Em qualquer sistema/aplicativo que se preze, algo básico quando falamos de segurança é proteger logins contra ataques de força bruta. Esta é a forma mais rudimentar de “invasão”: você ficar testando infinitas senhas até descobrir qual a correta. Obviamente, existem softwares que fazem isso automaticamente embora, a depender da complexidade da senha, esse processo possa levar dias, semanas, meses, anos…
Quando a prática começou a se tornar mais eficaz, sistemas foram atualizados para bloquear esse tipo de ataque. Na prática, é muito simples: após X números de tentativas não-sucedidas de login, o usuário é impedido de continuar tentando. Até mesmo a tela bloqueada do iPhone possui um ajuste para isso dentro de “Touch ID e Código”. Lá, você pode habilitar um recurso que apaga todos os dados do iPhone após 10 digitações de código incorretas.
O que o App Bugs descobriu nesta semana é que dezenas de apps mobile — tanto para iOS quanto para Android — não implementaram esse tipo de proteção. Entre eles estão Slack, iHeartRadio, SoundCloud e muitos outros. Após uma notificação prévia pelo App Bugs, alguns aplicativos trataram de corrigir o problema rapidamente — incluindo Dictionary, Wunderlist e Pocket.
Claro, essa não chega a ser uma falha de segurança das mais graves — o próprio iCloud tinha uma brecha dessas no ano passado. E a boa notícia é que implementar uma proteção contra isso é simples para os desenvolvedores. Então esperemos que, com o assunto vindo à tona, todos tomem as devidas providências.
Mas a melhor dica, para nem sequer depender diretamente dessas camadas de proteção, é sempre usar senhas complexas e variadas (e se possível, autenticação em duas etapas). Para isso, utilize um gerenciador de senhas como estes:
iOS
Requer o iOS 12.2 ou superior
OS X
Desculpe, app não encontrado.
Requer o macOS 10.15 ou superior
[via Ars Technica]