O controle da Apple sobre seu ecossistema de dispositivos e aplicativos tem sido historicamente rigoroso. Além disso, vários recursos de segurança integrados, como criptografia forte e conteinerização, ajudam a evitar vazamento de dados e limitar a disseminação de malware. Apesar de tudo isso, a ESET, especialista em detecção proativa de ameaças, alerta que os riscos não são completamente eliminados, pois golpes e outras ameaças cotidianas também bombardeiam os usuários de iOS e, embora alguns sejam mais comuns do que outros, todos exigem atenção.

O fato de os aplicativos iOS normalmente virem da App Store oficial da Apple e precisarem passar por testes rigorosos para serem aprovados evitou problemas de segurança e privacidade ao longo dos anos. No entanto, a recente lei antitruste da UE, conhecida como Lei de Mercados Digitais (DMA), visa dar aos usuários do iOS a opção de usar marketplaces de aplicativos de terceiros.

Loja da Apple (AP Foto/Hau Dinh) AP (Hau Dinh/AP)

“Isso apresentará novos desafios para a Apple na proteção dos usuários do iOS contra possíveis danos, bem como para aqueles que usam seus produtos, que precisarão estar mais atentos às ameaças. Essa mudança nas regras do jogo, sem dúvida, será explorada pelo cibercrime”, disse Camilo Gutiérrez Amaya, chefe do Laboratório de Segurança de TI da ESET América Latina.

Ameaças imediatas

Além dos riscos que podem surgir da conformidade com o DMA, a ESET analisa as diversas ameaças, possivelmente mais imediatas, que têm como alvo usuários do iOS em todo o mundo:

Dispositivos desbloqueados: desbloquear intencionalmente um dispositivo para permitir o que a Apple chama de “modificações não autorizadas” pode violar o Contrato de Licença de Software e desabilitar alguns recursos de segurança integrados, como Inicialização Segura e Prevenção de Execução de Dados. Isso também significa que o dispositivo deixará de receber atualizações automáticas. Ao baixar aplicativos de fora da App Store, você fica exposto a malware e/ou bugs.

IPhone 16 Pro APPLE (APPLE/Europa Press)

Aplicativos maliciosos: embora a Apple faça um bom trabalho na triagem de aplicativos, ela não acerta 100% das vezes. Aplicativos maliciosos detectados recentemente na App Store incluem: uma versão falsa do gerenciador de senhas LastPass, projetada para coletar credenciais; um malware que lê capturas de tela chamado “SparkCat” disfarçado de inteligência artificial e aplicativos de entrega de comida; e um aplicativo falso de carteira de criptomoedas chamado “Rabby Wallet & Crypto Solution”.

Downloads de aplicativos de sites: conforme detalhado no último Relatório de Ameaças da ESET, os Progressive Web Apps (PWAs) permitem a instalação direta sem exigir que os usuários concedam permissões explícitas, o que significa que os downloads podem passar despercebidos.

Em alguns casos os 'cibercriminosos' implantam um código malicioso ou malware para roubar dados bancários Foto: (Dreamstime)

A ESET descobriu essa técnica usada para disfarçar malware bancário como aplicativos bancários móveis legítimos.

Phishing/Engenharia social: ataques de phishing por e-mail, texto (ou iMessage) e até mesmo voz são comuns. Eles se passam por marcas legítimas e induzem os usuários a inserir suas credenciais, clicar em links maliciosos ou abrir anexos para acionar downloads de malware. Os IDs da Apple estão entre os logins mais valiosos, pois podem fornecer acesso a todos os dados armazenados em uma conta do iCloud e/ou permitir que invasores façam compras na iTunes/App Store. A ESET recomenda ter cuidado com:

Pop-ups falsos alegando que o dispositivo tem um problema de segurança

Chamadas telefônicas fraudulentas e chamadas do FaceTime representando o Suporte da Apple ou organizações parceiras

Promoções falsas oferecendo brindes e sorteios

Spam de convites de calendário com links de phishing

Em uma campanha altamente sofisticada, os cibercriminosos usaram técnicas de engenharia social para induzir os usuários a baixar um perfil de gerenciamento de dispositivos móveis (MDM) que lhes permitiria controlar os dispositivos das vítimas. Com isso, eles implantaram o malware GoldPickaxe, projetado para coletar dados biométricos faciais e usá-los para ignorar logins bancários.

Segundo a organização, três quartos dos e-mails enviados no mundo são desse tipo. Este é um e-mail que espalha algum tipo de malware Foto: Getty Images

Riscos de Wi-Fi público: um ponto de acesso Wi-Fi público pode ser um ponto de acesso falso criado por cibercriminosos para monitorar o tráfego da web e roubar informações confidenciais, como senhas bancárias. Mesmo que o ponto de acesso seja legítimo, muitos não criptografam os dados em trânsito, o que significa que hackers com as ferramentas certas podem ver os sites que você visita e as credenciais que você insere. É por isso que a ESET recomenda usar uma VPN, que cria um túnel criptografado entre seu dispositivo e a Internet.

Vulnerabilidades: embora a Apple dedique muito tempo e esforço para garantir que seu código esteja livre de vulnerabilidades, às vezes ocorrem bugs na produção. Nesses casos, os hackers podem tirar vantagem se os usuários não atualizarem seus dispositivos, por exemplo, enviando links maliciosos em mensagens que, se clicados, acionam um exploit.

No ano passado, a Apple foi forçada a corrigir uma vulnerabilidade que poderia permitir que invasores roubassem informações de um dispositivo bloqueado usando comandos de voz da Siri.

Às vezes, os próprios agentes de ameaças e empresas comerciais pesquisam novas vulnerabilidades (dia zero) para explorar. Embora raros e altamente direcionados, os ataques que exploram essas vulnerabilidades são frequentemente usados ​​para instalar spyware secretamente para espionar os dispositivos das vítimas.

O que fazer para evitar ataques?

Embora o malware esteja à espreita em dispositivos iOS, também é possível minimizar sua exposição a ameaças. A ESET compartilha suas principais táticas:

Mantenha o iOS e todos os aplicativos atualizados. Isso reduzirá a janela de oportunidade para que os agentes de ameaças explorem quaisquer vulnerabilidades em versões mais antigas para atingir seus objetivos.

Use sempre senhas fortes e exclusivas para todas as contas, talvez usando o ESET Password Manager para iOS, e ative a autenticação multifator, se oferecida. Isso é fácil em iPhones, pois exigirá uma simples leitura do Face ID. Isso garantirá que, mesmo que obtenham as senhas, eles não conseguirão acessar os aplicativos sem a verificação facial.

iOS 19 de Apple

Ative o Face ID ou o Touch ID para acessar seu dispositivo, com backup de uma senha segura. Isso manterá seu iPhone seguro em caso de perda ou roubo.

Não faça o jailbreak do dispositivo pelos motivos mencionados acima. É provável que seu iPhone seja menos seguro.

Tenha cuidado com phishing. Isso significa tratar chamadas, mensagens de texto, e-mails e mensagens de mídia social não solicitados com extremo cuidado. Não clique em links nem abra anexos. Se for realmente necessário fazer isso, verifique separadamente com o remetente se a mensagem é legítima (ou seja, não responde às informações contidas na mensagem). Procure por sinais de engenharia social, como erros gramaticais e ortográficos, urgência em agir, presentes e ofertas bons demais para ser verdade ou comentários do remetente que não correspondem ao suposto remetente.

Evite redes Wi-Fi públicas. Se você precisar usá-los, tente fazer isso com uma VPN. No mínimo, não faça login em nenhuma conta valiosa nem insira informações confidenciais em redes Wi-Fi públicas.

Tente limitar-se à App Store para fazer qualquer download, para minimizar o risco de baixar algo malicioso ou arriscado.

Se você acha que pode ser alvo de spyware (frequentemente usado contra jornalistas, ativistas e dissidentes), ative o modo de bloqueio.

iOS 19

Preste atenção aos sinais reveladores de uma infecção por malware, que podem incluir desempenho lento, pop-ups de anúncios indesejados, superaquecimento do dispositivo, novos aplicativos aparecendo na tela inicial ou aumento no uso de dados.

“Embora o iPhone da Apple continue sendo um dos dispositivos mais seguros disponíveis, isso não significa que ele esteja livre de ameaças. Manter-se alerta, conhecer os riscos potenciais e tomar as medidas de proteção necessárias ajuda a manter suas informações e dispositivos seguros”, conclui Gutiérrez Amaya.