A Apple apresentou a nova versão de seu sistema operacional móvel, o iOS 8, em sua Conferência Mundial para Desenvolvedores. A Apple revelou muitos recursos do sistema operacional em diferentes categorias e alguns estão relacionados à segurança. Agora que os novos recursos do iOS 8 foram apresentados, é hora de analisar as possíveis implicações de segurança relativas a essas melhorias.
Como o iOS 8 ainda não foi lançado, não está claro como exatamente estes recursos serão implementados. Com base nas informações atualmente disponíveis, há algumas características de segurança que devem aumentar os níveis de proteção dos aparelhos com o sistema operacional.
Extensões de app iOS – Mais do que apenas teclados de terceiros
Uma das melhorias mais discutidas do iOS 8 é a de extensões de app, que permitirão que os aplicativos de terceiros enviem e recebam dados de um app ao outro através de um iOS broker. Isso afrouxa o conceito de caixas de areia de apps, que limitam os recursos que podem ser acessados por um aplicativo e permite que uma ampla gama de novas interações seja criada. Ainda que muitas pessoas esperem a chegada de teclados de terceiros aos aparelhos com iOS, uma integração mais profunda de aplicativos de redes sociais ou gerenciadores integrados de senhas também são uma possibilidade. Devido às limitações de memória, as extensões deverão rodar apenas por um período curto e podem ser apagadas depois. Elas provavelmente serão executadas pela estrutura do sistema em seu próprio contexto, o que significa que não rodarão dentro do espaço do aplicativo de terceiros.
Os desenvolvedores de iOS que quiserem usar este recurso deverão abrir seu aplicativo e prepara-lo para receber comunicações de extensões de app. O processo do iOS broker provavelmente verificará as comunicações entre extensões para garantir que não sejam maliciosos. Ainda que elas possam ser tecnicamente capazes de ler dados de outros aplicativos utilizando o mesmo armazenamento padrão, interceptar parte do tráfego entre apps ou gerar um keylogger, a possibilidade de uma extensão maliciosa entrar na Apple App Store é baixa. As extensões serão pré-avaliadas pela Apple, como ocorre com todos os outros apps para iOS, de forma que extensões maliciosas provavelmente serão detidas antes que sejam distribuídas aos proprietários de aparelhos iOS.
Touch ID vai além do desbloqueio de tela
Desde seu lançamento no final do ano passado, o serviço de autenticação de impressão digital Touch ID parece ter ajudado a aumentar a segurança dos aparelhos iOS. De acordo com a Apple, antes da tecnologia Touch ID, menos da metade dos usuários de iPhone implementavam uma senha para desbloquear seus aparelhos. Agora, graças à identificação de digital, 83% dos usuários têm uma senha em seus aparelhos iOS.
Em vista disso, o iOS 8 aumentará as capacidades do Touch ID, o que pode ajudar os usuários a proteger melhor a maneira como acessam aplicativos de terceiros. O Touch ID em breve permitirá que as pessoas utilizem suas impressões digitais para acessar senhas de apps de terceiros que estejam armazenadas em segurança no chaveiro do iOS (keychain). Isso significa que os usuários não precisarão inserir suas senhas toda vez que acessarem um aplicativo. Além de oferecer maior proteção, o recurso pode encorajar os usuários a criar senhas mais fortes e complexas, já que sabem que não precisarão inserir a senha todas as vezes que acessarem o aplicativo. Por outro lado, os usuários provavelmente terão que repensar as digitais de quais amigos ou parentes devem ser registradas em seus aparelhos, já que qualquer usuário registrado terá um maior acesso aos aplicativos.
Gerenciando a casa e saúde através de um aparelho móvel
Dois interessantes novos recursos do iOS 8 são o HealthKit e o HomeKit. O HealthKit permitirá que apps de saúde compartilhem dados entre si e o HomeKit que os usuários controlem eletrodomésticos e sistemas de segurança residencial através de seus aparelhos iOS.
A integração entre as plataformas HealthKit e HomeKit e o iOS 8 é um sonho para desenvolvedores de serviços de Quantified Self (Eu Quantificado, em tradução livre) e de aparelhos da Internet das Coisas. Uma integração direta de seus serviços em smartphones ou tablets pode dar aos usuários um nível maior de controle sobre suas casas e sua saúde.
Entretanto, devido às políticas de trazer seu próprio aparelho (BYOD) ao local de trabalho, os usuários devem se assegurar de que seus empregadores não possam acessar seus dados privados de saúde ou obter controle a seus sistemas de automação residencial, especialmente quando estes dados possam abrir a porta das casas. Outra preocupação é com o caso de o usuário apagar remotamente seu aparelho iOS em caso de perda ou roubo. Os usuários devem assegurar um backup, caso acabem se trancando para fora de casa.
Por isso, os aparelhos móveis se tornarão um alvo ainda mais atraente para ataques, considerando que mais informações sensíveis estarão armazenadas ou serão controladas por eles. Além disso, há questões de privacidade que precisam ser respondidas. Dispor de uma guia de emergência com o histórico médico acessível na tela bloqueada pode salvar sua vida, já que os socorristas podem verificar que medicamentos você toma. Mas a mesma guia poderia ser vista por um colega de trabalho curioso se você deixar seu telefone à vista.
Outros recursos do iOS 8 que podem afetar a segurança
O iOS 8 abrirá sua central de notificações para widgets e apresentará acesso de voz, sem toque, para Siri. Estes recursos são mudanças há muito aguardadas, mas podem abrir mais possibilidades para ataques. Há o perigo de partes maliciosas aproveitarem estes recursos em um aparelho bloqueado para ganhar acesso a alguns dos dados internos do aparelho. Por exemplo, se um usuário de iPhone deixa seu telefone sem supervisão, alguém poderia controlar as notificações que aparecem no aparelho, como reuniões marcadas. Os engraçadinhos também poderiam deixar mensagens de áudio ofensivas nestes aparelhos.
Além dos recursos já mencionados, há mais algumas melhorias do iOS 8 que podem ter implicações de segurança.
VPNs sempre ativados: Este recurso pode aumentar muito a segurança quando um aparelho com iOS estiver conectado a um hotspot de Wi-Fi, já que os usuários não precisam se conectar explicitamente ao VPN para se beneficiar disso.
Recurso anti-rastreamento: A introdução de endereços de controle de acesso de mídia (MAC) aleatórios ao buscar por redes Wi-Fi tornará mais difícil para os atacantes rastrearem usuários. Infelizmente, ainda será possível rastrear estes aparelhos uma vez que estiverem conectados à mesma rede Wi-Fi que um atacante ou através de outros identificadores.
Serviço AirDrop para compartilhamento espontâneo de arquivos: A principal preocupação com este recurso é que um usuário pode ser enganado para aceitar arquivos maliciosos ou pode compartilhar, sem intenção, documentos sensíveis com a pessoa errada.
Hotspot instantâneo simples: O iOS 8 permitirá que usuários transformem seus aparelhos móveis em um hotspot com um único clique. No entanto, isso potencialmente pode permitir que outras pessoas falsifiquem um pareamento com este aparelho e peguem carona no hotspot.
Handoff: Este recurso permitirá que os usuários comecem a trabalhar em um aparelho iOS e continuem seu trabalho em outro aparelho. Não está claro se os dados serão encaminhados pela nuvem ou se serão enviados diretamente ao aparelho. A Apple também não detalhou como os dados serão protegidos contra terceiros que tentem interceptá-los.
Swift: A linguagem de programação Swift terá influência sobre a qualidade de código que os desenvolvedores produzem, mas vai demorar até que todos os desenvolvedores mudem as linguagens.
É encorajador ver a Apple falando sobre segurança e oferecendo recursos para melhorar mais as defesas de aparelhos iOS e seus dados. Não saberemos o quanto esses recursos serão eficazes até vermos se os ataques aumentam ou diminuem depois do lançamento do iOS 8. Até que estes recursos estejam disponíveis, nós recomendamos, como sempre, que usuários de aparelhos móveis estejam atentos ao instalar aplicativos ou ativar novos recursos.