Já faz uns bons anos que o iOS oferece o recurso de autocompletar códigos (ou autofill, para os íntimos). Para quem não está associando o nome à coisa, trata-se da funcionalidade que captura automaticamente o código de verificação recebido via SMS1Short message service, ou serviço de mensagens curtas. quando você faz login em algum site/app com autenticação de dois fatores ativa — basta tocar no código sugerido acima do teclado e ele é automaticamente preenchido.
Nós já falamos aqui sobre a complexidade embarcada em um recurso aparentemente tão simples para garantir a segurança dos usuários. Pois recentemente (e silenciosamente), a Apple começou a implementar novas regras para tornar essa funcionalidade ainda mais segura, como informou a Macworld.
Mais precisamente, em algum momento nos últimos meses, a Apple passou a exigir que, para funcionar com o autofill, as mensagens de texto contendo os códigos de verificação passassem a obedecer a um padrão específico, contendo parâmetros especiais para garantir que o usuário esteja de fato sendo conectado ao serviço que deseja acessar.
As duas imagens abaixo mostram a mensagem padrão antes e depois das mudanças:
O que são os parâmetros extras, então? O @ precede o domínio do serviço no qual o usuário está fazendo login, enquanto o # repete o código em formato padrão. O %, por fim, serve para sites e serviços que utilizem iframes (elementos HTML inseridos dentro de páginas) — o caractere precede a fonte do iframe em questão.
Mas qual a serventia disso tudo, afinal? Simples: trata-se de uma medida para (tentar) evitar golpes de phishing enviados por malfeitores. Por exemplo: aproveitando-se de alguma vulnerabilidade no site ou serviço, um golpista pode enviar uma mensagem no momento em que você tenta fazer login para lhe induzir a tocar num link malicioso — por exemplo, apple.golpista.com
em vez de apple.com
.
Com o novo padrão para SMS, a Apple ao menos garante que a sugestão de autopreenchimento do código surgirá apenas quando você estiver na página legítima do site/serviço que pretende acessar.
Não é a solução definitiva para evitar golpes de phishing — afinal de contas, você ainda poderá tocar no link malicioso e digitar o código manualmente —, mas fica o aviso: caso você tente fazer o login em algum site e o iOS não ofereça o código para preenchimento automático, é bom verificar se tudo está nos conformes, como o domínio do site acessado.
Boa melhoria, não?
via 9to5Mac
Notas de rodapé
- 1Short message service, ou serviço de mensagens curtas.