Apple adiciona mecanismo de prevenção a phishing na autenticação de dois fatores

Apple adiciona mecanismo de prevenção a phishing na autenticação de dois fatores

Por Alveni Lisboa | Editado por Douglas Ciriaco | 02 de Fevereiro de 2022 às 12h15

A Apple adicionou um mecanismo de proteção para detectar e prevenir ataques de phishing no recurso de preenchimento automático de autenticação de dois fatores (2FA). O sistema recebe um código via SMS e preenche automaticamente o campo correspondente para facilitar a vida do usuário, mas era explorado por criminosos para ter acesso não autorizado a contas.

A mudança introduzida pela Maçã evita que os dados copiados sejam vazados em um possível ataque de phishing e deve afetar usuários no iOS 15, iPadOS 15 e macOS 11 Big Sur. A criadora do iPhone propôs uma alteração no conteúdo das mensagens de texto com códigos que chegam aos telefones no ano passado justamente para isso. Veja a diferença:

Com o domínio listado, o sistema da Apple consegue checar se o site é verdadeiro (Imagem: Reprodução/MacWorld)
  • Novo: Seu Código do Apple ID é: 123456. Não compartilhe com ninguém. @apple.com #123456 %apple.com
  • Antigo: Seu Código do Apple ID é: 123456. Não compartilhe com ninguém.

No modelo de mensagem da Apple, o SMS precisa conter o domínio correto do site, a repetição do código e um elemento HTML incorporado. Dessa forma, o sistema de proteção faz uma varredura nestes três itens para decidir se fará o preenchimento do campo. Quando não há a correspondência, o mecanismo barra a automação e deixa nas mãos do usuário a decisão de inserir o código.

Cuidado ao digitar códigos em sites

Embora não seja uma solução definitiva para acabar com o phishing, a ideia pode impedir algumas tentativas menos sofisticadas. Para a proposta funcionar plenamente será preciso que os sites da web adotem esse novo formato de SMS sugerido pela gigante de Cupertino, o que ainda é incerto.

A recomendação, seja no iOS, seja no Android, é optar sempre pela opção de usar a autenticação de dois fatores por meio de um gerador de código, em vez de SMS. Há diversas aplicações, como o Google Autenticador, que fornecem mais segurança do que as mensagens de texto. Se você já está no iOS 15, nem precisa de aplicativo 2FA de terceiros: o Keychain é integrado ao sistema e tem suporte total.

O recurso de preenchimento automático de autenticação de dois fatores já existe há um bom tempo na Apple. Isso poupa o usuário de ter que abrir o aplicativo Mensagens, copiar o código e colá-lo no local correspondente. O Apple Keychain chegou à versão mais recente do iOS para entregar uma solução mais efetiva, porém páginas mais antigas ainda não migraram para os códigos aleatórios, por isso ainda dependem do envio de SMS com a sequência numérica.

Fonte: MacWorld  

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.