Segurança - Dica - Apple dispensa o CAPTCHA - ou como NÃO precisar usar o CAPTCHA ao usar Mac e iPhone

Pessoal,

Acredito que todo mundo conheça o querido CAPTCHA!

Conheça o CAPTCHA de Minas Gerais, onde tudo é "trem", menos trem (porque em Minas, trem é coisa!):

CAPTCHA é um acrônimo do inglês Completely Automated Public Turing test to tell Computers and Humans Apart (em português: teste de Turing público completamente automatizado para diferenciação entre computadores e humanos).

Alan Turing, o famoso matemático inglês que coordenou uma das unidades responsáveis por decifrar o código da máquina Enigma durante a Segunda Guerra Mundial, é considerado um dos principais nomes do desenvolvimento da ciência da computação através da chamada "Máquina de Turing

Em 1950, Turing escreveu um artigo para a revista Mind intitulado "Computing Machinery And Intelligence" (veja aqui e aqui), traduzido para algo como "Máquinas de Computação e Inteligência", onde Turing começa o artigo escrevendo: "I propose to consider the question, 'Can machines think?' This should begin with definitions of the meaning of the terms 'machine' and 'think'." (em português: "Eu proponho considerar a questão 'As máquinas podem pensar?' Deve-se começar definindo o significado dos termos 'máquina' e 'pensar'.").

No artigo, Turing sugere que deveríamos perguntar se uma máquina consegue ganhar o chamado "jogo da imitação" onde três pessoas participam: um homem, uma mulher e um interrogador; eles podem se comunicar apenas por notas escritas e, através de perguntas, o interrogador tenta determinar os gêneros de outros participantes, sabendo que há, necessariamente, um homem e uma mulher. O objetivo do homem é enganar o interrogador fazendo-o acreditar que ele é mulher e que a mulher é homem, enquanto o objetivo da mulher é auxiliar o interrogador a tomar a decisão certa. 

Turing propõe uma variação do jogo onde há um computador (objeto do teste), um humano e um interrogador (também humano). O juiz pode conversar com ambos (o humano e o computador), digitando em um terminal. Tanto o computador quanto o humano tentam convencer o juiz de que eles são o humano. Se o juiz não puder dizer consistentemente qual é qual, então o computador ganha o jogo.

A principal confusão sobre o teste de Turing é que o teste não mede "inteligência", mas sim a capacidade da máquina de se comportar como um humano.

Em 1966, Joseph Weizenbraum, no MIT, desenvolveu um software para processamento de linguagem natural chamado ELIZA, considerado o primeiro programa a passar pelo teste de Turing. O programa avaliava as entradas do usuário procurando por palavras-chave. Caso alguma fosse encontrada, uma regra transformava o comentário do usuário e gerava uma resposta adequada. Caso nenhuma palavra-chave fosse encontrada, retornava uma resposta genérica.

Bom, voltando ao CAPTCHA, este é um teste de Turing reverso, uma vez que o objeto de teste é o humano e quem aplica é um computador. O CAPTCHA é um teste cognitivo, criado pela Universidade de Carnegie, como ferramenta antispam. O aplicador (computador) sabe a resposta certa e sabe que os computadores não consegue resolver o CAPTCHA; assim, caso a resposta esteja correta, o usuário é presumidamente humano. O teste pode ser aplicado de vários modos, desde a distorção do fundo da imagem, como distorção de um texto ou identificação de imagens. Atualmente é utilizado o reCAPTCHA e o reCAPTCHA v2 e v3, uma vez que os sistemas estavam sendo capazes de identificar os textos.

Resumindo: Turing idealizou um teste onde um humano deveria descobrir se estava conversando com outro humano ou com um computador. Com o advento da informática moderna, surgiu o spam. Para evitar o spam, criaram o CAPTCHA, que nada mais é que um teste de Turing reverso, onde o computador precisa descobrir se está sendo acessado por outro computador ou por um humano.

Bom, descobri há alguns dias que a Apple, no iOS/iPadOS 16 e MacOS Ventura 13, desenvolveu uma autenticação privada que simplifica (ou faz o bypass mesmo) nos CAPTCHAs da vida.

Para tanto, no iPhone/iPad, clique em "Ajustes", toque no seu nome e vá até "Senha e Segurança". Arraste até a área "Avançado" e marque "Verificação Segura".

No MacOS, abra os "Ajustes do Sistema", clique no seu nome e vá até "Senha e Segurança" e ative a "Verificação automática".

Pelo que eu notei aqui, vez ou outra ainda pede algum CAPTCHA, mas a maioria parou de pedir!

Ótima notícia!

É isso por agora, pessoal!

Segurança - Google Passkey

Pessoal,

Coisas raras como a união das três maiores empresas de tecnologia (Apple, Microsoft e Google) é incomum mas acontece esporadicamente!

As três empresas desenvolveram um modo de acesso seguro aos diversos sistemas porém de modo a evitar o uso de senhas específicas para cada serviço.

Esse novo sistema de autenticação é chamado "Passkey" e é bem mais seguro que os métodos tradicionais de logins pois o credenciamento por passkey utiliza um sistema de autenticação que sincroniza todos os dispositivos já cadastrados do usuário utilizando chaves criptografias.

Assim, ao tentar fazer o login em um site ou rede social utilizando o passkey, a verificação é feita, por exemplo, com o celular (utilizando PIN ou reconhecimento digital/facial), dispensando o uso de senhas tradicionais.

Quando criamos uma conta na Apple ou no Google, são criadas duas chaves criptografias únicas: a pública, que fica no servidor do sistema e não é secreta, e a privada, que fica no dispositivo. Quando fazemos um login, o sistema pede a autenticação da chave privada (por biometria facial, digital ou PIN); em outras palavras, a gente "desbloqueia fisicamente" essa credencial para provar que quem está fazendo o login é quem realmente está autorizado.

Já que não envolvem a digitação de senhas ou recebimento de SMSs, o sistema torna-se resistente ao golpes do tipo phishing.

Assim, vamos por isso em ação. Vou fazer no iOS mas acredito que o processo seja o mesmo para Android.

Vá no aplicativo do Google, clique sobre a sua foto e clique em "Gerenciar sua Conta Google".

(Clique para gerenciar sua conta)

(Arraste essa linha até aparecer "Segurança")

(Role para baixo até aparecer "Pular a etapa de senha quando possível")

Aqui vai pedir para você confirmar com sua senha e vai abrir isso aqui:

Após ativar essa etapa, clique em "Chaves de acesso" e crie uma nova chave:

Pronto! A chave foi feita!

Agora vamos tentar conectar em um navegador no computador. Para isso vou usar o Edge para Mac, uma vez que o Safari ainda não funciona com essas chaves. Assim, ao abrir o navegador e ir ao site do Google, vamos entrar na conta. De cara já aparece isso:

Quando clicamos em Continuar, vai aparecer um QR-Code que deverá ser lido pelo celular onde foi criada a passkey:

Pronto, agora no celular vai olhar e identificar com biometria facial. Na próxima vez que voltarmos ao navegador, a tela já é diferente, pois vamos criar a chave nesse navegador:

Pronto. Sem precisar entrar novamente com senhas, já estamos na nossa conta.

Perfeito!

É isso por hoje!

Dica - Como transferir ou recuperar o Google Authenticator

Pessoal,

Como podemos fazer para que nossas ações na internet possam ser mais seguras e como podemos fazer para provar que nós somos nós mesmos na impessoalidade da rede?

Essas sempre foram preocupações pertinentes no mundo da informática.

Em geral, as empresas acabaram desenvolvendo sistemas baseados em senhas. Só que, apesar da crescente complexidade das senhas exigidas (letras, números, caracteres especiais, etc), as pessoas acabavam esquecendo as senhas ou optando por senhas menos seguras.

Em um vazamento de mais de 1 bilhão de senhas em 2017 mostrou, segundo a empresa de segurança digital 4iQ, algo que a gente já sabia: as pessoas usam senhas inseguras como "123456", "123456789", "qwerty", "senha", "password" e "111111"!

Vários motivos explicam (ou pelo menos tentam explicar) isso:

• os humanos, em geral, têm memória ruim
• muitas contas digitais;
• fadiga de segurança (no início há muita preocupação, mas com a ideia de anonimato na rede ou percepção de que sempre haverá um vazamento de dados, as pessoas relaxam e usam senhas inseguras)

Assim, foram criadas as "autenticações em duas etapas" ou "autenticações de dois fatores". Nada mais é que, após a primeira senha (a tradicional, "estática") seja utilizada uma outra senha, essa dinâmica, comprovando que você é você! Esse tipo de autenticação ou verificação é conhecido também como "MFA" ou Multi-Factor Authentication ou "2FA" Two-Factor Authentication.

Uma das primeiras estratégias utilizadas foi a utilização dos tokens de hardware, aqueles chaveiros que produzem um código numérico a cada intervalo de tempo (30 em 30 segundos, geralmente) ou outros que eram tokens via USB.

Apesar de não parecer, esses dispositivos tinham alguns problemas (risco de perda, distribuição cara e possibilidade de serem hackeados - veja aqui).

Depois veio o 2FA baseado em envio de um SMS para essa confirmação. Essa mostrou-se a opção menos segura de autenticação, uma vez que o aparelho podia ser clonado ou roubado.

Atualmente, existem três formas mais comuns de 2FA.

A primeira é a 2FA biométrica, onde impressões digitais, reconhecimento facial ou de retina são utilizados para verificação da identidade.

Outra forma é a Notificação Push para 2FA, um nome bonito para um aviso em tempo real ao usuário que uma tentativa de autenticação está ocorrendo.

A terceira opção utilizada com mais frequência é a utilização de Tokens de Software para 2FA. Temos vários exemplos desse modelo como o Google Authenticator, o Authy, o Microsoft Authenticator, apenas para citar os mais comuns.

Esse modelo, também conhecido como TOTP, baseia no download de um aplicativo 2FA no celular ou computador e o cadastro (geralmente nome de usuário e senha) para gerar um código no aplicativo. Assim como nos tokens de hardware, esses códigos têm validade geralmente por menos de um minuto e estão disponíveis em celulares, computadores, wearables e funcionam até offline.

Em resumo, as autenticações em múltiplos fatores costumam incluir:

• algo que o usuário tem: cartão, chave, token, celular, etc
• algo que o usuário sabe: senha, PIN, etc
• algo que o usuário é: digital, voz, padrão de posicionamento de tecla, etc

Se você quer saber um pouco mais sobre esse assunto, dê uma lida aqui.

O modelo TOTP (Time-based One-Time Password ou senha única baseada em tempo) é um algoritmo computacional que utiliza o tempo atual como fonte para gerar uma senha única (One-Time Password). Esse sistema é uma expansão do algoritmo de senha única baseada em HMAC (HMAC-based one-time password ou HOTP), que, por sua vez, é baseado no HMAC.

HMAC (Hash-based Message Authentication Code ou código de autenticação de mensagem baseado em hash) é um tipo de código de autenticação de mensagem que envolve uma função hash criptográfica e uma chave criptográfica secreta. Assim, ao invés de usar uma chave pública e assinaturas digitais, o HMAC fornece a autenticação usando um "segredo compartilhado". Como qualquer função hash criptográfica, quanto maior o tamanho do hash de saída e do tamanho e qualidade da chave, maior a força critptográfica do HMAC (veja mais detalhes aqui).

Assim, de tempos em tempos (pelo modelo TOTP), uma senha única baseada em HMAC é criada (pelo modelo HOTP).

Ufa, vamos voltar ao assunto do título.

Em 2010 o Google criou o Google Authenticator, um software de token para implementar verificação de duas etapas (2FA) utilizando os algoritmos baseados em tempo e HMAC (TOTP e HOTP, respectivamente) e funciona tanto para serviços do Google quanto para aplicações de terceiros.

Não vou discutir aqui como começar a utilizar esse serviço em detalhes, mas em linhas gerais você deve habilitar a verificação em duas etapas na aba de Segurança da sua conta do Google, deve baixar o app do Google Authenticator para o seu telefone e, no navegador, na conta do Google, deve configurar a autorização para utilizar o app do Authenticator. No final vai ser gerado um código no Authenticator para você colocar no site e pronto. É mais ou menos isso. Veja mais aqui, caso tenha alguma dúvida.

Até aqui nada de novo no fronte. O problema era quando era preciso trocar de telefone. Os dados e a autorização do app não eram levados nativamente para o telefone novo. Era preciso gerar um QR-code no aparelho antigo. Agora, imagine fazer isso se o seu telefone fosse roubado ou perdido ou afogado ou seriamente danificado. Lascou... Ou você fazia com QR-code ou fazia um a um os serviços, na unha!

Somente em 2023 (sim, esse ano!), a função para sincronizar em nuvem surgiu!

Para isso, se você ainda tiver o seu telefone antigo, faça isso:

E siga as instruções para exportar. 

(Isso aparece no telefone antigo)

Vai ser gerado um QR-Code para ser lido no app no telefone novo.

(E aqui é para inserir no aparelho novo)

Pronto, ao escolher "Ler Código QR" no telefone novo e apontar para o velho, tá resolvido. Esse era o jeito antigo.

Agora, existe uma nova opção, essa que citamos que começou em 2023 (em abril de 2023, para ser mais exato). Isso passa pela atualização do app no telefone velho.

       

(Versão antiga)                                   (Versão nova)

Repare que surgiu uma nuvem verde no canto superior direito no app atualizar. Essa nuvem indica que os códigos estão salvos na nuvem. Pronto!

Faça isso agora para se precaver de algum problema futuro com seus códigos caso perca o acesso ao telefone. Na necessidade de atualizar o aparelho, apenas instale o app e faça a sincronização na nuvem. Muito fácil.

É isso por enquanto!

Cloudflare Tunnel: melhor que VPN! O serviço que eu procurava para acesso remoto!

Pessoal,

Descobri um serviço excelente para acessar remotamente os computadores de casa com segurança: Cloudflare Tunnel!

Imagine que está fora de casa, seja no trabalho ou em uma viagem, e deseja acessar um computador ou seu NAS em casa. Existem algumas possibilidades. A mais tradicional, por segurança, é através de uma VPN (não essas VPNs pagas, mas um serviço com o OpenVPN ou WireGuard.). Outra possibilidade é escancarar seu computador expondo ele na internet através de uma autorização no seu firewall.

Aqui entra a esse túnel da Cloudflare: você instala um cliente dentro da sua rede (seja em Windows, Linux, Mac ou um container Docker) para criar uma conexão segura com a Cloudflare. Após essa etapa, criaremos um ou vários nomes para acessar os serviços internos (através de FQDNs - Fully Qualified Domain Names ou Nomes de Domínio Totalmente Qualificados, DNS Names ou registros CNAME).

Assim, por exemplo, pretendo usar para acessar meu Synology NAS sem precisar expô-lo através do Quickconnect ou abrindo o firewall para tanto. Posso simplicar e criar um 'synology.meudominio.com.br' para o NAS e passar para a Cloudflare qual o endereço IP privado e a porta. O Synology usa uma interface HTTP através da porta 5000, mas quando acessamos através desse túnel, essa interface se torna uma conexão HTTPS pela porta 443.

Só vejo vantagens: é um modo conveniente de acessar seu conteúdo privado, tem o redirecionamento de uma porta HTTP 5000 para a porta HTTPS e, uma vez que estamos conectados a um FQDN gerenciado pela Cloudflare, também ocultramos o nosso endereço IP WAN!!! Sério, é muita vantagem!!!

Talvez o grande  "inconveniente" seja a necessidade de ter um nome de domínio registrado. Pelo que procurei, esses domínios gratuitos como No-Ip e DuckDNS não servem para isso. Assim, eu optei por registrar um domínio para mim.

Sugiro que vocês pesquisem bastante pois os preços variam muito, principalmente a depender do TLD (Top Level Domain ou sufixo de domínio, o ".com" ou ".com.br"). Os TLDs da modinha, como .info, .app, .tech e outros podem custar algumas centenas de dólares a mais que os .com ou .com.br. Mas essa é uma decisão individual. Eu registrei o meu através da própria Cloudflare pois queria um TLD ".com" e a Cloudflare era mais barato que encontrei.

Indo em frente, é necessário um registro gratuito no Cloudflare. Após o registro e o login, você verá essa tela aqui:

A marcação "1" mostra o seu domínio ativo já cadastrado no Cloudflare. Caso não tenha um, é necessário adicionar o domínio clicando na marcação "2". Essa parte foge do escopo deste texto, então clique aqui para aprender a transferir seu domínio para a Cloudflare segundo as exigências dela. Asseguro que é bem simples. Basicamente você terá que trocar os nameservers de onde está hospedado o seu domínio pelos nameservers da Cloudflare.

Passada esta etapa, vamos criar o túnel! Clique no seu site (lá na marcação "1"). Deve aparecer uma tela com opções de serviços da Cloudflare. Desça e escolha a opção "Free". Deve ser pedido o seu cartão de crédito, mas nada será cobrado (se quiser ficar tranquilo, coloque um cartão virtual com apenas 5 dólares e que dure apenas um ou dois meses...).

Depois, tendo seu domínio devidamente registrado na Cloudflare, eles irão oferecer alguns serviços gratuitos para aumentar a segurança e velocidade de acesso (reescreve o endereço usando HTTPS, redireciona as requisições de HTTP para HTTPS e utiliza a compressão Brotli para acelerar o tempo de carregamento das páginas). Sugiro ativar tudo.

Agora os servidores da Cloudflare vão processar essas mudanças do registro do domínio e isso pode levar algum tempo, às vezes algumas horas. Você será notificado quando tudo estiver pronto (pelo email de cadastro na Cloudflare) e no painel da Cloudflare estará esta mensagem:

Clique nesse site e vamos criar o túnel:

Clique em Traffic -> Cloudflare Tunnel -> Launch Zero Trust Dashboard. Na tela que surgirá, a do Cloudflare Zero Trust, clique em Access -> Tunnels:

Escolha o nome do seu túnel e clique em "Save tunnel":

E agora escolha como irá instalar o conector na sua rede interna.

Como eu tenho um Synology NAS e ele fica ligado constantemente e hospeda uma página onde eu faço meu dashboard dos diversos serviços que rodam nele e em outros computadores, optei por instalar um container Docker nele para fazer isso.

Agora vá para o Docker do Synology e faça o seguinte:

Em Registro (1), digite Cloudflare para pesquisar (2) por esta imagem. Escolha a imagem cloudflare/cloudflared (3) e clique em baixar (4). Quando aparecer a janela para escolhar a marca, escolha "latest" (5) e clique em Selecionar (6) para iniciar o download da imagem. Feito isso, vamos preparar a imagem para executar:

Em Imagem (1), escolha a imagem que foi baixada (2) e vamos abrir para configurar. A primeira opção é para escolher a rede do container:

Agora vamos escolher o nome do container, ativar a reinicialização automática e escolher as configurações avançadas:

Após clicar em "Configurações avançadas", vamos precisar usar o comando para criar o container docker que o Cloudflare sugeriu mas será necessário editar algumas coisas. Copie para um editor de texto o comando do Docker e faça as mudanças. Tudo que está no retângulo vermelho será retirado e o que está em negrito continuará:

Após a edição, ficará assim:

Esse texto será colado nas Configurações avançadas, na aba "comando de execução":

Pronto! Clique em Salvar e depois em Avançar. Podemos executar agora com segurança. Quando voltarmos à página da Cloudflare, vamos ver isso aqui:

Pronto! A conexão foi bem sucedida! Clique em "Next"para criar os FQDN (os DNS names para acessarmos os serviços na nossa rede privada).

E é essa facilidade toda aí: como subdominínio, escolhi "nas". O domínio é o que você tem registrado (o seu <qualquercoisa.com.br>). Depois você coloca as configurações de como está acessando o serviço dentro da sua rede. O Synology é desse jeito: http://192.168.1.2:5000. Vejam que o túnel foi criado:

E é isso!

Só tem uma questão importantíssima! Quem souber esses FQDNs entrará na rede rapidamente! Assim, precisamos configurar um bloqueio. O Cloudflare Tunnel tem basicamente todos os serviços de SSO (Single Sign On) como veremos a frente. Inicialmente volte para a tela de iníico do Cloudflare Zero Trust e clique em "Settings" -> Authentication":

Perceba que apenas um modo de autenticação está ativado. Clique em "Add New" para escolher outros métodos:

E veja todos os métodos possíveis! Só fica inseguro quem quiser!

Esse método de One-time PIN já ajuda bastante. Ao tentar conectar no endereço, aparecerá essa tela:

Quem desejar entrar deverá ter um email cadastrado para acessar o túnel (sim, se você colocar outro email que não o cadastrado você não receberá o código de segurança). Digitando o email correto, o usuário receberá um email assim:

E esse código deverá ser digitado na página de acesso:

Pronto! Agora você consegue entrar.

Esse email é definido no menu da Cloudflare Zero Trust acessando: Access -> Applications e aí vcoê clica em "Add an aplication" -> Self-hosted e escolhe um nome e coloca o domínio. Interessante aqui é colocar um asterisco (sim, um "*" - coringa) no subdomínio para que essa regra de segurança valha para TODOS os serviços hospedados nesse domínio! Na página seguinte você escolhe as regras de segurança. Eu colocquei assim:

Dese modo, as mensagens são enviadas para o meu email pessoal, há bloqueio para acessos originários de alguns países conhecidos por ataques de hackers e, por padrão, preenchendo esses requisitos, o acesso é autorizado.

Há muita, muita coisa para fazer aqui ainda. Estou só aprendendo a usar essa ferramenta!

É isso, pessoal!

Sugestão de leitura: https://www.crosstalksolutions.com/cloudflare-tunnel-easy-setup/

Sugestão de vídeo: https://www.youtube.com/watch?v=ZvIdFs3M5ic

Dica: Aumentando a Segurança no iPhone!

Pessoal,

Recentemente (de novo) virou febre no Brasil os roubos de telefones com tela desbloqueada para realização de golpes, transferências financeiras, etc.

O sujeito está lá no carro ou na rua usando seu telefone tranquilamente quando um filho da puta meliante rouba seu telefone e sai correndo.

Se antes o objetivo era o aparelho em si, fosse para vendê-lo inteiro ou depená-lo, agora o objetivo é utilizar a tela desbloqueada para fazer PIX, sequestrar email e WhatsApp, fazer empréstimos e por aí vai.

Recentemente houve um relato no Twitter (veja aqui) de uma pessoa que teve seu celular roubado com a tela desbloqueada e roubaram mais de R$ 140k dele (entre PIX, TEDs e empréstimos). Têm relatos aqui, aqui, aqui, aqui, aqui e um excelente podcast do Tecnoblog aqui sobre este assunto.

[hater mode on]

Antes de entrar em mais detalhes, fica aqui um pequeno momento hater: o que esperar de um banco que coloca uma funkeira burra pra caralho para ser "diretora" apenas para lacrar? Só pode dar merda mesmo!

[hater mode off]

Voltando ao assunto, várias lições devem ser tiradas. Apesar de ser em iPhone este caso concreto, o mesmo problema acontece com Androids também. Assim, o problema não é EXCLUSIVAMENTE o iOS ou a Apple, mas a forma como interagimos e confiamos nossas informações a esses dispositivos móveis.

Várias coisas foram sugeridas e vou comentar algumas aqui. No final, vou contar o que fiz:

* Não deixar o email ativado no telefone: gente, isso não rola de desfazer, visto que foi uma das primeiras funcionalidades dos smartphones. O óbvio seria existir senha para abrir o aplicativo do email, seja o nativo, seja o Gmail, seja ou Yahoo ou seja qualquer outro. Pelo que vi, até existe um aplicativo para email que exige senha para abertura (não lembro qual, assim que encontrar o nome eu coloco aqui no blog), mas o criador é empresa pequena e aí.... bem, aí eu fico cismado também.

* Não ter aplicativos de banco no telefone: mesma coisa do anterior, o smartphone perde o sentido de existir.

* Senhas complexas: fundamental, mas se a tela estiver desbloqueada, lascou do mesmo jeito.

* Aplicativos de banco mais seguros: fundamental.

* Autenticação em duas etapas: aqui mora o problema, porque se você pede para restaurar senha do iOS, da Apple, do banco, do email, etc, tudo vem para o seu email (cujo app está aberto e sem senha e está como ladrão) ou para o SMS (que está com o ladrão). Ou seja, essa barreira falhou vergonhosamente.

Como fiz:

Bom, pensei em alguma coisa para exigir senha na hora de abrir os apps. Então criei uma automação no Atalhos do iOS.

1 - Abra o Atalhos, selecione Automação, crie uma Automação Pessoal e escolha "App": 

  

2 - Certifique-se que a ação está marcada para iniciar quando o App for aberto e clique em escolher:

3 - Abrirá uma lista com todos os Apps. Escolha clicando e selecionando todos que você quiser e, por último, clique em "ok":

4 - Quando voltar para esta tela, escolha "Seguinte" e depois "Adicionar Ação":

  

5 - Busque por "Timer" e clique em "Iniciar Timer":

6 - Ajuste o timer para "iniciar um timer de 1 segundo":

  

7 - IMPORTANTE: garanta que desmarcou "perguntar ao iniciar". Se aparecer uma caixa perguntando, confirme que é para NÃO perguntar!

8 - Sua automação deve estar mais ou menos assim:

9 - Agora vá ao aplicativo "Relógio", escolha "Timer" e selecione em "Ao Terminar" para parar a reprodução. Esta ação deve durar 1 segundo, conforme a foto abaixo.

Bom, escolhi todos os aplicativos onde alguma compra pode ser gerada, onde informações sensíveis podem aparecer (SMS, email, etc) e aplicativos onde não quero que ninguém tenha acesso.

Quando essa automação é executada, ocorre o seguinte: após o aplicativo ser aberto, em 1 segundo ele é fechado e volta para a tela de desbloqueio. Assim, é preciso a senha de desbloqueio ou TouchID ou FaceID para desbloquear a tela.

Resolve em parte, mas é melhor que nada.

Por hoje é isso!

Em breve, vou fazer mudanças profundas no NAS. Vou contar aqui como será depois!