Os anúncios da Apple na WWDC esta semana tiveram um grande foco na segurança e privacidade. O gigante da tecnologia americana teve alguns meses difíceis, com múltiplos problemas e vulnerabilidades relatados, e agora parece que quer ultrapassar tudo isso, para reafirmar suas credenciais de segurança e privacidade, destacando-se da concorrência.
Mas a Apple nem sempre acerta isso, como perfeitamente ilustrado por uma questão de segurança que originalmente negou, mas agora de repente confirmou ao emitir uma correção. Essa correção ainda não está disponível, porém, deixando os usuários em risco. Ela virá com o iOS 14, devido ao outono.
Voltar em fevereiro, eu relatei um problema com a função de clipboard da Apple. Como revelado pelos pesquisadores de segurança Talal Haj Bakry e Tommy Mysk, qualquer dado copiado para a área de transferência em um dispositivo iOS poderia ser lido por qualquer aplicativo ativo. Não há notificação, nenhuma configuração para restringir a capacidade de um aplicativo de acessar informações do usuário; a vulnerabilidade está oculta – os usuários não têm como saber quando um aplicativo pode estar roubando seus dados.
MAIS DE FORBESSimple Apple Security Hack: If You Have An iPhone And MacBook, Look Away NowPor Zak Doffman
Worse, os pesquisadores me disseram, “a Área de Transferência Universal também pode ser afetada por esta vulnerabilidade para escutar o que os usuários copiam”. Isto significa que se você copiar algo no seu Mac, ele pode ser lido por um aplicativo no seu iPhone. E como temos a tendência de usar copiar e colar mais em um desktop ou laptop do que em um telefone, isso torna o problema muito mais sério no mundo real.
“Recebemos muitos pedidos sobre esse ponto”, os pesquisadores me disseram, “que adicionamos um vídeo ilustrando como um aplicativo para iPhone ou iPad pode escutar na área de transferência no Mac”.
O problema foi relatado à Apple em janeiro. “Depois de analisar o envio”, os pesquisadores explicaram, “a Apple nos informou que não vê um problema com essa vulnerabilidade”. Em essência, a visão da Apple parecia ser que esta era sua função de clipboard funcionando como planejado. Não havia nenhum problema para corrigir – nada para ver aqui.
MAIS DA FORBESBeware se você usar o TikTok no seu iPhone: Aqui está porque deve agora preocupar-se – Novo Relatório de SegurançaPor Zak Doffman
Os investigadores até lançaram um seguimento, mostrando a forma como aplicações como o TikTok, que levantou muitas das suas próprias preocupações de segurança, “lêem o conteúdo da área de transferência sempre que esta é aberta.” E embora os pesquisadores tenham reconhecido que “não podemos dizer com certeza o que o TikTok está fazendo com os dados que leu”, isso foi claramente uma preocupação. Por sua vez, TikTok me disse que era um problema com um SDK do Google Ads e que estava sendo corrigido. Dito isto, a Apple não deveria ter deixado isso acontecer em primeiro lugar.
Os pesquisadores foram muito claros a partir de sua divulgação inicial. A Apple deveria incluir uma configuração de privacidade, aplicação por aplicação, habilitando ou desabilitando o acesso à área de transferência. E, no mínimo, deve piscar uma notificação na tela quando um aplicativo acessar a área de transferência, “para evitar que aplicativos explorem a área de transferência”, os pesquisadores disseram em fevereiro, “a Apple deve agir”. “Embora a Apple nos tenha informado que não era um problema quando o relatamos no início deste ano”, disse-me Mysk, “penso que a Apple ouviu as exigências e reconsiderou os seus pensamentos iniciais sobre o problema – eles corrigiram-no da forma exacta que recomendamos no nosso artigo”. Mysk também notou que a notificação “é diferente dos banners iOS normais – isto mostra que a Apple projetou isto especificamente para o acesso à prancheta”
Esta é uma boa mudança – é uma questão genuína e precisa ser corrigida. Teria sido melhor, no entanto, se a Apple tivesse dito o mesmo em Fevereiro e Março quando esta questão foi levantada pela primeira vez, em vez de parecer descartar a preocupação. Eu abordei a Apple na época para quaisquer comentários, sem nenhum recebido, e fiz o mesmo desta vez, com a correção agora prevista para daqui a alguns meses.
“Estou muito feliz que nossa pesquisa tenha levado a uma mudança tão grande que definitivamente guardará mais a privacidade dos usuários”, disse-me Mysk, “Eu gostaria de mencionar que abordamos a Apple para um comentário depois que descobrimos a correção. A resposta da Apple foi muito rápida e positiva e eles solicitaram nossas informações de atribuição”
Siga-me no Twitter ou no LinkedIn.