Recursos de segurança em conexões a redes sem fio
Todas as plataformas Apple oferecem suporte aos protocolos padrão da indústria de autenticação e criptografia de Wi-Fi para fornecer acesso autenticado e confidencialidade na conexão às seguintes redes sem fio seguras:
WPA2 Pessoal
WPA2 Empresarial
WPA2/WPA3 Transitório
WPA3 Pessoal
WPA3 Empresarial
WPA3 Empresarial com Segurança de 192 bits
O WPA2 e WPA3 autenticam cada conexão e fornecem criptografia AES de 128 bits para ajudar a garantir a confidencialidade dos dados transferidos sem fio. Isso proporciona aos usuários o maior nível de segurança de dados, que permanecem protegidos durante o envio e recebimento de comunicações em conexões de rede Wi-Fi.
Compatibilidade com WPA3
O WPA3 é compatível com os seguintes dispositivos Apple:
Todos os modelos de iPhone desde o iPhone 7
Todos os modelos de iPad desde o iPad (5ª geração)
Todos os computadores Mac (final de 2013 ou posteriores, com 802.11ac ou posterior)
Todos os modelos de Apple TV desde a Apple TV 4K (1ª geração)
Todos os modelos de Apple Watch desde o Apple Watch Series 3
Apple Vision Pro
Todos os modelos de HomePod
Os dispositivos mais novos oferecem suporte à autenticação com WPA3 Empresarial com segurança de 192 bits, que inclui o suporte à criptografia AES de 256 bits em conexões com pontos de acesso (PAs) sem fio compatíveis. Essa criptografia oferece proteções de confidencialidade ainda maiores para o tráfego transferido sem fio. O WPA3 Empresarial com segurança de 192 bits é compatível com todos os modelos de iPhone 11 ou posterior, todos os modelos de iPad desde o iPad (7ª geração) e todos os computadores Mac com Apple Silicon.
WPA3 R3
A atualização R3 do WPA3 Pessoal (WPA R3) foi lançada para aprimorar a segurança e privacidade de conexões Wi‑Fi, com foco em certas vulnerabilidades de reconhecimento mútuo (handshake). Nas plataformas da Apple, os seguintes recursos de WPA3 R3 são compatíveis:
Indicação de Término de Transição
Hash-to-Element (H2E) e Transição Rápida H2E
Mitigação para Ataques de Downgrade em Conjunto
Elemento de Contêiner de Token Anticlog
Essas melhorias intencionam oferecer proteção contra ataques de downgrade (como o de Indicação de Término de Transição) e a geração de elemento de senha (como o uso de Hash‑to‑Element, que usa um algoritmo algebraico não interativo para derivar a chave secreta, uma melhoria ao método “Cata‑milho”). Esses recursos do WPA3 R3 foram introduzidos no iOS 16, iPadOS 16, macOS 13 e tvOS 16 e são compatíveis com os seguintes dispositivos Apple:
Todos os modelos de iPhone desde o iPhone 11
Todos os modelos de iPad desde o final de 2020
Todos os computadores Mac desde o final de 2020
Todos os modelos de Apple TV desde a Apple TV 4K (2ª geração)
Compatibilidade com Quadro de Gerenciamento Protegido
Além de proteger dados transferidos sem fio, as plataformas Apple estendem as proteções do nível de WPA2 e WPA3 a quadros de gerenciamento unicast e multicast por meio do serviço Quadro de Gerenciamento Protegido (PMF) definido no 802.11w. A compatibilidade com PMF está disponível nos seguintes dispositivos Apple:
Todos os modelos de iPhone desde o iPhone 6
Todos os modelos de iPad desde o iPad Air 2
Todos os computadores Mac (final de 2013 ou posteriores, com 802.11ac ou posterior)
Todos os modelos de Apple TV desde a Apple TV HD
Todos os modelos de Apple Watch desde o Apple Watch Series 3
Apple Vision Pro
Todos os modelos de HomePod
Com suporte a 802.1X, os dispositivos Apple podem ser integrados a uma grande variedade de ambientes de autenticação RADIUS. Os métodos de autenticação sem fio 802.1X compatíveis incluem EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0 e PEAPv1.
Proteções da plataforma
Os sistemas operacionais da Apple protegem o dispositivo contra vulnerabilidades no firmware do processador de rede. Isso significa que os controladores de rede com Wi-Fi têm acesso limitado à memória do Processador de Aplicativos. Cada processador de rede encontra-se isolado no seu barramento PCIe. Uma Unidade de Gerenciamento de Memória de Entrada/Saída (IOMMU) em cada barramento PCIe limita ainda mais o acesso DMA do processador de rede apenas à memória e aos recursos que contêm seus pacotes de rede e estruturas de controle.
Protocolos descontinuados
Os produtos Apple aceitam os seguintes protocolos descontinuados de autenticação e criptografia via Wi-Fi:
WEP Aberto, tanto com chaves de 40 bits quanto de 104 bits
WEP Compartilhado, tanto com chaves de 40 bits quanto de 104 bits
WEP Dinâmico
Temporal Key Integrity Protocol (TKIP)
WPA
WPA/WPA2 Transitório
Esses protocolos não são mais considerados seguros e seu uso é vivamente desaconselhado por motivos de compatibilidade, confiabilidade, desempenho e segurança. Seu suporte é oferecido apenas para fins de compatibilidade com versões anteriores e podem ser removidos em versões futuras do software.
É recomendável que todas as implementações de Wi-Fi sejam migradas para WPA3 Pessoal ou WPA3 Empresarial para fornecer as conexões Wi-Fi mais robustas, seguras e compatíveis possíveis.