Em julho de 2022, a Apple anunciou um novo recurso de proteção para seus dispositivos. Chamado de “Lockdown Mode“, ele restringe severamente a funcionalidade do seu smartphone, tablet ou laptop Apple. Seu objetivo é reduzir a taxa de sucesso dos ataques direcionados, aos quais políticos, ativistas e jornalistas, entre outros, são submetidos. O Lockdown Mode está programado para aparecer nas próximas versões do iOS 16 (para smartphones), iPadOS 16 (para tablets) e macOS 13 Ventura (para desktops e laptops).
Para usuários comuns, esse modo de operação provavelmente causará mais inconvenientes do que benefícios reais. Por esse motivo, a Apple o recomenda apenas a usuários cujas atividades signifiquem que eles provavelmente enfrentarão ataques direcionados. Neste post, analisamos os detalhes do Lockdown Mode, comparamos as novas restrições com os recursos de exploits conhecidos para smartphones da Apple e examinamos por que esse modo, embora útil, não é uma bala de prata.
Lockdown Mode em detalhes
Antes do final deste ano, com o lançamento das novas versões do iOS, seu smartphone ou tablet Apple (se for relativamente recente, ou seja, não anterior a 2018) terá o novo Lockdown Mode em suas configurações.
Após a ativação, o telefone será reiniciado e alguns recursos pequenos (mas, para algumas pessoas, vitais) pararão de funcionar. Por exemplo, os anexos do iMessage serão bloqueados e sites podem parar de funcionar corretamente no navegador. Será mais difícil entrar em contato com você para as pessoas com quem você não se comunicou antes. Todas essas restrições são um esforço para fechar os pontos de entrada mais comumente explorados pelos invasores.
Indo mais fundo, o Lockdown Mode apresenta as seguintes restrições no seu dispositivo Apple:
- Nos bate-papos do iMessage, você pode ver apenas texto e imagens enviados a você. Todos os outros anexos serão bloqueados.
- Algumas tecnologias serão desabilitadas nos navegadores, incluindo a compilação just-in-time.
- Todos os convites recebidos para comunicação através dos serviços da Apple serão bloqueados. Por exemplo, você não poderá fazer uma chamada do FaceTime se não tiver conversado anteriormente com o outro usuário.
- Se bloqueado, seu smartphone não interagirá de forma alguma com seu computador (ou outros dispositivos externos conectados por cabo).
- Não será possível instalar perfis de configuração ou registrar o telefone no Gerenciamento de Dispositivos Móveis (Mobile Device Management, MDM)
As três primeiras medidas visam a limitar os vetores de ataque remoto direcionados mais comuns em dispositivos Apple: uma iMessage infectada, um link para um site malicioso e uma chamada de vídeo recebida.
O quarto foi projetado para evitar que seu iPhone seja conectado, se deixado sem vigilância, a um computador e que qualquer informação valiosa seja roubada por meio de uma vulnerabilidade no protocolo de comunicação.
E a quinta restrição impossibilita a conexão de um smartphone no Lockdown Mode a um sistema Gerenciamento de Dispositivos Móveis (MDM). Normalmente, as empresas costumam usar o MDM para fins de segurança, como excluir informações em um telefone perdido. Mas esse recurso também pode ser usado para roubar dados, pois dá ao administrador do MDM amplo controle sobre o dispositivo.
Em suma, o Lockdown Mode parece uma boa ideia. Talvez devêssemos todos suportar algum transtorno para nos mantermos seguros?
Recursos versus bugs
Antes de abordar essa questão, vamos avaliar o quão radical é a solução da Apple. Se você pensar bem, é exatamente o oposto de todas as normas estabelecidas no setor. Normalmente, é assim: primeiro, um desenvolvedor cria um novo recurso, lança-o e depois luta para livrar o código de bugs. Com o Lockdown Mode, por outro lado, a Apple propõe abrir mão de alguns recursos existentes em prol de uma melhor proteção.
Um exemplo simples (e puramente teórico): suponha que o criador de um aplicativo de mensagens adicione a capacidade de trocar belos emojis animados e até mesmo criar o seu próprio. Depois, percebe-se que é possível criar um emoji que faça com que os dispositivos de todos os destinatários sejam reinicializados constantemente. Nem um pouco legal.
Para evitar isso, o recurso deveria ter sido descartado ou ter mais tempo gasto na análise de vulnerabilidades. Mas era mais importante lançar e rentabilizar o produto o mais rápido possível. Nessa luta de bastidores entre segurança e conveniência, a última sempre venceu. Até agora — pois o novo modo da Apple coloca a segurança à frente de tudo. Só tem uma palavra para descrevê-lo: ótimo.
Isso significa que os iPhones sem o Lockdown Mode não são seguros?
Os dispositivos móveis da Apple já são bastante seguros, o que é importante no contexto deste anúncio. Roubar dados de um iPhone não é fácil, e a Apple está se esforçando para que siga sendo assim.
Por exemplo, suas informações biométricas para desbloquear seu telefone são armazenadas apenas no dispositivo e não são enviadas ao servidor. Os dados armazenados no telefone são criptografados. Seu PIN para desbloquear o telefone não pode ser feito com força bruta: após algumas tentativas erradas, o dispositivo é bloqueado. Os aplicativos de smartphone são executados isolados uns dos outros e não podem, de modo geral, acessar dados armazenados por outros aplicativos. Hackear um iPhone está ficando mais difícil a cada ano. Para a maioria dos usuários, esse nível de segurança é mais que suficiente.
Então, por que adicionar ainda mais proteção?
A questão diz respeito a um número bastante pequeno de usuários cujos dados são tão valiosos que aqueles que os desejam estão preparados para fazer esforços extraordinários para obtê-los. Esforços extraordinários neste contexto significa gastar muito tempo e dinheiro no desenvolvimento de exploits complexos capazes de contornar sistemas de proteção conhecidos. Esses ataques cibernéticos sofisticados ameaçam apenas algumas dezenas de milhares de pessoas em todo o mundo.
Esta estimativa aproximada é conhecida por nós do Projeto Pegasus. Em 2020, vazou uma lista de cerca de 50.000 nomes e números de telefone de indivíduos que supostamente foram (ou poderiam ter sido) atacados usando um spyware desenvolvido pelo NSO Group. Esta empresa israelense tem sido criticada há muito tempo por seu desenvolvimento “legal” de ferramentas de hacking para clientes, que incluem muitas agências de inteligência em todo o mundo.
O próprio NSO Group negou qualquer ligação entre suas soluções e a lista de alvos vazada, mas depois surgiram evidências de que ativistas, jornalistas e políticos (até chefes de estado e de governo) realmente foram atacados usando as tecnologias da empresa. Desenvolver exploits, mesmo legalmente, é um negócio desonesto que pode resultar no vazamento de métodos de ataque extremamente perigosos, que qualquer um pode usar.
Quão sofisticados são os exploits para iOS?
A complexidade desses exploits pode ser avaliada observando um ataque zero-click que a equipe do Project Zero do Google investigou no final do ano passado. Normalmente, a vítima precisa pelo menos clicar em um link para ativar o malware do invasor, mas “zero-click” significa que nenhuma ação do usuário é necessária para comprometer o dispositivo alvo.
Particularmente no caso descrito pelo Project Zero, basta enviar uma mensagem maliciosa para a vítima no iMessage, que na maioria dos iPhones está habilitado por padrão e substitui as mensagens de texto normais. Em outras palavras, é suficiente para um invasor saber o número de telefone da vítima e enviar uma mensagem, após o que eles ganham controle remoto sobre o dispositivo alvo.
O exploit é muito complicado. No iMessage, a vítima recebe um arquivo com a extensão GIF, que na verdade não é um GIF, mas um PDF compactado usando um certo algoritmo que era bastante popular no início dos anos 2000. O telefone da vítima tenta mostrar uma prévia deste documento. Na maioria dos casos, o próprio código da Apple é usado para isso, mas para essa compactação específica, é empregado um programa de terceiros. E nele, uma vulnerabilidade foi encontrada — um erro de estouro de buffer não particularmente notável. Para simplificar ao máximo, construído em torno dessa vulnerabilidade menor está um sistema computacional separado e independente, que, em última análise, executa código malicioso.
Em outras palavras, o ataque explora várias falhas não óbvias no sistema, cada uma das quais parece insignificante isoladamente. No entanto, se eles estiverem unidos em uma cadeia, o resultado final é a infecção do iPhone por meio de uma única mensagem, sem a necessidade de cliques do usuário.
Isso, francamente, não é algo que um hacker adolescente possa acidentalmente encontrar. E nem mesmo o que uma equipe regular de criadores de malware pode criar: eles geralmente buscam uma rota muito mais direta para a monetização. Uma exploração tão sofisticada deve ter exigido muitos milhares de horas e muitos milhões de dólares para ser criada.
Mas vamos lembrar de um recurso importante do Lockdown Mode mencionado acima: quase todos os anexos são bloqueados. Isso é precisamente para tornar os ataques zero-click muito mais difíceis de realizar, mesmo que o código do iOS contenha o bug correspondente.
Os recursos restantes do Lockdown Mode estão lá para fechar outros “pontos de entrada” comuns para ataques direcionados: navegador da web, conexão com fio a um computador, chamadas FaceTime recebidas. Para esses vetores de ataque, já existem alguns exploits, embora não necessariamente em produtos da Apple.
Quais são as chances de um ataque tão elaborado ser implantado contra você pessoalmente se você não estiver no radar dos serviços de inteligência? Praticamente zero, a menos que você seja atingido por acidente. Portanto, para o usuário médio, usar o Lockdown Mode não faz muito sentido. Há pouco sentido em tornar seu telefone ou laptop menos utilizável em troca de uma ligeira diminuição nas chances de estar no alvo de um ataque bem-sucedido.
Não apenas pelo lockdown
Por outro lado, para aqueles que estão no círculo de potenciais alvos do Pegasus e spywares semelhantes, o novo modo de bloqueio da Apple é certamente um desenvolvimento positivo, mas não uma bala de prata.
Além do (e, até seu lançamento, em vez do) Lockdown Mode, nossos especialistas têm algumas outras recomendações. Tenha em mente que se trata de uma situação em que alguém muito poderoso e muito determinado esteja caçando seus dados. Aqui estão algumas dicas:
- Reinicie seu smartphone diariamente. Criar um exploit do iPhone já é difícil, torná-lo resistente a uma reinicialização é muito mais. Desligar o telefone regularmente fornecerá um pouco mais de proteção.
- Desative completamente o iMessage. É improvável que a Apple recomende isso, mas você pode fazer isso sozinho. Por que apenas reduzir as chances de um ataque do iMessage quando você pode eliminar toda a ameaça de uma só vez?
- Não abra links. Neste caso, nem importa quem os enviou. Se você realmente precisar abrir um link, use um computador separado e de preferência o navegador Tor, que oculta seus dados.
- Se possível, use uma VPN para mascarar seu tráfego. Novamente, isso tornará mais difícil determinar sua localização e coletar dados sobre seu dispositivo para um ataque futuro.
Para mais dicas, veja a postagem de Costin Raiu: “Proteja seu smartphone do Pegasus e outros malwares mobile“.