É comum que muitas pessoas pensem: "é um iPhone, então estou seguro." De fato, o controle rigoroso da Apple sobre seus dispositivos e o ecossistema de aplicativos tem, historicamente, dificultado a ação de cibercriminosos, graças à sua abordagem conhecida como "jardim murado". A Apple também incorpora diversos recursos de segurança integrados, como criptografia avançada e a "conteinerização", que ajuda a evitar vazamentos de dados e limita a propagação de malwares entre aplicativos. Além disso, funcionalidades como logins com chave de acesso e várias configurações de privacidade ativadas por padrão reforçam ainda mais essa proteção.

O fato dos aplicativos para iOS serem, em sua maioria, distribuídos exclusivamente pela App Store - e precisarem passar por uma rigorosa análise antes da aprovação - tem poupado muitos usuários de dores de cabeça relacionadas à segurança e privacidade ao longo dos anos. No entanto, isso não significa que os riscos estejam completamente eliminados. Golpes e outras ameaças digitais continuam afetando usuários de iPhone, ainda que em menor escala do que no Android. Algumas ameaças são mais frequentes do que outras, mas todas merecem atenção e cuidados preventivos.

Enquanto isso, a nova legislação europeia conhecida como Lei dos Mercados Digitais (Digital Markets Act, ou DMA), criada para combater práticas monopolistas, busca garantir condições mais justas ao permitir que usuários do iOS utilizem lojas de aplicativos alternativas. Essa mudança histórica impõe novos desafios à Apple na proteção de seus usuários e pode ter implicações diretas para quem utiliza iPhones. Com a abertura para outras lojas, será necessário redobrar a atenção diante de possíveis ameaças à segurança. É razoável esperar que cibercriminosos tentem explorar essa nova brecha para fins maliciosos.

Para se adequar à Lei dos Mercados Digitais (na Europa), a Apple precisará permitir:

  • Que desenvolvedores ofereçam apps para iOS por meio de lojas alternativas à App Store. Isso pode aumentar o risco dos usuários baixarem aplicativos maliciosos. Mesmo aplicativos legítimos podem não ser atualizados com a mesma frequência que os disponíveis na loja oficial;
  • O uso de mecanismos de navegação de terceiros, que podem apresentar novas vulnerabilidades que o mecanismo WebKit da Apple não possui;
  • Que fabricantes de dispositivos e desenvolvedores de apps de terceiros tenham acesso a recursos de conectividade do iOS, como conexão Wi-Fi ponto a ponto e emparelhamento de dispositivos. A Apple alerta que isso pode obrigá-la a enviar dados sensíveis dos usuários, como notificações com mensagens pessoais, detalhes de redes Wi-Fi e códigos de uso único, a esses desenvolvedores, que teoricamente poderiam usar essas informações para rastrear os usuários.

Onde mais podem estar as ameaças no iOS?

Embora essas mudanças possam afetar "apenas" os cidadãos da União Europeia, há outras preocupações e possivelmente mais imediatas para usuários de iOS no mundo todo. Entre elas:

Dispositivos com jailbreak

Se você deliberadamente desbloquear seu dispositivo para permitir modificações não autorizadas, conforme a Apple define, isso pode violar o Contrato de Licença de Software e desativar recursos de segurança integrados, como o Secure Boot e a Prevenção de Execução de Dados. Além disso, seu aparelho deixará de receber atualizações automáticas. E, ao permitir o download de aplicativos fora da App Store, você se expõe a softwares maliciosos e/ou com falhas.

Aplicativos maliciosos

Embora a Apple faça um bom trabalho ao revisar os aplicativos, nem sempre acerta 100%. Alguns apps maliciosos detectados recentemente na App Store incluem:

Downloads de aplicativos via sites

Também é fundamental ter cautela ao baixar aplicativos para iOS diretamente de sites por meio de navegadores compatíveis. Conforme apontado no mais recente ESET Threat Report, os Progressive Web Apps (PWAs) permitem a instalação direta de aplicativos sem que o usuário precise conceder permissões explícitas, o que pode fazer com que esses downloads passem despercebidos. A ESET identificou o uso dessa técnica por cibercriminosos para disfarçar malwares bancários como se fossem aplicativos legítimos de instituições financeiras, expondo os usuários a riscos significativos.

Phishing e engenharia social

Ataques de phishing por e-mail, SMS (ou iMessage) e até por voz são bastante comuns. Eles se passam por marcas legítimas e induzem você a fornecer credenciais ou clicar em links maliciosos/abrir anexos que acionam o download de malware. Os IDs da Apple estão entre os logins mais visados, pois dão acesso a todos os dados armazenados no iCloud e/ou permitem que os cibercriminosos façam compras na iTunes/App Store. Fique atento a:

  • Pop-ups falsos alegando que seu dispositivo tem um problema de segurança;
  • Ligações telefônicas ou chamadas via FaceTime fingindo ser do Suporte da Apple ou de organizações parceiras;
  • Promoções falsas com sorteios e brindes;
  • Convites de calendário com links de phishing.
Scam website iOS
Site de golpe solicitando que o usuário se inscreva em eventos de calendário no iOS (Para mais detalhes, confira essa pesquisa da ESET).

Em uma campanha altamente sofisticada, cibercriminosos usaram técnicas de engenharia social para enganar os usuários e levá-los a baixar um perfil de gerenciamento de dispositivos móveis (MDM), concedendo-lhes controle sobre os dispositivos das vítimas. Com isso, implantaram o malware GoldPickaxe, projetado para coletar dados biométricos faciais e usá-los para contornar logins bancários.

Riscos do Wi-Fi público

Se você conecta seu iPhone a redes Wi-Fi públicas, é importante redobrar a atenção. Cibercriminosos podem criar pontos de acesso falsos com nomes semelhantes aos de redes legítimas, com o objetivo de interceptar o tráfego e roubar dados sensíveis, como senhas bancárias. Mesmo quando o ponto de acesso é legítimo, muitos não oferecem criptografia adequada. Isso significa que, com as ferramentas certas, hackers podem visualizar os sites acessados e até capturar credenciais inseridas durante a navegação.

É nesse cenário que o uso de uma VPN se torna essencial. Ela cria um túnel criptografado entre o seu dispositivo e a internet.

Vulnerabilidades

Embora a Apple invista consideráveis recursos para manter seu código seguro e livre de falhas, vulnerabilidades podem surgir ocasionalmente. Quando isso acontece, cibercriminosos podem agir rapidamente para explorá-las, especialmente se os usuários demorarem a instalar as atualizações de segurança. Em alguns casos, basta o clique em um link malicioso enviado por mensagem para que uma brecha seja ativada e o dispositivo comprometido.

No ano passado, a Apple foi forçada a corrigir uma vulnerabilidade que poderia permitir que cibercriminosos roubassem informações de um dispositivo bloqueado por meio de comandos de voz da Siri.

Às vezes, os próprios cibercriminosos e empresas comerciais pesquisam novas vulnerabilidades (zero-day) para explorar. Embora raros e altamente direcionados, os ataques que utilizam essas falhas são frequentemente usados para instalar spyware de forma silenciosa e espionar os dispositivos das vítimas.

Como se manter seguro contra ameaças no iOS

Pode parecer que há malware à espreita em cada canto para os usuários de iOS. Isso pode ser verdade até certo ponto, mas também há muitas ações que você pode tomar para minimizar sua exposição a ameaças. Aqui estão algumas das principais táticas:

  • Mantenha seu iOS e todos os aplicativos atualizados. Isso reduzirá a janela de oportunidade para que os cibercriminosos explorem vulnerabilidades em versões antigas para atingir seus objetivos.
  • Use senhas fortes e únicas para todas as contas.
  • Ative o Face ID ou o Touch ID para acessar seu dispositivo, com um código de segurança forte. Isso manterá seu iPhone seguro no caso de perda ou roubo.
  • Não faça jailbreak no seu dispositivo, pelas razões listadas acima. Isso provavelmente tornará seu iPhone menos seguro.
  • Esteja atento a phishing. Isso significa tratar com extrema cautela ligações, mensagens de texto, e-mails e mensagens nas redes sociais não solicitadas. Evite clicar em links ou abrir anexos suspeitos. Se precisar realmente fazer isso, verifique com o remetente separadamente se a mensagem é legítima (ou seja, não respondendo aos detalhes listados na mensagem). Fique atento a sinais de engenharia social, como:
    • Erros gramaticais e ortográficos;
    • Urgência para agir;
    • Ofertas especiais, brindes e promoções que parecem boas demais para ser verdade;
    • Domínios de remetente que não correspondem ao remetente suposto.
  • Evite usar redes Wi-Fi públicas sempre que possível. Se for inevitável, utilize uma VPN para proteger seus dados. E, em qualquer caso, evite acessar contas sensíveis ou inserir informações pessoais, como senhas e dados bancários, enquanto estiver conectado a esse tipo de rede.
  • Tente ficar na App Store para fazer downloads, para minimizar o risco de baixar algo malicioso ou arriscado.
  • Se suspeitar que está sendo alvo de spyware (uma ameaça frequentemente utilizada por governos e regimes opressores contra jornalistas, ativistas e dissidentes) ative o Modo de Isolamento do iPhone para aumentar a proteção do seu dispositivo.
  • Fique atento aos sinais de infecção por malware, que podem incluir:
    • Desempenho lento;
    • Pop-ups de anúncios indesejados;
    • Superaquecimento;
    • Falhas frequentes no dispositivo/app;
    • Novos aplicativos aparecendo na tela inicial;
    • Aumento no uso de dados.

O iPhone da Apple continua sendo um dos dispositivos mais seguros disponíveis. Mas eles não são uma solução mágica para todas as ameaças. Fique alerta e seguro.