Cuidado com atalhos maliciosos

Você deve ter cuidado extra com os atalhos que baixa, porque alguns desses scripts de automação do iOS foram criados por pessoas mal-intencionadas para fins maliciosos.

Caso em questão: o desenvolvedor do Codea, Simeon, encontrou um atalho malicioso disfarçado para parecer ao usuário um inocente otimizador e limpador de RAM (via iGen.fr).

Na realidade, ele coleta dados pessoais como contatos, endereços, arquivos no seu dispositivo e o que não. Este material é arquivado silenciosamente em um arquivo ZIP que é enviado via iMessage para um invasor.

Em contatos altamente pessoais, nomes digitados no iMessage, endereços, histórico de navegação, uso do aplicativo, conteúdo do arquivo

Até carreguei o texto inteiro de David Copperfield, de Dickens, em Codea recentemente para testar o desempenho da edição. Os nomes e lugares da história foram indexados / 2 pic.twitter.com/2bfIr9aqCS

- Simeon (@twolivesleft) 23 de janeiro de 2019

Esse atalho em particular foi capaz de se safar disso, porque os detalhes do que estava fazendo eram ofuscados pela codificação base64. "Eu divulguei todos os detalhes para a Apple e espero que eles o consertem, mas quanto mais o Atalhos se tornar popular, mais as pessoas precisam estar cientes de como podem ser poderosamente mal usadas", escreveu ele no Twitter.

Além do fato de que ninguém deveria se preocupar em usar um aplicativo ou um atalho que promete limpar sua memória (o iOS faz um trabalho muito melhor gerenciando a RAM do que qualquer aplicativo), não está claro o que um usuário comum poderia fazer para evitar atalhos maliciosos.

TUTORIAL: Como compartilhar arquivos do iCloud Drive

O problema com os atalhos é a poderosa linguagem de script da Apple que eles empregam, permitindo aos usuários encadear várias tarefas repetitivas em uma única ação. A Apple não hospeda atalhos criados pelo usuário, de modo que eles certamente não estão sendo examinados ou examinados em detalhes, como aplicativos da App Store.

Normalmente, um atalho criado pelo usuário é compartilhado através de um link de arquivo do iCloud.

E aí está o problema. "Você não podia esperar que um usuário razoável soubesse o que eles concordavam em executar ao receber um link hospedado pela Apple para um atalho", disse Simeon..

A Apple pode aliviar esse problema exigindo que todos os atalhos sejam hospedados na App Store para que quaisquer envios da comunidade possam ser rastreados por sua equipe de revisão.

Também poderia introduzir novos tipos de medidas de proteção, como vimos no macOS Mojave, para proibir atalhos para acessar funções de baixo nível, como o sistema de arquivos, ou pelo menos acionar um prompt quando um atalho quiser mexer com seus dados.

No Mojave, os usuários devem dar sua permissão quando um aplicativo ou script deseja controlar outros aplicativos (Preferências do sistema → Segurança e privacidade → Privacidade → Automação).

Seria bom ter opções semelhantes no iOS.

O iGen também propôs medidas adicionais, como verificar a autenticidade de um atalho, examinando com mais atenção o que ele realmente faz no aplicativo Atalhos (toque em Mostrar ações).

Verificando as ações de um atalho

Por exemplo, se um atalho que deve cortar imagens solicitar repentinamente acesso a Mensagens, isso deve exibir sinais de alerta. Além disso, o iGen adverte as pessoas contra o download de atalhos de pessoas ou sites nos quais não confiam.

A galeria de scripts hospedada pela Apple disponível no aplicativo Atalhos é uma fonte confiável, com certeza, mas e todos os scripts criados pela comunidade e hospedados pelo iCloud que você pode encontrar no Reddit e nas mídias sociais?

O iGeneration recomenda a verificação de um atalho em uma lista de atalhos de pessoas conhecidas na comunidade Apple. Uma dessas listas está hospedada no site da Sharecuts.

Você também deve visitar o site ShortcutsGallery, bem como navegar na coleção dos melhores scripts da comunidade do iDownloadBlog em nosso arquivo Shortcuts Focus.

Certifique-se de verificar os atalhos baixados no site da Sharecuts.

Resumindo, qualquer pessoa pode criar, hospedar e compartilhar seus próprios atalhos e empacotá-los como quiser (ou seja, "Limpar capturas de tela de fotos", "Otimizador de desempenho" e assim por diante) sem repercussões.

Com isso em mente, confiar menos em qualquer atalho criado pela comunidade que você baixa ajuda bastante a resolver essas preocupações de privacidade e segurança que lidam com a automação do iOS.

Você usa atalhos no seu dispositivo iOS?

Em caso afirmativo, como você resolveria o problema de confiança se fosse Apple?

Sinta-se à vontade para conversar com seus pensamentos nos comentários.