Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

A decisão tomada pela Justiça de São Paulo, que obriga a Apple a informar a "memória utilizável" de aparelhos como iPhones e iPads pode parecer extremamente positiva, mas as consequências dessa decisão podem trazer ao mercado práticas ainda mais enganosas ou prejudiciais ao consumidor, e a complexidade dessas práticas pode criar um ambiente ainda mais difícil de ser regulamentado.

A Justiça desconsiderou o argumento de que a Apple não é capaz de estimar com precisão a quantidade de memória que será ocupada pelo sistema. Afinal, o aparelho recebe atualizações ao longo de sua vida, o que reduz a quantidade de memória disponível. Esse argumento é correto: as atualizações de fato mudam a quantidade de espaço que é necessária para o sistema, o que significa que uma estimativa de "memória utilizável" no momento da venda não informaria o consumidor de forma adequada. A Justiça discordou.

Nas palavras do juiz Felipe Poyares Miranda: "a necessidade de atualização periódica do sistema operacional para melhoria dos serviços não impede a requerida [Apple] de aferir antecipadamente qual a memória livre do aparelho, porque referidas atualizações são feitas quando o produto já está em posse do consumidor, após a retirada do estabelecimento comercial em que adquirido referido".

Em outras palavras, tanto faz qual é a utilização da memória depois que o aparelho já está nas mãos do consumidor. O que importa é o momento da venda.

Essa intepretação torna a decisão totalmente inócua e abre brecha para práticas que, no fim, não vão atender aos interesses dos consumidores. Por exemplo, um fabricante de um celular pode optar por não atualizar o sistema embutido de fábrica - mesmo quando há uma atualização - se isso significa que o aparelho terá que ser vendido com uma quantidade menor de "memória utilizável". O consumidor sai perdendo, pois terá que passar por um longo processo de configuração assim que ligar o celular.

De modo geral, haverá um incentivo claro em retardar a atualização ou a instalação de aplicativos para depois que o celular já está nas mãos do cliente, e provar a má-fé do fabricante nesse cenário é extremamente difícil, pois atualizações são lançadas frequentemente. Já é bastante normal que um celular informe a existência de atualizações na primeira vez em que é ligado.

As consequências podem ser ainda piores se a Justiça ampliar essa decisão e impor que um fabricante deve estimar o tamanho futuro de atualizações na "memória utilizável". Isso incentivaria fabricantes a represarem o repasse de atualizações aos aparelhos, ou mesmo a não repassarem as atualizações mais significativas e que ocupam mais espaço.

Se isso acontecer, os aparelhos mais baratos sofreriam mais, já que quem compra os modelos de ponta não aceitaria não receber as atualizações. Quem compra aparelhos mais baratos olharia muito mais o preço e o armazenamento "utilizável".

O consumidor também não tem um poder real de decisão sobre instalar ou não as atualizações. É essencial que se entenda isso: atualizar o aparelho não é uma opção. Deixar o aparelho desatualizado abre caminho para ataques virtuais e muitos outros problemas. Manter o sistema atualizado é uma prática básica de "higiene virtual".

Sendo assim, não é correto pensar que o "espaço utilizável" informado na hora de compra seguiria sendo válido porque a atualização é "opcional".

Portanto, qualquer regulamento que incentive fabricantes a deixarem as atualizações para depois da venda, ou que incentive fabricantes a simplesmente não lançarem atualizações, não vai ajudar os consumidores. E é exatamente essa a consequência que uma decisão que obrigue fabricantes a estimar a "memória utilizável" no momento da venda pode ter.

Como diz o ditado: de boas intenções, o inferno está cheio.

Felizmente, a decisão vale a penas para Apple, que trabalha com produtos mais caros e com um modelo diferente de atualizações e que é muito mais consistente que as atualizações para Android. Por enquanto, não há muito risco de problemas. A única decepção vai ficar com os consumidores, que logo vão descobrir que nem mesmo a tal "memória utilizável" ainda é utilizável depois da primeira atualização.

O processo foi movido pela Proteste (Associação Brasileira de Defesa do Consumidor) e ainda cabe recurso.

(Foto: G1)
Siga a coluna no Twitter em @g1seguranca.

Uma brecha no iOS permite burlar a senha de bloqueio em iPhones e iPads para acessar parte das informações armazenadas no aparelho, incluindo contatos, fotos e mensagens. O problema está em um recurso de acessibilidade da assistente Siri que dá acesso à lista de contatos do aparelho.

O problema foi inicialmente revelado pelo canal do YouTube iDeviceHelp (assista), onde um vídeo mostra em detalhes como o aparelho pode ser desbloqueado. O canal "EverythingApplePro", que tem 2,7 milhões de inscrito, também fez um vídeo sobre o problema (assista). O canal tem um total de 28 vídeos mostrando métodos para burlar o bloqueio do iPhone, mas todos, exceto este último, já foram corrigidos pela Apple.

Vídeo no canal EverythingApplePro mostrando como burlar a tela de bloqueio. (Foto: Reprodução)

O "truque" exige que o aparelho bloqueado receba uma chamada telefônica ou do FaceTime. A partir disso, deve ser acessada a tela para enviar uma mensagem ao contato que fez a chamada. É nesse momento que a Siri deve ser acionada para ativar o recurso de leitura de tela, que por sua vez permite acessar o campo do destinatário da mensagem. Esse campo devia estar bloqueado.

Com acesso ao campo de destinatário, tem-se também acesso aos contatos do aparelho, de onde também há opções para associar uma foto aos contatos - dando acesso à galeria de fotos - e às mensagens de cada contato.

O problema afeta todas as versões do iOS pelo menos desde a 9.3.5, usada no descontinuado iPhone 4S. Especula-se que a Apple talvez lance uma atualização até para o iPhone 4S para eliminar esse problema, mas ainda não há confirmação.

Por enquanto, a solução é desativar a Siri na tela de bloqueio. Em "Configurações", acesse "Touch ID e Código" ou "Bloqueio por código" e desative a Siri no "Permitir acesso quando bloqueado". Mesmo com a falha corrigida no futuro, parece ser uma boa ideia manter essa medida como prevenção, já que é ao menos a terceira vez que o iPhone é desbloqueado com a "ajuda" da Siri.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A Apple lançou o iOS 10.1 nesta segunda-feira (24) para corrigir uma série de problemas no sistema usado pelo iPhone e iPad. Uma das brechas eliminadas permite que a mera visualização de uma imagem em formato JPEG execute códigos no aparelho, potencialmente levando à invasão do telefone ou do tablet.

A atualização está disponível para iPhone 5 e mais novos, iPads de quarta geração ou mais novos e iPod Touch de sexta geração ou mais novos.

Todos os usuários devem atualizar o sistema o quanto antes para se protegerem desse problema. Embora não há indícios de que a vulnerabilidade tenha sido explorada até agora, o lançamento de uma atualização dá a hackers certas informações que facilitam o desenvolvimento de métodos de exploração. Quanto mais tempo um celular ficar sem a atualização a partir de agora, maior o risco.

A brecha foi descoberta pelo pesquisador Marco Grassi, do Keen Lab da Tencent.

Não há muitas informações sobre as possíveis vias de exploração, mas é possível que a falha possa ser explorada a qualquer momento em que uma imagem é vista, como na hora de abrir uma página web ou um e-mail. A brecha permite violar a chamada separação entre "código e dados", fazendo com que a imagem - que é um dado - seja repassada como código para enviar comandos ao processador.

É improvável que a brecha sozinha consiga burlar todas as medidas de segurança do iPhone, mas ela pode ser a porta de entrada em uma exploração em série para atacar o telefone.

O pacote de correção também eliminou falhas no Webkit, o componente usado pelo navegador do iPhone e possivelmente por outros aplicativos para abrir páginas web. Estes problemas também podem levar à execução de código.

Criminosos virtuais não têm utilizado falhas no iPhone para ataques em larga escala na web, mas é importante que usuários se protejam para não serem os primeiros a se tornarem vítimas de um possível ataque.

SAIBA MAIS
Código espião para iPhone é usado contra ativista árabe

(Foto: Reprodução)


Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A empresa Zerodium, especializada na comercialização de "armas digitais", está oferecendo US$ 1,5 milhão (cerca de R$ 4,8 milhões) por um código capaz de atacar e invadir remotamente um aparelho com iOS 10, como um iPhone ou iPad.

O valor é três vezes maior que o valor normal pago pela Zerodium (US$ 500 mil) e mais de sete vezes maior que o teto do que é pago pela Apple (US$ 200 mil) aos participantes do limitado programa de recompensas oferecido pela empresa. A Zerodium, por ter interesse na comercialização da falha como "arma", não repassa informações aos desenvolvedores do software, o que significa que a vulnerabilidade permanece aberta para ser explorada.

A Zerodium diz que pagará o valor de US$ 1,5 milhão por uma "sequência de exploits", ou seja, o pesquisador é obrigado a encontrar várias falhas, se necessário, para atingir o objetivo de invadir remotamente o iPhone. Invasões remotas são aquelas que ocorrem pela rede, ou seja, quando não há contato físico com o celular. Pode ocorrer com o recebimento de um torpedo SMS ou com a visita a uma página web.

Quando foi fundada, a Zerodium ofereceu US$ 1 milhão por um ataque semelhante, mas a oferta era única. Agora, a companhia está disposta a adquirir "múltiplas" sequências de ataque capazes de invadir o iOS 10 pelo mesmo valor.

A oferta por brechas no Android também foi dobrada (para até US$ 200 mil). Segundo a Zerodium, os novos valores são justificados pelo aumento da segurança dos sistemas. Por isso, é preciso pagar mais para manter os pesquisadores interessados na descoberta dessas falhas.

SAIBA MAIS:
Por que empresas pagam por falhas em software: G1 Explica

Imagem: iPhone 7, que usa o iOS 10. (Foto: Divulgação/Apple)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A empresa russa ElcomSoft, especializada no fornecimento de ferramentas para perícia e coleta de provas em dispositivos digitais, afirmou que backups do iOS 10 feitos no iTunes podem ser quebrados com muito mais facilidade do que os backups de versões anteriores do sistema.

Ao site "Threatpost", a Apple afirmou que está ciente do problema e que vai eliminar a brecha na próxima atualização do iOS.

Para realizar o ataque, é preciso ter uma cópia do backup do iPhone. Esse arquivo pode ser obtido de um computador onde o celular foi conectado e sincronizado. Qualquer backup pode ser quebrado com tempo suficiente, mas a brecha acelera consideravelmente o trabalho.

Segundo a ElcomSoft, uma nova rotina para quebrar a senha do backup sem otimização já é 40% mais rápida que a rotina otimizada com processamento auxiliado por chip gráfico desenvolvida para as versões anteriores.

"O novo mecanismo pula algumas checagens de segurança, permitindo tentativas de senha até 2.500 vezes mais rápidas que o mecanismo antigo usado no iOS 9 e anteriores", afirmou a empresa.

Com o backup do iPhone, é possível obter diversas informações armazenadas no aparelho, inclusive o Keychain - local onde ficam armazenadas as senhas gravadas pelo usuário.

Foto: iPhone 7 (Divulgação/Apple)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A empresa de segurança Trend Micro alertou que golpistas na China e no Vietnã estão distribuindo uma versão adulterada de "Pokémon Go" que inclui um programa de publicidade e gera lucro para os responsáveis. A versão falsa é distribuída em "lojas de aplicativos alternativas" que existem graças aos certificados corporativos para iPhone.

O sistema iOS usado no iPhone e no iPad limita os aplicativos que podem ser instalados por meio do iTunes App. No entanto, a Apple também permite a instalação dos aplicativos assinados com os chamados "certificados corporativos" desde que esse certificado seja configurado no aparelho. Essa função foi criada para que empresas possam instalar aplicativos em celulares de funcionários sem precisar passar pela revisão individual da Apple ou listá-los na App Store. A Apple só atua na autorização do certificado.

Foi usando um conjunto de certificados corporativos adquiridos da própria Apple, a US$ 299 (cerca de mil reais) cada um que os golpistas criaram as lojas de aplicativos Haima, na China, e a HiStore, no Vietnã. A Trend Micro observou o uso de 5 certificados diferentes em apenas 15 dias, mas o custo dessas trocas - feitas para burlar possíveis revogações da Apple - é compensado pelo faturamento publicitário com os apps.

Quem usa os apps modificados corre três riscos: ter seus dados expostos para terceiros, pagar mais caro na conta pelo uso de dados móveis adicionais e ter um aproveitamento menor da bateria.

Lojas 'alternativas'
As lojas de aplicativos alternativas costumam atrair usuários com ofertas indisponíveis nas lojas oficiais, como programas piratas ou mesmo alterações para trapacear em jogos. Segundo a Trend Micro, a loja chinesa Haima já tinha o Pokémon Go para iPhone antes mesmo do lançamento no país asiático. O game também vinha com uma modificação para falsificar a localização GPS, burlando restrições que pudessem impedir o aplicativo de funcionar.

Pokémon Go teve mais de um milhão de downloads na Haima, mas não é o jogo mais popular da loja. De acordo com a Trend Micro, Minecraft teve quase 69 milhões de downloads, enquanto o comunicador QQ foi baixado 46 milhões de vezes.

Segundo relatos de usuários no site "Reddit", versões novas do "Pokémon Go" para Android e iOS não estão funcionando em celulares que foram desbloqueados. A medida foi adotada para dificultar o uso de esquemas de trapaça. Usuários interessados em continuar trapaceando no game podem buscar versões alternativas e ilegais do app, mas correm o risco de instalar programas indesejados no celular.

Imagem: Pokémon Go (Foto: Reprodução/Facebook/Pokémon Go)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]