2019/04/25

5 dicas de segurança para iPhone


Utilizar as impressões digitais (Touch ID) ou reconhecimento facial (Face ID) num iPhone é apenas o primeiro passo para se minimizar o risco de acessos indesejados, mas há muito mais que se pode / deve fazer para quem levar a questão da segurança digital mais a sério.

Todas as semanas surgem notícias de roubos de dados, quer por vulnerabilidade em serviços quer por falha humana, aos quais nem a Apple escapa. Já assistimos aos leaks da iCloud, e a suposta alta segurança dos iPhones foi posta em causa com o surgimento de dispositivos como os GrayKey - sendo que regularmente vão surgindo novas técnicas e até mensagens que podem infiltrar os equipamentos da Apple.

Se há coisas contra as quais nada podemos fazer, há outras que estão ao nosso alcance mudar, sendo que aqui seguem cinco estratégias que podem melhorar a segurança num iPhone.

1 - Utilizar uma VPN para navegar na internet de forma anónima e segura

Por esta altura já todos devem saber o que é uma VPN, que infelizmente se vai tornando cada vez mais obrigatória tanto a nível da segurança, como da privacidade, como também para escapar às crescentes tentativas de restrição dos conteúdos a que se pode aceder. Ao usar uma VPN passamos a aceder à internet através de um intermediário, tal como se estivéssemos noutro país e noutro endereço IP, com todas as comunicações entre o nosso iPhone e o servidor VPN a serem encriptadas - o que garante total segurança, mesmo que se esteja a utilizar uma rede WiFi pública "duvidosa".

Existem VPNs pagas e VPNs grátis, com mais ou menos funcionalidades. As pagas oferecem por norma mais funcionalidades, como maior número de países à escolha, melhores velocidades, etc. No iPhone podemos adicionar ligações VPN em "Definições -> Geral -> VPN -> Adicionar configuração VPN". As configurações serão dadas pelo fornecedor do serviço de VPN.

... Mas há mais coisas a fazer e que não dependem de serviços externos.

2 - Definir uma palavra-passe forte em vez do código PIN de 4 dígitos e activar o acesso em 2 passos para o Apple ID e para o iCloud

A Apple já passou a pedir um código PIN de 6 dígitos em vez do de 4 dígitos (que no entanto ainda pode ser utilizado se os utilizadores assim o quiserem), mas considerando que estes códigos de desbloqueio são de utilização cada vez mais rara por conta do Touch ID e Face ID, o ideal é mesmo optar pela utilização de uma password alfanumérica.

Em vez de um atacante ficar perante 10000 ou 1000000 opções numéricas, uma password forte de 10 ou 12 caracteres alfanuméricos, com símbolos, torna-se praticamente impossível de crackar (assumindo que não vão cair no erro de usar uma password do estilo "1234567890"). Para complicar mais a vida a potenciais atacantes, nada como recorrer à opção à "Missão Impossível", que elimina todos os dados no iPhone no caso de se errar a password 10 vezes seguidas.

Activar a autenticação 2 passos é outra das potencialidades de segurança da Apple que é fácil activar e evita acessos indevidos ao Apple ID e iCloud mesmo que a password seja comprometida. Quando se activa a verificação em 2 passos, associamos um ou mais dispositivos para receberem um código de 4 dígitos por SMS ou, preferencialmente, pelo serviço Find My Phone. Desta forma, quando se tentar aceder ao Apple ID, iCloud, iTunes, iBooks ou App Store, a partir de um novo dispositivo, será pedido esse código de confirmação adicional que é enviado para os equipamentos associados, para além da password.

3 - Desactivar notificações no ecrã, sincronização automática com o iCloud, cookies, AutoFill nos navegadores, acesso das apps aos contactos, ficheiros e dados privados.

Notificações no ecrã - Não há nada pior do que reforçar a segurança num iPhone, e depois deixar que informação potencialmente sensível (por exemplo, um código de autenticação recebido via SMS) seja exibido no ecrã sem qualquer segurança. Desactivar a apresentação de notificações com o ecrã bloqueado evitará essas situações.

Sincronização automática iCloud - Como ficou demonstrado no caso das fotos "privadas" das celebridades que foram roubadas, caso que ficou conhecido como fappening, a cloud nem sempre funciona a nosso favor. Quando se tem todos os dados, como fotos, contactos, mensagens, documentos, etc. sincronizados com o iCloud, estamos a multiplicar o factor de risco. Um atacante já não precisa de ter acesso físico ao nosso iPhone para ter acesso a todos os nossos dados... bastará que consiga entrar no nosso iCloud.

Cookies - Os cookies podem ter nascido com boas intenções, mas depressa foram abusados para seguirem os utilizadores e aquilo que fazem na internet. Hoje em dia é altamente recomendado restringir os cookies aos apenas necessários, para além de utilizar um adblocker que bloqueie anúncios intrusivos e conteúdos potencialmente maliciosos. Por vezes é através dos cookies que atacantes se conseguem apoderar dos tokens que lhes permitem aceder a serviços em nosso nome sem necessidade de terem as nossas passwords.

AutoFill nos browsers – Embora seja uma funcionalidade muito prática, a mesma conveniência que a torna prática para nós também poderá facilitar a vida a um atacante que se possa apoderar do nosso iPhone e nos obrigue a desbloqueá-lo. No caso de utilizarem um gestor de passwords, confirmar também que a sua utilização não é demasiado automática, e que exija sempre um passo de autenticação antes de preencher qualquer password num site ou app.

4 - Restringir acesso das apps aos contactos, ficheiros e dados privados

Não deverá ser necessário dizê-lo mas, nunca se devem dar permissões a apps que não sejam as estritamente necessárias (e mesmo assim... com alguma ponderação). Um jogo que queira aceder aos dados da nossa localização, ou lista de contactos, ou câmara, ou galeria de fotos, é algo que deverá ser imediatamente visto como sinal de alarme. Um salto ao ecrã das definições poderá revelar que acessos tem cada app, e será conveniente fazer uma inspecção de tempos a tempos, para limpar acessos que nos pareçam indevidos e que possam ter sido dados sem que se tivesse pensado muito no assunto.

5 - Ter cuidado redobrado com teclados não oficiais

Depois de muitos anos a Apple lá permitiu a instalação e utilização de teclados virtuais não oficiais no iOS, mas com isso chegam também novas preocupações. Embora a Apple faça os possíveis por garantir que não haja teclados maliciosos na App Store e o iOS imponha bastantes restrições aos teclados (por exemplo, não poderão comunicar com a internet a não ser que se dê essa permissão), muitos dos teclados apenas funcionarão como é suposto se lhes for dada essa permissão.
Com isso, tudo aquilo que escrevemos poderá estar a ser enviado para a internet, incluindo passwords, emails de contactos, etc. E, a não ser que se tenha total confiança de que esses dados serão tratados de forma completamente segura, será melhor mantermos-nos pelo teclado oficial que vem no iOS.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]