A segurança dos nossos dados é algo que tomamos como garantida mediante certas condições. Por exemplo, ao introduzirmos códigos de acesso no nosso telefone ficamos com a falsa sensação de que não conseguem aceder ao equipamento.
Segundo a demonstração que podem ver no vídeo abaixo, em 6 minutos e com acesso ao equipamento, qualquer pessoa mal intencionada consegue aceder a dados bem mais críticos que a simples possibilidade de fazer chamadas.
Esta demonstração foi apresentada por uma equipa de investigadores do Fraunhofer Institute Secure Information Technology (Fraunhofer SIT) e demonstra uma grave fragilidade no sistema de gestão de passwords da Apple. Os dados a que é possível aceder são tão variados como os de acesso ao Gmail, quando este está configurado como conta de Exchange, outras contas corporativas de Exchange, contas LDAP, acessos VPN, acessos Wifi ou passwords de aplicações.
O processo de acesso aos dados é relativamente simples. Em primeiro lugar é feito um simples jailbreak e instalado um servidor de SSH. Uma vez com acesso ao sistema de ficheiros do iPhone é copiado e executado um script que acede aos dados e os transfere para fora do telefone. Todas as funções usadas nesse script estão acessíveis dentro do IOS e são de fácil acesso.
Naturalmente que existe uma forma simples de estar protegido e de evitar cair numa situação em que os nossos dados sejam comprometidos. O serviço/aplicação Find my iPhone da Apple permite que façam uma limpeza ao vosso iPhone remotamente quando este deixar de estar sob o vosso controlo.
Em declarações prestadas pelos investigadores, este processo é extremamente simples e pode ser realizado em poucos minutos. Depois de terem acesso ao equipamento as possibilidades de acessos aos dados são muito grandes e os dados a que é dado acesso são críticos.
As soon as attackers are in the possession of an iPhone or iPad and have removed the device’s SIM card, they can get a hold of e-mail passwords and access codes to corporate VPNs and WLANs as well
Control of an e-mail account allows the attacker to acquire even more additional passwords: For many web services such as social networks the attacker only has to request a password reset.
Revejam os vossos conceitos de segurança e lembrem-se que não é um simples código que vai impedir o acesso aos vossos dados. Esta é uma falha que a Apple terá de resolver em versões futuras do IOS. É uma falha grave e que coloca em causa os dados dos utilizadores.