A Apple detalhou recentemente um novo mecanismo de prompt de segurança para aplicativos Terminal no macOS em um documento de suporte, com foco no cenário de risco de cometer fraude ao colar comandos. Este recurso foi lançado pela primeira vez com o macOS Tahoe 26.4 lançado em março deste ano. Quando o usuário cola um comando potencialmente perigoso no terminal, o sistema irá abrir uma janela de aviso para interceptar e explicar.
Segundo relatos, quando um risco é detectado, o terminal exibirá um prompt, exibindo palavras como “Possível malware, Colar bloqueado (possível malware, Colar bloqueado)” e informando “Seu Mac não foi danificado (Seu Mac não foi danificado)”. A mensagem de aviso irá lembrá-lo especificamente de que os golpistas geralmente danificam o sistema ou roubam a privacidade, induzindo os usuários a colar um trecho de texto no terminal. Tais “instruções” geralmente vêm de sites, chatbots, aplicativos, arquivos ou ligações telefônicas. Em meio a esse aviso básico, o usuário ainda dispõe da opção “Colar assim mesmo”, permitindo que usuários experientes prossigam com o pleno entendimento dos riscos.
A Apple declarou em um documento de suporte intitulado “Se o seu Mac bloquear uma pasta ou script de comando do Terminal” que se um usuário não usar o terminal com frequência, mas copiar um comando de um site, bate-papo ou e-mail, o macOS poderá exibir o prompt acima. A Apple explicou que os golpistas usam esses canais de comunicação para orientar os usuários a executar instruções maliciosas no terminal, prejudicando assim a segurança do dispositivo ou vazando privacidade. O objetivo deste novo prompt é evitar que os usuários sejam “rotineiros” para executar comandos não intencionais sem o seu conhecimento.
Além do nível básico de avisos de “possível malware”, a Apple também menciona mais dois prompts proativos relacionados ao terminal no documento: um é “Malware detectado, colar bloqueado (Malware detectado, colar bloqueado)” e o outro é “Script malicioso bloqueado (Script malicioso bloqueado)”. A Apple disse que quando esses dois prompts aparecem, significa que o sistema identificou que o comando ou script contém componentes de malware conhecidos e impedirá diretamente a execução. Neste caso, opções continuadas como "Colar assim mesmo" não serão mais fornecidas.
A Apple também disse que se um usuário acredita que o comando ou script atual foi bloqueado por engano, pode ser porque o site que ele está tentando acessar foi marcado por engano como enganoso. Nesse caso, os usuários podem relatar sinalizadores de erro por meio do site fornecido pela Apple e solicitar uma revisão dos resultados da avaliação de segurança do URL relevante.
Este mecanismo de interceptação de pasta antifraude orientado a terminal é considerado uma atualização aprimorada da política de segurança do macOS em cenários de ataque de engenharia social. Ele é especialmente direcionado aos golpes "bate-papo online/página da web que ensina você a inserir comandos para reparar seu Mac" que se tornaram cada vez mais comuns nos últimos anos. Além disso, adiciona uma linha de defesa de segurança da “última pergunta” no nível do sistema.