[Guto Marc]

Tive um amigo que teve o iPhone roubado.... Aí os caras conseguiram acessar os bancos e transferiram todo o dinheiro dele. Achei super estranho e comecei a pesquisar. Já são vários casos iguais acontecendo e é sempre a mesma história : um iPhone que está desbloqueado e os bandidos pegam. De alguma forma eles trocam o face id e a partir daí ganham acesso aos bancos da pessoa. Como não uso iPhone não conheço os detalhes das camadas de segurança, mas é algo preocupante.
Fanboys, por favor apresentem suas opiniões sobre isso. É uma brecha de segurança do iPhone que está sendo explorada?

As matérias
https://www1.folha.uol.com.br/cotidiano/2021/06/celular-de-vereador-e-furtado-em-sp-e-criminosos-limpam-sua-conta-bancaria-veja-video.shtml

https://www.google.com/amp/s/www1.folha.uol.com.br/amp/cotidiano/2021/06/quadrilhas-que-limpam-contas-bancarias-furtam-celulares-ate-dentro-de-shoppings.shtml


https://tecnoblog.net/453223/procon-sp-notifica-bancos-fintechs-e-tres-associacoes-bancarias/

No Android para mudar a biometria precisa de senha/autenticação, mesmo que o telefone esteja desbloqueado

[felipemendes]

Tudo que é eletrônico tem brecha de segurança. Alguns têm brecha conhecida, outros ainda não. Eu ouvi alguma coisa sobre o assunto hoje mesmo. No caso do meu telefone (Motorola Edge), eu tenho a maioria das coisas com impressão digital, mas as senhas dos bancos ficam todas na cabeça.

[vangelismm]

Eu uso biometria em 03 apps de banco, em todos pede senha fazer uma operação financeira.
Android.

[lsd]

Guto, tem várias brechas.

Por padrão, vc não precisa de senha pra mudar a FaceID. Vacilo enorme, pois nos antigos (com touchID) precisava.

Não precisa de senha pra desligar o aparelho. (ou seja, o cara rouba, desliga o telefone, e já era o rastreamento - exceto nos mais novos).

E o pior disparado: vc recupera o acesso à appleID usando um número de telefone.

Daí o bandido transfere o seu número pra outro chip em branco (via sim swap ou até ligando na operadora) e já era.

E por fim, procure por "bypass icloud" no google, tá cheio de esquemas/ferramentas pra "invadir" o icloud.

Fora isso tem a segurança porca de alguns apps de banco que segundo relatos ou tem políticas frouxas de recuperação de senha, ou, permitem fazer transações sem um código adicional. Ou no máximo via SMS (outra furada).

E ainda... tem os esquemas de recuperação de senha via email - se o bandido pegou o teu telefone desbloqueado (ou conseguiu "burlar" o bloqueio), ele entra no app e diz que esqueceu a senha... se a recuperação for por SMS ou email, tá fácil - no caso de email, ele abre o app de email no próprio telefone e tchau dinheiro.

Ah, tem relatos de gente por ai que pediram pra bloquear o IMEI e mesmo assim o telefone "ressuscitou"...

São só coisas pra vcs pensarem (e eu também)...

Em tempo: eu não uso mais iPhone há algum tempo...

[Guto Marc]

Guto, tem várias brechas.

Por padrão, vc não precisa de senha pra mudar a FaceID. Vacilo enorme, pois nos antigos (com touchID) precisava.

Não precisa de senha pra desligar o aparelho. (ou seja, o cara rouba, desliga o telefone, e já era o rastreamento - exceto nos mais novos).

E o pior disparado: vc recupera o acesso à appleID usando um número de telefone.

Daí o bandido transfere o seu número pra outro chip em branco (via sim swap ou até ligando na operadora) e já era.

E por fim, procure por "bypass icloud" no google, tá cheio de esquemas/ferramentas pra "invadir" o icloud.

Fora isso tem a segurança porca de alguns apps de banco que segundo relatos ou tem políticas frouxas de recuperação de senha, ou, permitem fazer transações sem um código adicional. Ou no máximo via SMS (outra furada).

E ainda... tem os esquemas de recuperação de senha via email - se o bandido pegou o teu telefone desbloqueado (ou conseguiu "burlar" o bloqueio), ele entra no app e diz que esqueceu a senha... se a recuperação for por SMS ou email, tá fácil - no caso de email, ele abre o app de email no próprio telefone e tchau dinheiro.

Ah, tem relatos de gente por ai que pediram pra bloquear o IMEI e mesmo assim o telefone "ressuscitou"...

São só coisas pra vcs pensarem (e eu também)...

Em tempo: eu não uso mais iPhone há algum tempo...

Bizarro isso no que seria "o sistema seguro". No Android não troca biometria sem senha. E algumas coisas só funcionam com senha depois da troca da biometria. E tem uma função que uso muito no Android que é a "fixar aplicativo" e aí mesmo que seja roubado o bandido não consegue mexer no telefone porque fica bloqueado no Google Maps/Waze. É super fácil de fazer no Android e no iPhone é bem mais difícil.
O bypass do icloud já sabia que existia e de for no Market place do Facebook tem um monte de anúncios de "liberar icloud" ou "desbloquear imei"

[AFShalders]

O aplicativo do meu banco não usa biometria, sempre pede duas senhas, uma para entrar na conta e outra para efetivar uma transação.

Quanto ao icloud, vocês usam a autenticação em dois fatores ? Só isso já dá um baita pulo na segurança.

[lsd]

Eu usava a autenticação em 2 fatores quando eu tinha o iPhone.

Mas só engana bobo...

Não impede criminoso de fazer nada. É igual usar batata frita como ferrolho na porta.

Estou tentando convencer esposa e amigos a se livrarem dos iPhones enquanto essa porcaria vale alguma coisa.

E sobre a segurança dos bancos: independente de ter 2, 3 ou 4 senhas, precisa ver como é o acesso a elas... tente fazer um teste: finja que vc esqueceu a sua senha pra entrar no app, e teste o método de recuperação... em alguns bancos/corretoras, é ridículo.

E o grande problema é que: se o bandido consegue a sua senha e consegue depois fazer as transações (empréstimo e transferência) depois o banco fica de palhaçada pois a transação foi feita com a sua senha pessoal...

[Guto Marc]

Eu usava a autenticação em 2 fatores quando eu tinha o iPhone.

Mas só engana bobo...

Não impede criminoso de fazer nada. É igual usar batata frita como ferrolho na porta.

Estou tentando convencer esposa e amigos a se livrarem dos iPhones enquanto essa porcaria vale alguma coisa.

Hahahahahaha.... Polêmica à vista.

No Samsung existe uma coisa muito boa e que cria uma dificuldade a mais: Pasta Segura.
É um sistema operacional dentro do sistema operacional que para acessar precisa de senha ou biometria (mas se trocar a biometria ou reiniciar o telefone só entra com senha). É ótimo como camada adicional de segurança

[AFShalders]

Eu usava a autenticação em 2 fatores quando eu tinha o iPhone.

Mas só engana bobo...

Não impede criminoso de fazer nada. É igual usar batata frita como ferrolho na porta.

Estou tentando convencer esposa e amigos a se livrarem dos iPhones enquanto essa porcaria vale alguma coisa.

E sobre a segurança dos bancos: independente de ter 2, 3 ou 4 senhas, precisa ver como é o acesso a elas... tente fazer um teste: finja que vc esqueceu a sua senha pra entrar no app, e teste o método de recuperação... em alguns bancos/corretoras, é ridículo.

E o grande problema é que: se o bandido consegue a sua senha e consegue depois fazer as transações (empréstimo e transferência) depois o banco fica de palhaçada pois a transação foi feita com a sua senha pessoal...

E com apps de quais bancos vocÊ tem certeza que isso acontece ?

[AFShalders]

Eu usava a autenticação em 2 fatores quando eu tinha o iPhone.
Mas só engana bobo...
Não impede criminoso de fazer nada. É igual usar batata frita como ferrolho na porta.

Depende de por onde você recebe o segundo fator. Se for por SMS no mesmo dispositivo ai nao serve para nada.
Se for em outro dispositivo ai ja fica beeeeem mais complicado.

Outra coisa que melhora a segurança é desabilitar as notificações na tela travada com banners e coisas similares.

[vangelismm]

Vou ser sincero, autenticação de 02 fatores por SMS foi um erro.
Só serve pra atrapalhar o login legítimo e facilitar os golpes.

Eu só ativo quando sou obrigado pelo prestador do serviço.

E no pior cenário, nem os apps de autenticação resolvem o problema.
Você está viajando, tem o celular roubado, quebrado ou perdido e precisa acessar informações importantes no seu e-mail.
Como cartões de embarques ou reservas de hotel.
Ou até mesmo entrar em contato com um familiar.

Aí você está simplesmente lascado pois está com todas suas contas trancadas atrás da autenticação de 02 fatores.

[AFShalders]

Vou ser sincero, autenticação de 02 fatores por SMS foi um erro.
Só serve pra atrapalhar o login legítimo e facilitar os golpes.

Eu só ativo quando sou obrigado pelo prestador do serviço.

E no pior cenário, nem os apps de autenticação resolvem o problema.
Você está viajando, tem o celular roubado, quebrado ou perdido e precisa acessar informações importantes no seu e-mail.
Como cartões de embarques ou reservas de hotel.
Ou até mesmo entrar em contato com um familiar.

Aí você está simplesmente lascado pois está com todas suas contas trancadas atrás da autenticação de 02 fatores.

Com certeza. Eu só uso para operações no computador quando obrigado, e mesmo assim a autenticação é feita por um celular que não sai de casa.

O celular que vou para a rua nem tem app de banco.

[lsd]

Eu já fiz esse esquema de telefone do bandido - um baratinho pra sair na rua, sem nada de comprometedor... depois desisti... fiz isso pois eu andava bastante a pé pelo centro de SP, perto da crackolandia, enfim.

O Guto chamou a atenção pra uma coisa legal da Samsung - a pasta segura. Passou da hora da Apple criar algo parecido.

Pra quem é casado, dá pra colocar um número de 2FA no celular da conja - é o que eu faço. Ou da mãe, irmão, etc. mas no mesmo telefone, é caixão.

[AFShalders]

Pra quem é casado, dá pra colocar um número de 2FA no celular da conja - é o que eu faço. Ou da mãe, irmão, etc. mas no mesmo telefone, é caixão.

Sim, aí não faz muito sentido. Tem até como melhorar um pouco desabilitando as notificações na tela bloqueada mas não resolve 100%.
Como não tenho necessidade de app de banco 24/7 não uso no meu normal, deixo um em casa para isso, se realmente precisar.

[lsd]

Mas não aparecer o codigo na tela não resolve, pois o bandido pode tentar acessar o icloud de um computador...