Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Por herança da Guerra Fria, programas de computador desenvolvidos nos Estados Unidos foram proibidos de adotar tecnologias de segurança poderosas que atrapalhassem o acesso das autoridades norte-americanas às informações processadas por esses programas. Essa realidade só mudou no ano de 2000, após vários embates da chamada "guerra da criptografia" durante a década de 90.

Temos agora um novo e velho debate nessa mesma questão. A diferença é a materialidade. Na guerra da criptografia da década de 90, falava-se mais de questões filosóficas, do direito à liberdade de expressão. Questões práticas envolvendo a criptografia não eram simples de se ver e entender, porque seu uso era restrito ao meio empresarial.

Desembarcando em 2016, a realidade é que muitas pessoas carregam um dispositivo com criptografia de nível militar no bolso - o celular. E o argumento, contundente, é de que um celular protegido pode ajudar o FBI a elucidar um possível ato terrorista que matou 14 pessoas e feriu outras 22 nos Estados Unidos. Segundo uma reportagem publicada pelo "Wall Street Journal" nesta segunda-feira (22), porém, autoridades americanas buscam a ajuda da Apple com outros 12 iPhones, mas os casos não envolvem terrorismo - sendo assim, a "história" não é tão interessante.

Apesar disso, quem deu destaque ao caso iPhone do atirador Syed Rizwan Farook foi a própria Apple, em uma carta publicada em seu site. Escolher a batalha mais difícil pode trazer bons resultados - se for vencida, é claro.

Com esse embate, a nova guerra da criptografia - deflagrada pelas revelações de Edward Snowden - chega aos tribunais. Antes de Snowden revelar os programas de espionagem americanos, a Apple cooperava com o governo. Depois, modificou o celular de tal modo que ela própria não mais consegue ler nada em um aparelho protegido. O que temos agora é uma consequência disso.

A Apple e outras empresas de tecnologia que defendem a criptografia, como o Facebook, o Google e o Twitter - que declararam apoio à Apple no caso -, têm muito a ganhar. Por um lado, fortalecem a ideia de que estão defendendo o consumidor. De outro, eles não precisam dar satisfações a qualquer governo quando um de seus produtos estiver envolvido em um crime. Mas o fato de uma criptografia forte ser boa para essas empresas não significa que é ruim para os consumidores e para a sociedade.

O que há de novo
Os aspectos técnicos da requisição do FBI são diferentes daquelas exigências que a legislação americana fazia às empresas de software nas décadas de 80 e 90. Na época, havia um limite no tamanho permitido nas chaves de criptografia utilizadas por softwares "exportados". A criptografia em si, portanto, era menos segura.

O FBI não está pedindo que a Apple enfraqueça a criptografia - até porque, nesse caso, isso não é mais possível. Mas está pedindo que a Apple enfraqueça o ecossistema - o conjunto de medidas de segurança servem de apoio à criptografia. O FBI quer que a Apple retire o limite de tentativas de senha, de modo que os peritos possam tentar infinitas combinações até achar a senha certa. No momento, o FBI não pode fazer isso: se o limite de erros for excedido, o iPhone apaga a chave de segurança. O FBI ainda poderia tentar reconstruir a chave se isso viesse a acontecer, mas provavelmente seria um esforço que levaria décadas.

Imagine que o FBI precise abrir uma porta que, após alguns segundos infrutíferos de tentativas de arrombamento, faça a casa inteira sumir para sempre. Essa é mais ou menos a situação. Pode parecer absurda e o FBI pode ter razão em sentir que o iPhone está frustrando uma investigação, mas não se trata de algo tão simples. E comparações com o mundo real, embora nos ajudem a visualizar o problema, não nos dizem tudo.

O "remendo" proposto pelo FBI nos tribunais, embora seja útil para esse caso específico, não vai resolver definitivamente o problema da criptografia. Mesmo que um caso idêntico apareça no futuro, uma senha consideravelmente grande seria um grande desafio para o FBI quebrar, independentemente de quantas tentativas se possa fazer.

Outro detalhe é que o iPhone não é uma casa. No mundo "físico", muitas das medidas de segurança que tomamos são boas, não perfeitas. Nossas casas não são seguras como cofres de bancos, por exemplo. No mundo virtual, porém, os ataques tendem a ser sempre em seu nível "máximo". Uma vez que uma falha é descoberta, a ferramenta capaz de explorar a falha pode ser replicada e reutilizada infinitamente e pode estar disponível para todos. É por isso que flexibilizar a segurança de um sistema raramente é uma boa ideia.

Fora dos tribunais, o FBI tenta convencer o Congresso norte-americano a mudar a legislação e exigir que fabricantes de celulares coloquem uma "porta dos fundos" - um acesso especial e exclusivo da polícia - para que as informações possam ser acessadas e utilizadas em investigações. Esse argumento é problemático, porque é bem possível que a "porta dos fundos policial" acabe sendo usada por criminosos.

Essa ideia também coloca um "furo intencional" na segurança. É mais uma vez o problema de flexibilizar. E, se vamos flexibilizar, e perder algo com isso, é preciso fazer uma pergunta: o que ganharemos em troca?

Para o especialista em segurança Bruce Schneier, que publicou um artigo de opinião no "Washington Post", o que o FBI está pedindo nos tribunais deve deixar as pessoas menos seguras, já que a versão "especial" do sistema da Apple - mais vulnerável - pode acabar caindo em mãos erradas. "Os ataques sempre ficam mais fáceis. A tecnologia amplia as capacidades e o que era difícil ontem torna-se fácil amanhã. Os programas ultrassecretos da Agência Nacional de Segurança dos Estados Unidos (NSA) são as teses de doutorado de amanhã e ferramentas de hackers no dia seguinte", escreveu ele.

Schneier argumenta que celulares são dispositivos muito íntimos e que faz sentido que tenham esse recurso de proteção.

Já Jonathan Zdziarski, pesquisador independente especializado em segurança de iOS, tem outro argumento: é bem provável que o iPhone do atirador não tenha nenhuma evidência nova. Zdziarski aponta que o atirador queimou e destruiu dois outros dispositivos eletrônicos e, se ele não fez o mesmo com o iPhone, é porque não há nada no celular.

O uso de uma senha numérica é outro sinal. Segundo o especialista, o uso de uma senha alfanumérica (letras e números), do mesmo tamanho (seis posições) levaria seis anos para ser quebrada, enquanto uma senha numérica leva 22 horas. Como o celular está protegido por uma senha numérica, é difícil imaginar que o atirador queria proteger algo no aparelho.

Já Bill Gates, fundador da Microsoft, ficou do lado do FBI, negando que a ação da Apple afetaria a segurança de outras pessoas. "Eles não estão pedindo uma coisa geral, é um caso específico", afirmou ao "Financial Times".

O que há de velho
Todos os argumentos da velha guerra da criptografia continuam valendo. Há muitas tecnologias abertas de criptografia que podem ser usadas por qualquer pessoa interessada. São apenas fórmulas matemáticas.

Desse modo, ficando explícito que o governo é capaz de ler celulares protegidos, criminosos e terroristas buscarão outros meios para se proteger. Enquanto isso, consumidores ficarão expostos e dissidentes políticos ficarão vulneráveis sem que isso traga ganhos no combate ao crime organizado e ao terrorismo sofisticado.

Proibir a criptografia também é difícil. Embaralhar informações a partir de chaves criptográficas não é um processo complicado de se replicar a partir de tudo que já se sabe na área. Ainda que toda a criptografia em uso seja modificada para deixar um acesso à polícia, e mesmo que esse acesso não deixe o sistema mais vulnerável de nenhuma forma, mesmo que as autoridades jamais abusem desse acesso, nada impede alguém de criar uma criptografia sem esse mecanismo.

É uma regra que já vai nascer valendo só para alguns.

Imagem: G1
Siga a coluna no Twitter em @g1seguranca.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Número de vulnerabilidades e segurança
Altieres, li em um artigo que em 2015 foram encontradas mais vulnerabilidades no iOS do que no Android. Isso torna o iOS mais inseguro que o Android?
Marcelo Pinto

Não, Marcelo. Ter um número maior de vulnerabilidades é um fator, claro, mas não se pode dizer que algo é "mais inseguro" apenas porque tem um número maior de vulnerabilidades.

Existem muitos fatores a se considerar. Vou citar alguns:

- O número de falhas contabilizado depende da quantidade de brechas que foram encontradas. Brechas só são encontradas quando pessoas procuram por elas. Logo, o número depende da quantidade de pessoas que está procurando por falhas, o conhecimento dessas pessoas, o tempo dedicado a isso, etc.

- Qual a gravidade das falhas encontradas? Quanto tempo elas ficaram abertas até a correção? De que maneira os recursos de segurança do sistema diminuíram o impacto dessas falhas?

- Qual a facilidade de atualizar o sistema ou aplicar algo que minimize o impacto do problema?

- Como essas brechas podem ser aplicadas para ataques no mundo real? Elas foram usadas em ataques reais? Como isso afeta a maneira que você pessoalmente usa seu telefone seu celular? Por exemplo: digamos que alguma dessas brechas estão em componentes do telefone que você não usa -- essas brechas podem ser desconsideradas.

Existem ainda ataques não dependem de "brechas" como essas que normalmente são contabilizadas em relatórios de vulnerabilidades. É o caso de aplicativos falsos ou maliciosos que são colocados em jogas como o Google Play e iTunes App Store. Quando alguém quer saber se o iOS "é mais seguro que o Android", essas questões práticas, ligadas ao conceito ou projeto do sistema, também são relevantes.

Dentro desses ataques que acontecem, cabem ainda perguntas como quais têm impacto mais grave e quais podem afetar você pessoalmente.

Em termos de segurança, dispositivos com iOS têm um legado melhor. O Google e as fabricantes parceiras fizeram grandes avanços para corrigir algumas deficiências do Android, como a dificuldade (ou impossibilidade) de se obter atualizações. O Google Play também é bem mais restritivo hoje e bloqueia a maior parte dos apps falsos. Antigamente, o Google Play não tinha sistemas de análise e nem revisão humana dos apps.

Como já foi dito em outras colunas por aqui, há bem pouca diferença hoje entre as duas plataformas, especialmente se você usar apenas o Google Play no Android. Em todo caso, é preciso ter muito cuidado com argumentos fáceis como o "número de vulnerabilidades" para saber se um sistema é seguro, seja iOS, Android, Linux ou Windows. É algo interessante de se saber, mas uma grande falha fácil de explorar é muito mais preocupante do que várias falhas de pouco impacto.

Outros dados como o tempo de vulnerabilidade (dias ou horas em que nem mesmo o sistema totalmente atualizado estava livre de alguma falha grave publicamente conhecida) também é útil. O estudo dizendo que 85% dos celulares com Android estão expostos a pelo menos uma falha grave, por exemplo, diz muito mais sobre a realidade de segurança do sistema do que apenas o número de falhas.

Porém, para quem tem celulares com atualizações (como a linha Nexus ou outros modelos de ponta do Android), isso não é uma preocupação. E quem comprou um celular barato provavelmente não teria condições de adquirir um iPhone novo. Nessa perspectiva, a discussão já passa para a avaliação de custo-benefício e de outras plataformas com celulares mais baratos, como o Windows Phone.

>>> Carreira em segurança
Tenho uma dúvida em relação à carreira na área de segurança da informação. Estou formando em sistemas de informação, no momento estou no ramo de suporte técnico, mas de fato gostaria de trabalhar com segurança, é um assunto que me fascina, que me induz ao desafio, de ir atrás dos conhecimentos e testá-los no Kali Linux e assim por diante. Como iniciar na carreira de segurança? Já li por aí em sites que é necessário possuir certificações, experiência mínima anterior.... Não tenho certificação na área, quais ações deveria tomar para seguir meu caminho?
André Adriano

Muitas das pessoas que hoje trabalham com segurança tiveram sua formação na década de 90 ou mesmo no início dos anos 2000, quando não havia muitos cursos ou certificações consolidadas na área.

Por isso, é difícil traçar um histórico e apontar para que os profissionais de sucesso de hoje fizeram no passado, porque as formações, histórias e experiências são muito variadas.

O primeiro passo, porém, é definir a área com que você deseja trabalhar, porque existem muitas e existem cursos e até certificações específicas de cada área. O Kali Linux, que você citou, é muito utilizado por quem faz testes de invasão. Mas essa não é a única área da segurança. Existe "hardening" de sistemas (que exige conhecimentos específicos dos sistemas e/ou de soluções específicas), perícia (onde até algum conhecimento jurídico pode ajudar), configuração de firewalls e rede (empresas como Cisco e Juniper têm certificações próprias) e, no mercado, há diversas certificações com variados níveis de segmentação.

Um mercado que está crescendo agora é o de inteligência, que exige profissionais com excelente capacidade de escrita, comunicação e investigação digital.

A minha dica é: procure vagas relacionadas com a área que você quer trabalhar e veja o que o mercado está pedindo, quais são as certificações e conhecimentos valorizados na área. O mercado está cada vez mais segmentado e em certas áreas há meios de demonstrar conhecimento sem certificações, apresentando artigos (papers) como palestras em eventos, por exemplo, para contribuir com a comunidade e se destacar. O que você precisa primeiro, porém, é saber o que você quer fazer e, em seguida, o que estudar.

Aliás, frequente eventos. Muitos profissionais reconhecidos do mercado estão em eventos de segurança, seja para palestrar ou para conhecer as novidades. Vale para quem está começando também - e em alguns eventos mais téncicos, onde um iniciante pode ter dificuldade de acompanhar as palestras, há oficinas de treinamento que podem contribuir com a aprendizagem.

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

A empresa de segurança Zerodium anunciou na segunda-feira (2) o pagamento da recompensa de US$ 1 milhão (cerca de R$ 3,8 milhões) por um ataque completo contra a versão mais recente do iOS, o sistema operacional usado em dispositivos portáteis da Apple como iPhone, iPad e iPod.

A oferta foi divulgada em setembro e acabou no dia 31 de outubro. O ataque precisava ser completo, envolvendo a criação de uma página maliciosa capaz de obter o controle total sobre o aparelho. Após a visita ao site, a invasão do aparelho tinha de ser automática, segundo as regras da oferta. Vulnerabilidades que dependessem de autorização ou interação do utilizador não seriam aceitas para o prêmio máximo.

A Zerodium é uma nova empresa de segurança fundada em julho por Chaouki Bekrar. Bekrar também fundou a extinta empresa francesa de segurança Vupen, conhecida por resguardar quase todas as informações sobre as vulnerabilidades que descobria. Nem os fabricantes dos programas tinham acesso às informações, o que mantia os programas vulneráveis aos erros identificados pela companhia. A Vupen só disponibilizava os dados a seus clientes, mediante pagamento.

Por esse motivo, é improvável que a Zerodium divulgue qualquer detalhe técnico da brecha, exceto para quem assinar um contrato para a compra dessas informações. No Twitter, onde a companhia anunciou o pagamento da brecha milionária, o site de segurança "Helpnet Security" acusou a Bekrar de realizar um "golpe de publicidade" ao declarar o pagamento da recompensa sem fornecer qualquer prova.

O pagamento de US$ 1 milhão, se verdadeiro, seria o maior valor pago por uma brecha de segurança, pelo menos fora do mercado negro. Grandes empresas de tecnologia como Google, Facebook e Microsoft adotaram programas de recompensa para pesquisadores, mas os valores são bem menores. O valor mais alto já pago pela Microsoft, por exemplo, foi US$ 125 mil - por um problema que depois a empresa decidiu não corrigir.

Ao site da revista "Wired", Bekrar disse que a oferta teve mais um interessado. Esse segundo interessado, porém, não conseguiu fazer o ataque funcionar de acordo com as exigências feitas pela empresa. O executivo disse que a companhia está avaliando realizar um pagamento menor, mas isso ainda será decidido.

A Apple não receberá imediatamente nenhuma informação sobre a falha, mas Bekrar disse que isso pode, talvez, acontecer no futuro.

Imagem: O novo iPhone 6S, que usa o sistema iOS 9 da Apple. (Foto: G1)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Pesquisadores franceses conseguiram realizar um ataque que permite controlar remotamente celulares Android e iPhone que tenham o reconhecimento de voz ativado a até cinco metros de distância. Para funcionar, o telefone precisa estar conectado a um fone de ouvido com microfone embutido.

José Lopes Esteves e Chaouki Kasmi conseguiram montar um dispositivo capaz de enviar ondas eletromagnéticas que ativam e manipulam o reconhecimento de voz dos aparelhos celulares. O iPhone é o mais vulnerável, pois a assistente Siri fica ativa na tela de bloqueio e celulares sem o iOS 9 não autenticam a voz do dono do celular.

O aparato desenvolvido pelos pesquisadores possui uma antena que envia sinais eletromagnéticos e interfere com o funcionamento do cabo do fone de ouvido, que atua como uma antena receptora e repassa sinais para o aparelho celular. Esses sinais são interpretados como som do microfone.

Em outras palavras, é como se voz fosse "injetada" no microfone pela onda eletromagnética, enviando o comando ao celular. A partir disso, o celular poderia ser controlado para fazer chamadas, enviar torpedos ou mensagens em redes sociais. Outra possibilidade é fazer o celular ligar para o telefone do invasor: com o modo de viva voz, o celular torna-se um dispositivo de escuta.

Uma versão reduzida do aparato poderia ter um alcance de até dois metros, enquanto uma versão maior, montada em uma van, chegaria a cinco metres. Os especialistas explicaram ao site da revista "Wired" que essa versão menor poderia ser montada dentro de uma mochila para enviar mensagens para todos os celulares ao alcance.

Consumidores devem ajustar as configurações das assistentes de voz nos celulares para que reconheçam sua voz (caso essa opção exista) e para que a assistente (Siri ou Google Now) não fique ativa na tela de bloqueio do aparelho.

Os pesquisadores entraram em contato com o Google e com a Apple para sugerir melhorias de segurança nos comandos de voz.

A empresa de segurança Palo Alto Networks divulgou neste domingo (4) a descoberta de mais uma praga digital que ataca celulares e tablets da Apple. A praga possui diversos componentes e versões para Android, além de se apoiar em outra praga que infecta computadores com Windows. O código também conta com a ajuda de provedores na China, que interceptam o acesso a sites na web para adicionar redirecionamentos.

A Palo Alto usa o nome de "YiSpecter" para o código que ataca iPhone e Android. No Windows, o componente é chamado de "Lingdun" e está em circulação pelo menos desde fevereiro deste ano, mas companhias de antivírus na China não compartilharam a informação com outros fabricantes de antivírus e, por causa disso, nenhum outro software antivírus era capaz de detectar os arquivos.

Os primeiros registros da praga no site VirusTotal são de novembro de 2014, segundo a Palo Alto. A empresa divulgou dados que permitirão que as fabricantes de antivírus localizem os arquivos enviados ao site VirusTotal para também analisar os códigos.

A principal atividade da praga nos celulares é exibir anúncios publicitários, mas ela é capaz de mudar as configurações de pesquisa e favoritos do navegador, além de enviar informações para o servidor de controle e instalar outros apps no telefone.

Ajuda de provedores
Para chegar aos dispositivos das vítimas, o YiSpecter contou com a ajuda de provedores na China. Segundo a Palo Alto, provedores em algumas províncias do país estão realizando interceptação de tráfego para incluir redirecionamentos e anúncios em páginas web. Em alguns casos, o download de programas para Android (arquivos ".apk") é redirecionado para versões "patrocinadas" dos apps, contendo códigos maliciosos.

Segundo a Palo Alto, essa interceptação de tráfego foi confirmada pela TV estatal chinesa. Como alguns internautas conseguem solucionar o problema entrando em contato com o provedor, uma possibilidade é que essa atividade seja intencional por parte das prestadoras de serviço.

O YiSpecter também contou com a ajuda de certificados digitais. Para ser instalada em celulares iPhone e tablets iPad bloqueados, o código usa um certificado empresarial da Apple. O componente para Windows, Lingdun, tem certificados digitais da Symantec e da VeriSign.

ertificados digitais verificam apenas a identidade do detentor do certificado, não os aplicativos específicos. Isso significa que um aplicativo pode conter uma assinatura digital, desde que seu responsável não tenha interesse em se esconder. A Palo Alto acredita que uma empresa chinesa de publicidade estava envolvida na criação e distribuição do software e entrou em contato com a Apple para sugerir a revogação do certificado.

Além da interceptação de tráfego, o Lingdun é capaz de se espalhar pela rede social chinesa QQ, enviando arquivos que divulgam links para o software em grupos de discussão na rede. As mensagens dizem que o programa permite assistir vídeos pornográficos de graça. Os links detectam o sistema operacional da vítima: se o link for acessado do Android, receberá um programa malicioso para Android; se o sistema for um iPhone, verá a página de instalação do programa para iPhone.

Mudança no iOS 9
Certificados empresariais são emitidos pela Apple para que empresas possam instalar programas internamente em celulares iPhone, dispensando a inclusão de aplicativos na App Store. Esse mecanismo tem sido o mais utilizado para disseminar pragas digitais que atacam o aparelho.

O iOS trouxe uma mudança que torna a instalação desses aplicativos mais trabalhosa, exigindo uma mudança de configuração antes que a instalação desses apps seja oferecida. Por conta dessa exigência, a distribuição de programas para o público geral por esse meio fica praticamente inviabilizada.

Em versões anteriores do iOS, no entanto, basta que o usuário confirme a instalação do programa em um aviso que aparece na tela para que o celular seja contaminado.

Imagem: Instalação do programa no iPhone anterior ao iOS 9. (Foto: Reprodução/Palo Alto Networks)

SAIBA MAIS
Apple 'limpa' App Store após dezenas de apps de iPhone serem contaminados
Vírus de iPhone rouba 225 mil contas da Apple de usuários na China
Praga digital para OS X infecta iPhone conectado via USB

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Após a contaminação de vários aplicativos na iTunes App Store, loja de aplicativos oficial usada pelo iPhone e o iPad, a segurança desses dispositivos parece estar praticamente igualada ao Android para quem só instala aplicativos na loja oficial. A App Store, no entanto, ainda está em vantagem, porque os aplicativos foram infectados por descuido dos desenvolvedores.

Segundo a empresa de segurança FireEye, mais de quatro mil aplicativos da App Store foram contaminados pelo código malicioso "XcodeGhost". A praga ganhou esse nome ("fantasma do Xcode") porque foi embutida nos apps por uma versão modificada do Xcode, um programa usado pelos desenvolvedores para criar os aplicativos para iPhone e iPad.

Esses desenvolvedores, todos chineses, baixaram versões do Xcode em sites alternativos, embora a Apple distribua o Xcode gratuitamente em seu site. Eles teriam feito isso porque o download nos servidores da Apple seria muito lento.

Antes dessa contaminação em massa, a App Store teve apenas alguns poucos aplicativos maliciosos no ar - uma quantia pequena perto dos numerosos casos já encontrados no Google Play. Se quatro mil apps tiveram de ser removidos do dia para a noite, então o "jogo", aparentemente, estaria equilibrado.

Mas a Apple ainda tem uma leve vantagem. Apesar da dimensão do problema, o descuido, em princípio, foi dos desenvolvedores. É um tipo de ataque muito difícil de ser identificado, pois desenvolvedores conhecidos tendem a ser mais confiáveis. A alteração feita pelo Xcode malicioso também era pequena, dificultando a identificação do ataque.

Nenhum dado usuário do smartphone era roubado, por exemplo. A única função realmente perigosa era permitir que o app abrisse uma janela de escolha do criminoso para, possivelmente, criar janelas falsas de solicitação de senha.

Diante de um cenário parecido, é muito difícil de acreditar que o Google Play, do Android, se sairia melhor. Já foram cadastrados no Google Play versões falsas de diversos aplicativos, inclusive de bancos brasileiros - situações até hoje sem paralelo na App Store mantida pela Apple. Só recentemente o Google decidiu adotar a avaliação individual de cada aplicativo, que sempre existiu na App Store.

O descuido dos desenvolvedores foi tal que eles não verificaram a assinatura digital do Xcode. O arquivo não tinha a assinatura digital válida para a Apple. Para os que ainda estão descuidados, a Apple adicionou uma proteção contra a versão alterada no XProtect, o "antivírus" rudimentar que acompanha o OS X.

A lição que fica, ainda assim, é que atacar os desenvolvedores pode ser a porta de entrada mais fácil para embutir códigos maliciosos em apps populares.

Embora a Apple pudesse ter se saído melhor nessa questão, seria injusto julgá-la por esse caso em particular.

Plataformas seguras
Embora a parcela de culpa da Apple pela contaminação dos apps dos desenvolvedores seja discutível, o fato é que nenhuma plataforma atual de smartphones - Android, Windows Phone ou iOS - é "insegura".

O Windows Phone perde muitos pontos por não ter opção de criptografia fora de um ambiente empresarial, mas também não há caso conhecido de aplicativos maliciosos na loja da Microsoft.

Embora o Google Play tenha mais casos de malware em seu histórico, o número de usuários afetados nunca foi grande diante do total da quantidade de celulares com Android. Os usuários que mais estão em risco são os que buscam apps fora do Google Play.

Já no iOS, o caso mais grave de que temos notícia envolveu o descuido de desenvolvedores em um único país.

Independentemente do sistema, os smartphones atuais continuam sendo a opção mais segura para realizar tarefas como acesso a bancos. A confiança cega nunca é uma boa ideia e, por mais que apps maliciosos sejam relativamente raros em todas as plataformas, a instalação de programas não deve ser vista como algo trivial.

SAIBA MAIS:
Apple 'limpa' App Store após dezenas de apps de iPhone serem contaminados

Siga a coluna no Twitter em @g1seguranca