O que é o modo de restrição de USB do macOS Ventura – e por que ele é importante?

Era uma vez, um vetor de ataque para sabotagem industrial que consistia em exfiltrar dados de Macs usando um cartão de armazenamento USB padrão. Pesquisadores também mostraram que é possível sequestrar computadores com cabos infestados de malware. É uma selva lá fora, então a Apple reforçou a proteção do Mac (com processadores Apple Silicon) com o modo de restrição de USB.

O que é o modo restrito de USB?

Começando com o macOS Ventura, a nova camada de proteção vem na forma de modo de restrição de USB, que deve fornecer um pouco de segurança à TI corporativa e está habilitado por padrão.

Uma nota do desenvolvimento da Apple explica essa proteção: “Em computadores Mac portáteis com silício da Apple, os novos acessórios USB e Thunderbolt exigem aprovação do usuário antes que o acessório possa se comunicar com o macOS para conexões conectadas diretamente à porta USB-C”.

Se isso soa familiar, é porque é. Já existe em iPads e iPhones. Vale a pena notar que o suporte para dispositivos de armazenamento em massa em ambas as plataformas sempre atrasou o Mac, e é somente a partir do iOS 13 que você pode usar armazenamento externo com eles.

No Mac, as coisas meio que funcionaram na outra direção. Os Macs sempre ofereceram suporte a mídia de armazenamento externa, mas a Apple agora tornou isso mais seguro – apesar dos sistemas Apple Silicon.

Como funciona o modo de restrição de USB

A ideia é que quando um novo dispositivo USB ou Thunderbolt for conectado ao Mac, o usuário seja solicitado a aprovar a conexão. Se um Mac estiver bloqueado, o usuário final deverá desbloqueá-lo antes que o computador reconheça o acessório. Isso usa a nova restrição allowUSBRestrictedMode. A proteção é iniciada quando o Mac fica bloqueado por mais ou menos uma hora.

A Apple diz que não se aplica a adaptadores de energia, monitores ou conexões a um hub aprovado, e os dispositivos ainda serão carregados mesmo se você escolher Do Not Allow [Não permitir] para o uso de um acessório conectado. A ideia é que a energia flui, mas os dados não.

Por que você quer isso? O ambiente de segurança continua a se deteriorar, e a ideia aqui é que essa proteção forneça mais uma barreira para proteger os usuários de Mac e seus dados. Ele também interrompe sistemas como o GrayKey para quebrar a segurança do hardware para obter os dados.

Mantendo pessoas honestas felizes

Na prática, a maioria das pessoas não encontrará um problema. Eles anexarão um dispositivo USB, o aprovarão e não precisarão pensar muito além disso. (Eles podem precisar aprovar o uso de forma intermitente, mas é isso.)

As notas técnicas da Apple para a implementação do recurso no iPad/iPhone explicam:

“Se você não desbloquear primeiro seu dispositivo iOS protegido por senha – ou não o desbloqueou e conectou a um acessório USB na última hora – seu dispositivo iOS não se comunicará com o acessório ou computador e, em alguns casos, pode não carregar. Você também pode ver um alerta solicitando que você desbloqueie seu dispositivo para usar acessórios”.

A nova proteção funciona bem ao lado do recurso de registro automatizado de dispositivos, que também será lançado em breve, que força qualquer pessoa que tente configurar um Mac registrado a se envolver no processo de registro. Isso torna muito mais difícil para pessoas não autorizadas abrirem um Mac na tentativa de obter dados que não são delas.

Onde o modo de restrição de USB é controlado?

• A proteção é habilitada por padrão em Macs com Apple Silicon
• A proteção habilitada é Ask for new Accessories [Solicite novos acessórios], opções adicionais incluem:

– Pergunte sempre.
– Automaticamente quando desbloqueado.
– Sempre.

• Solicitar novos acessórios é a proteção mínima que deve estar em vigor, embora empresas altamente seguras desejem exigir permissão a cada vez.
• Você pode desativar/ativar a configuração em System Settings>Security & Privacy>Security [Configurações do sistema>Segurança e privacidade>Segurança].
• Configurar um Switch Control [Controle Assistivo] de acessibilidade define a política para sempre permitir o uso de acessórios.
• Os dispositivos aprovados podem se conectar a um Mac bloqueado por até três dias.

E as atualizações? A Apple explica que os acessórios anexados durante a atualização de software de versões anteriores do macOS são permitidos automaticamente. Novos acessórios anexados antes da reinicialização do Mac podem funcionar, mas não serão lembrados até serem conectados a um Mac desbloqueado e aprovados explicitamente.

Este é apenas o mais recente aprimoramento de segurança que a Apple conseguiu implementar em suas plataformas.