres e possuir também letras maiúsculas e números no meio. Ela não precisa ser algo impossível de se decorar, mas procure evitar frases padrões ou letras de músicas famosas. Tente algo do tipo “bailarinoazulNaocheira4cebolas”; ela é comprida, foge de todos os padrões e não é impossível de decorar.
Uma leitora nos sugeriu um site ótimo para verificar quanto tempo uma senha pode ser decifrada em casos de ataques de força bruta: howsecureismypassword.net. Você pode se surpreender ao concluir que a senha que você considerava forte pode ser descoberta em poucas horas e, em grande parte dos casos, eu pouquíssimos minutos.
Crie uma senha forte e segura para as suas contas. Com isso, as atuais brechas de segurança dificilmente lhe atingirão.
O que se espera da Apple?
Espera-se que ela tape este buraco de segurança o mais rápido possível. A lógica é que ela amplie o campo de ação da Verificação em Dois Passos para toda e qualquer manipulação do iCloud. Será bem incômodo do ponto de vista do usuário, que terá que digitar o código de segurança toda vez que reinstalar o backup. Certamente, depois disso, muitos reclamarão que a Apple “só complica as coisas”, além daqueles que não cadastrarão o dispositivo de segurança e ficarão sem poder ativar o aparelho. Mesmo assim, isto será necessário para a segurança de todos, em um mundo cada vez mais chato e cheio de burocracias para tentar impedir invasões de privacidade.
Fonte: Wired
