Vídeo: 3 Ajustes do iPhone que Você NÃO Deve Fazer! | Marília Guimarães (Novembro 2024)
A Apple corrigiu recentemente um dos piores bugs de segurança já descobertos no iOS, o que permitia que um chamador do FaceTime ouvisse o que as pessoas estavam dizendo antes de responderem à chamada. Então, o que deu errado e podemos evitar outro desastre semelhante?
A Apple não disponibiliza publicamente o código fonte de seus sistemas operacionais e aplicativos. Somente os engenheiros, desenvolvedores e a equipe de garantia de qualidade da empresa testam e corrigem erros em seus aplicativos. E a Apple exige que seus funcionários assinem acordos rigorosos de não divulgação sobre seus produtos. Essa abordagem de jardim murado significa que devemos confiar na Apple para fornecer produtos seguros.
Dito isto, a Apple tem um dos processos de desenvolvimento de software mais robustos do mercado. Sua reputação é apoiada por mais de quatro décadas de fornecimento de aplicativos e produtos seguros e confiáveis. De vez em quando, porém, as falhas de segurança por meio da obscuridade - dependendo do sigilo para garantir a segurança - acontecem. O bug do FaceTime foi um exemplo.
Comparado aos bugs de segurança complicados que exigem recursos e conhecimentos para descobrir e explorar, o bug do FaceTime era trivial. Na verdade, foi descoberto por um garoto de 14 anos que estava jogando Fortnite com seus amigos.
Mas isso levanta uma questão: como uma empresa com a integridade da Apple poderia perder uma falha tão óbvia em um de seus aplicativos mais usados? Foi intencionalmente causado por um funcionário descontente que queria vingança? Era um backdoor implantado pelo governo? Foi um erro honesto, um em um milhão, que poderia ter escapado às defesas até da empresa mais confiável?
É difícil responder a essa pergunta de forma independente. Temos que confiar em qualquer informação que a Apple nos der. E até agora, a Apple não disse muito, exceto que corrigiu a falha no iOS 12.1.4 e recompensará o adolescente do Arizona que primeiro relatou a falha.
Provavelmente também nunca saberemos quando a exploração começou. Segundo relatos, o bug foi aplicado a todos os dispositivos com iOS 12.1 ou posterior. Lançado em 30 de outubro de 2018, o iOS 12.1 adicionou o Group FaceTime, o recurso que continha o bug de espionagem. Mas é difícil imaginar que um bug em aberto em centenas de milhões de dispositivos permaneça desconhecido por vários meses. Talvez o bug tenha sido introduzido mais recentemente, quando a equipe de desenvolvimento da Apple fez atualizações no software do servidor do FaceTime. Novamente, não saberemos a menos que a Apple nos diga.
Por outro lado, muitas organizações têm uma política de código aberto, liberando o código fonte completo de seus aplicativos em plataformas como o GitHub e disponibilizando-o para qualquer um revisar. Especialistas e desenvolvedores independentes podem verificar a segurança do aplicativo.
A prática tornou-se cada vez mais popular nos últimos anos e até atraiu alguns participantes historicamente de boca fechada.
- iOS 12.1 corrige o problema de selfie de pele lisa do iPhone iOS 12.1 corrige o problema de selfie de pele lisa do iPhone
- Pronto para o bate-papo por vídeo? Como agrupar o FaceTime pronto para o bate-papo por vídeo? Como agrupar o FaceTime
- Atualização iOS mais recente da Apple corrige um bug assustador do FaceTime Atualização mais recente da Apple para iOS corrige um bug assustador do FaceTime
Um ótimo exemplo de transparência é o aplicativo de mensagens seguras Signal. A Open Whisper Systems, empresa que desenvolve o Signal, publicou o código fonte de todas as versões de seu aplicativo no GitHub. Todo o histórico do código-fonte do aplicativo, seus colaboradores e as alterações feitas no aplicativo são visíveis para todos. O código fonte da Signal foi revisado por centenas de especialistas e obteve a aprovação de líderes do setor, como Bruce Schneier, Edward Snowden e Matt Green.
Isso significa que aplicativos de código aberto não têm falhas de segurança? Longe disso. Aplicativos com centenas de milhares de linhas de código são criações complexas e difíceis de proteger, não importa quantos olhos revisem o código.
De fato, o Signal produziu alguns erros desagradáveis, incluindo um que permitiria que hackers roubassem suas conversas em texto simples. Mas, ao contrário dos aplicativos de código fechado, como o FaceTime, qualquer pessoa pode rastrear facilmente a fonte e os motivos de falhas em aplicativos como o Signal, bem como quando eles se originaram e qual alteração de código ou novo recurso os causou. Mas no caso do bug do FaceTime, teremos que especular.
Transparência estabelece confiança. A obscuridade a destrói.