Quando um serviço disponibiliza um sistema de autenticação "2-factor", é recomendável que os utilizadores lhe dêem uso, e que assim esperam ficar livres de problemas mesmo que algum atacante descubra a sua password. Mas no caso da Apple, este sistema de protecção ainda está cheio de buracos que permitem abusos.
O famoso caso das fotos reveladas do iCloud fez com que a Apple se apressasse a corrigir certos aspectos, incluindo a implementação do sistema 2-factor (mesmo se oficialmente dizia que o problema não era do seu lado.)
Com um sistema 2-factor, para se ter acesso a um serviço, para além do username e password é pedido uma validação adicional, que pode ser algo como um código que é enviado via SMS para o telemóvel registado do utilizador, ou um código que é alterado a cada dezena de segundos e que pode ser visto numa app "sincronizada" com o serviço. O objectivo é que, mesmo no caso de alguém ter conseguido apanhar a password (com keylogger, por brute-force, por espionagem ou por qualquer outro método), se torne impossível aceder ao serviço. Isso é o que se espera, mas no caso da Apple não é bem assim...
A Apple continua a ter muitos serviços que continuam a estar acessíveis e funcionais sem perguntar pelo código adicional, mediante a introdução de apenas o username e password. FaceTime, iMessage, iTunes, e o próprio site da Apple ficam abertos a qualquer atacante que tenha essa informação, mesmo que a "vítima" tenha activado o sistema 2-factor.
Embora fazer uma compra ou tentar alterar dados da conta peçam verificação adicional, ainda assim é possível fazer coisas como: ver informação pessoa desse utilizador, histórico das compras feitas, ou até fazer-se passar por essa pessoa no iMessage. Coisas que um utilizador preocupado com a segurança ao ponto de activar o 2-factor poderia imaginar estarem completamente arrumadas.
Vamos lá ver se teremos que ter um novo mega-escândalo de um qualquer abuso, ou se a Apple desta vez vai tratar do assunto de forma discreta.
Sem comentários:
Enviar um comentário (problemas a comentar?)