Há um problema que é transversal a todos os smartphones (e não só), se um ladrão descobrir a palavra-passe de acesso ao dispositivo, pode entrar no sistema e roubar muita informação, documentos e dinheiro. A Apple sabe que o iPhone, com a versão atual do iOS, tem essa vulnerabilidade… mas apenas quando alguém usa o PIN de 4 ou 6 dígitos em sítios “complicados”. E há criminosos com um esquema bem montado e lucrativo!
Sim, o iPhone é quase “blindado” a roubos convencionais de smartphones. Quem roubar um iPhone e não souber o código de acesso, seguramente que não vai ter como entrar no dispositivo. E ter acesso a este código, apesar de as pessoas usarem maioritariamente 4 ou 6 algarismos para uma combinação, só o fazem se o Face ID ou o Touch ID não funcionar.
Ora, começa aqui o buraco que vai ser usado pelos criminosos para “assaltar” as pessoas e os seus “segredos” escondidos no iPhone.
O PIN como um livre-trânsito para roubar o iPhone e tudo o que lá tem dentro
A história começou a ser badalada no início deste ano. Em março, o The Wall Street Journal escrevia sobre um golpe que consistia em observar as vítimas, que usam o seu iPhone descontraidamente, em locais onde as pessoas por vezes têm de digitar o código de desbloqueio do iPhone.
O jornal aponta exemplos, como os bares à noite e outros locais de diversão noturna. A vítima não dá conta, mas vai ser roubada.
Na reportagem, o jornal cita Greg Frasca, um americano de 46 anos que foi assaltado com este método. Depois de lhe roubarem o iPhone, os larápios bloquearam-lhe a conta Apple. Tudo aconteceu em outubro de 2022 e o homem não conseguiu reaver a sua conta. Segundo foi reportado, os ladrões roubaram-lhe o iPhone 14 Pro num bar de Chicago.
Após conseguirem o acesso ao iPhone e terem visto Greg a colocar o seu código de 6 dígitos, o passo seguinte foi entrar no equipamento. Depois limparam-lhe a conta bancária através do acesso pela app do banco. Posteriormente, ativaram o mecanismo de segurança da Apple que impede o legítimo dono de conseguir monitorizar o seu dispositivo através da app Find My (em Portugal chama-se Encontrar).
Para concretizar o golpe, o ladrão usou o conjunto de caracteres para configurar uma nova palavra-passe para o Apple ID, processo normal dos ladrões. Contudo, aqui neste caso houve uma novidade no processo.
O criminoso ativou a chave de recuperação, um código de 28 caracteres criado para garantir que só o portador do iPhone — neste caso, o ladrão, consiga recuperar o seu Apple ID.
Como ativar a chave de recuperação
O procedimento é simples (aprenda que pode ser útil para si):
- Aceda a Definições > [o seu nome] > Palavra-passe e segurança. Poderá ser necessário introduzir a palavra-passe do seu Apple ID.
- Toque em Recuperação de conta.
- Deslize para ativar a opção Chave de recuperação.
- Toque em “Usar chave de recuperação” e introduza o código do dispositivo.
- Anote a sua chave de recuperação e mantenha-a num local seguro.
- Confirme a chave de recuperação ao introduzi-la no ecrã seguinte.
Vejam em imagens passo a passo:
Este tipo de assalto começou também no Brasil a fazer escola. Aliás, deixamos na altura algumas dicas para o utilizador conseguir blindar o seu iPhone, como podem ver aqui. Contudo, estas dicas, para quem não segue o Pplware e não tem destreza para mexer nas muitas possibilidades do iOS, nunca serão ativadas.
A Apple sabe disso, e sabe da fragilidade do seu sistema de segurança que depende do PIN de 4 ou 6 dígitos que o utilizador configura no momento de iniciar o iPhone pela primeira vez.
iOS 17.3 vem resolver de vez este problema
Com o iOS 17.3, a Apple lança uma nova funcionalidade, a Proteção de Dispositivos Roubados, que visa proteger os utilizadores em caso de roubo do iPhone e do código de acesso do iPhone. Deixamos aqui a descrição da funcionalidade e um guia prático para que os nossos leitores possam usar.
Para mostrar que a Apple estava preocupada e com razão (pois o esquema que se falou no início do ano ainda estava bem lucrativo), a jornalista Joanna Stern do The Wall Street Journal voltou a atacar o assunto. Desta vez sentou-se com um ladrão de iPhone prolífico que aproveitou a vulnerabilidade do iOS para arrecadar mais de 20 mil dólares todos os fins de semana das vítimas.
O novo artigo do WSJ mostra uma visão de perto da vida de um criminoso que fez disto um trabalho a tempo inteiro.
Já estou a cumprir pena. Sinto que devo tentar estar do outro lado das coisas e tentar ajudar as pessoas. Esta senha é o diabo. Por vezes, pode ser Deus – ou pode ser o diabo.
Disse Aaron Johnson, o ladrão, à jornalista.
Locais onde o ladrão arma o golpe
Tem de haver um cenário perfeito, um conjunto de circunstâncias que levem as pessoas, utilizadores do iPhone, a não usar o Face ID. Por exemplo, sítios pouco iluminados e cheios de gente, como os bares, tornaram-se o seu local ideal.
Os homens em idade universitária tornaram-se o seu alvo ideal.
Eles já estão bêbados e não sabem o que está a acontecer de verdade.
Disse Johnson. As mulheres, segundo ele, tendem a ser mais cautelosas e atentas a comportamentos suspeitos.
O processo de Johnson envolveu também um pouco de engenharia social:
Amigável e enérgico, foi assim que as vítimas descreveram Johnson. Algumas disseram-me que ele as abordava oferecendo drogas. Outras disseram que Johnson lhes dizia que era um rapper e que as queria adicionar no Snapchat. Depois de conversarem um pouco, entregavam o telemóvel a Johnson, pensando que ele iria apenas introduzir os seus dados e devolvê-los.
Era tudo um esquema para detetar o código do dispositivo e depois era esperar pelo momento certo. Só faltava roubar o iPhone, o que não era difícil nestes ambientes.
Quando o ladrão conseguia o código de acesso e o iPhone, mudava rapidamente a palavra-passe do Apple ID e inscrevia o seu rosto no Face ID do dispositivo. A partir daí, procurava as aplicações bancárias, outras do tipo PayPal, o Apple Cash e aplicações de criptomoedas. Também verificava as aplicações Notas e Fotografias para obter informações adicionais, como números de segurança social.
Muitas pessoas guardam as palavras-passe e informações mais privadas e de uso frequente na aplicação Notas. Não está errado, mas devem sempre colocar essa nota com palavra-passe, de preferência diferente da que usam para entrar no telefone.
Quando terminava de usar o iPhone em questão, apagava-o e vendia-o ao seu sócio, Zhongshuang “Brandon” Su, que o vendia no estrangeiro.
Num bom fim de semana, vendia até 30 iPhones e iPads a Su e ganhava cerca de 20.000 dólares – sem contar com o dinheiro que retirava das aplicações bancárias das vítimas, do Apple Pay e muito mais.
Disse Johnson.
O larápio declarou-se culpado dos seus crimes e tinha já acumulado cerca de 300.000 dólares de iPhones roubados. O artista foi condenado a 94 meses de prisão.