Apple e Google reforçam segurança de smartphones contra hackers e governos

Por: SentiLecto

O Google e a Apple fazem mudanças regulares no Android e no iOS para melhorar a integridade do hardware rodando esses sistemas operacionais, reduzindo as possibilidades de que uma parte não autorizada tenha acesso aos dados armazenados nos equipamentos. Duas mudanças recentes, uma em beta e outra em um novo aparelho, aumentam as proteções contra criminosos, companhias e governos que tenham encontrado formas ou possam forçar meios de burlar as proteções dos produtos.

Google e a falta de confiança

A Apple e o Google utilizam componentes seguros em seus aparelhos para armazenar dados críticos de modo a evitar a extração deles e impedir falsificação física. No caso da Apple, isso vale para todos os aparelhos iOS contemporâneos; para o Google, isso atualmente só é válido para o Pixel 2 – mas o Android P vai permitir que outras fabricantes também incorporem essa funcionalidade aos seus aparelhos.

O módulo seguro armazena elementos como números de cartão de crédito para pagamento, e as qualidades derivadas de impressões digitais utilizadas para validar a acesso aa smartphone. A Apple chama o seu módulo de Secure Enclave, enquanto que o Google ainda não tem um termo definido para o seu recurso.

Com o Pixel 2, o Google somou recentemente uma medida para proteger usuários contra uma ameaça potencial e expressiva que podia levar aa assalto de dados criptográficos críticos que a gigante guarda sob segurança rígida.

Assim como a Apple e outras fabricantes, o Google tem chaves criptográficas de acesso que utiliza para fornecer uma camada de validação em torno dos updates de programa e firmware para os seus aparelhos. Não há uma forma efetiva de forjar uma assinatura válida sem essas chaves. Mas se alguém conseguisse obter essas chaves, uma parte não autorizada poderia instituir programa e firmware que seriam aceitos como válidos por um equipamento. Esses updates poderiam vir a corromper o hardware e fazer com que o aparelho mandasse dados para outras partes ou permitir que elas tivessem acesso às informações armazenadas e que não dteriam que estardisponíveis.

De longe, o Fitbit Ace parece como o Fitbit Alta em duas novas cores – Power Purple e Electric Blue – mas ele encarna, na verdade, uma direção totalmente nova para a empresa. Assim como o Altra HD, o Fitbit Ace também é preso com uma fivela, então os pais não vão precisar se inquietar bastante com o aparelho caindo no chão. Ele também tem um nível de resistência à água para proteção contra banhos e respingos . Ainda que o Ace não conta com um monitor de batimentos cardíacos, que está presente no Alta HR, vale notar.

Na segunda-feira 04 de junho a Apple havia publicado na últimum update para o seu sistema macOS High Sierra, impulsionando o programa para a versão 10.13.5 e começando a contagem para concluir o apoio do macOS El Capitan, arremessado em 2015.

Quando o FBI exigiu, isso evitaria uma situação como a que ocorreu durante a inquérito do ataque terrorista de 2015 em San Bernardino, na Califórnia que a Apple instituísse uma versão especial do iOS que a agência pudesse instalar em um iPhone bloqueado que pertencia a um dos atiradores. Essa versão especial do sistema permitiria que a polícia burlasse as proteções e a demora em ficar tentando adivinhar senhas. Se essa habilidade foi retirada pela companhia desde então, não está claro pelo guia de segurança e pelas declarações públicas da Apple.

O Google disse preocupação com o assunto em um post recente no seu blog em que descreve a nova mitigação ao realçar que poucos funcionários que têm o talento de acessar as chaves poderiam estar “abertos a ataques por coerção ou engenharia social”. O post não indica envolvimento do governo.

Uma vez que deixa todos os usuários Android, obter as chaves de acesso é bastante mais expressivo do que ter um ou alguns smartphones desbloqueados incluindo aqueles que não estão envolvidos em atividades criminosas e suspeitas, expostos à análise e ariscos.

Com o Pixel 2, o módulo de segurança em que o smartphone se baseia para validar uma senha do usuário não pode ter seu firmware atualizado sem a digitação correta da senha do usuário – mesmo com um update de firmware corretamente assinado. Anteriormente, o Google confiava que era a única parte que poderia exibi uma coisa assim; agora, não confia nem mais em si próprio.

Pelo lado da Apple, a empresa adotou um recurso que poderia impedir a utilização de aparelhos de “crack” de smartphones baseadas em USB, como o GrayKey. Conforme publicado anteriormente, a companhia Grayshift disponibiliza esse equipamento para agências e autoridades do governo, sem garantia exigida, para acessar iPhones bloqueados com PINs relativamente curtos. A companhia se baseia em uma abordagem desconhecida que consegue burlar o bloqueio tradicional da Apple contra tentativas excessivas de digitação de senha.

A partir dos betas do iOS 11.3, a Apple incluiu uma alternativa nas configurações Touch ID/Face ID & Passcode chamada de USB Restricted Mode, segundo o site Motherboard, da Vice. essa função exige o desbloqueio de o smartphone quando a um acessório-periférico USB pela entrada Lightning após um determinado fase, se o conecta quando habilitada. Se o diminuiu a Motherboard nota que esse tempo era de uma semana em versões anteriores e para uma hora em a edição mais recente. O recurso ainda não chegou ao iOS 11.3 ou ao iOS 11.4, mas pode ser encontrado no beta do iOS 11.4.1 e do iOS 12, onde está habilitado por norma.

Isso significa que qualquer agente ou parte deveria conectar o smartphone ou tablet em questão a um aparelho para “quebrar” a senha em até uma hora. Depois desse tempo, o conector Lightning seria desabilitado até que o equipamento iOS fosse desbloqueado novamente.

O CEO do Sudo Security Group acredita que essa mudança “tem mérito”. O CEO do Sudo Security Group é will Strafach. Ele realça que essa espécie de limitação de dados mitiga uma variedade de ameaças, incluindo aquelas que miram desenvolvedores que habilitaram serviços complementares. O expert explica: “Um serviço de sistema vulnerável não poderia ser acessado por nenhum oponente com acesso físico ao aparelho”.

Protegendo os usuários com medidas de integridade

É plausível que o Google e a Apple emprestem coisas uma da outra, como já fazem com muitos recursos, e somem essas alternativas aos seus sistemas operacionais com o tempo. A busca do Google por um módulo de hardware de segurança parece atrasada, mas o ecossistema Android não permite que a companhia determine bastante entre seus parceiros.

Além disso, o Ace busca promover uma vida mais saudável ao focar em três áreas principais: rastreamento de passos, minutos ativos, e sono.

Sua mera existência significa que criminosos podem desenvolver esse mesmo, apesar de o exploit via USB para iOS só ter sido relatado pelas mãos de uma companhia que vende acesso para o que chama de objetivos governamentais lícitos, a hardware.

Essas medidas parecem ter sido desenvolvidas para frustrar governos – independente se comportar-se em causa lícita à constituição ou não. E elas certamente irão provocar frustração. Mas isso é claramente intencional, com base nas ações e declarações anteriores das companhias. Com mais de 3 bilhões de aparelhos ativos nas plataformas ao redor do mundo, qualquer buraco de segurança que possa afetar os usuários em massa deve ser corrigido.

Fonte: Idgnow-pt

Sentiment score: POSITIVE

Countries: United States

Cities: San Bernardino

A história desta notícia a partir de notícias prévias:
>Apple e Google reforçam segurança de smartphones contra hackers e governos
>>>>>Nova pulseira da Fitbit quer que crianças deixem smartphones de lado – June 11, 2018 (Idgnow-pt)

Entidades mais mencionadas e sua valorização na notícia:

Id Entity Positive Negative Named-Entity Total occurrences Occurrences (appearances)
1 Google 130 0 ORGANIZATION 8 o Google: 5, O Google: 1, (tacit) ele/ela (referent: o Google): 1, (tacit) ele/ela (referent: O Google): 1
2 eu 3 2 NONE 7 (tacit) eu: 7
3 companhia 0 0 NONE 6 uma empresa: 1, a companhia: 2, a empresa: 2, A empresa: 1
4 ios 0 0 NONE 6 o iOS: 4, iOS: 2
5 Apple 0 0 ORGANIZATION 5 a Apple: 4, A Apple: 1
6 acesso 0 0 NONE 5 acesso físico: 1, acesso: 4
7 aparelhos 110 0 NONE 4 aparelhos ativos: 1, seus aparelhos: 2, todos os aparelhos iOS modernos: 1
8 recurso 0 0 NONE 4 seu recurso: 1, um recurso: 2, O recurso: 1
9 Fitbit Ace 0 80 ORGANIZATION 3 ele (referent: o Fitbit_Ace): 1, o Fitbit_Ace: 2
10 Motherboard 0 0 PERSON 3 o site Motherboard de a Vice: 1, (tacit) ele (referent: o site Motherboard de a Vice): 1, ele (referent: o site Motherboard de a Vice): 1