Especialista mostra celular Android sendo hackeado; assista
“As pessoas precisam tratar o celular como um computador de verdade.”
A afirmação é de John Shier, especialista em cibersegurança da britânica Sophos. Ele se refere às preocupações com segurança digital, na sua avaliação, mais enraizadas no uso da tela grande e negligenciadas nos dispositivos móveis.
Durante o Mobile World Congress, evento de tecnologia realizado no fim de fevereiro em Barcelona, Shier demonstrou à reportagem dois hacks que podem ser efetuados em telefones Android.
Cuidar da segurança no celular, segundo o especialista, começa na hora da compra. Deve-se dar preferência a dispositivos que terão suporte e atualizações de sistema pelos próximos três ou quatro anos —claro, isso de nada adianta se não for para manter tudo em dia.
Os celulares vêm com serviços de segurança habilitados por padrão, como o Play Protect no caso do Android. Eles bloqueiam aplicações que consideram perigosas.
Às vezes, de acordo com o hacker, o usuário quer acessar algum desses conteúdos bloqueados (por exemplo, abrir um app falso acreditando ser legítimo) e desativa as defesas para conseguir. “Não devemos baixar deliberadamente as proteções do smartphone”, afirma Shier.
Aplicativos especializados (os famosos antivírus) podem ajudar a criar algumas barreiras adicionais contra eventuais ataques.
É importante dar atenção ao app escolhido para proteger o celular. A recomendação é procurar empresas “bem conhecidas, verificadas e com boa reputação”. Segundo pesquisa da AV-Comparatives, de 250 opções para Android analisadas em março, mais da metade era ineficiente.
Hacks
No primeiro ataque demonstrado, Shier instalou no telefone um aplicativo falso que se passava pelo Facebook Messenger. Ao ser ativado, o app desapareceu e o telefone passou a ser listado num programa espião, executado no computador do especialista.
Apps falsos não necessariamente vão sumir ao serem ativados. Alguns funcionam como um clone de um aplicativo legítimo e têm as funções maliciosas adicionadas. Nesse caso, seria como se o Facebook Messenger abrisse normalmente, mas fazendo algo malicioso por baixo dos panos.
Na demonstração para a reportagem, pelo notebook, o hacker mostrou ter acesso praticamente total do telefone. Poderia, por exemplo, roubar dados, mensagens e tirar fotos —tudo sem pedir permissão para o usuário, algo que aplicativos legítimos costumam pedir autorização para fazer. “A informação extraída poderia ser usada depois para extorsão”, alerta.
As versões mais recentes do Android bloqueariam o programa usado por Shier, mas, assim como o sistema do Google, o app espião recebe atualizações frequentes e pode voltar a ser uma ameaça. Daí a importância de se manter o sistema em dia.
Além disso, assim como o que foi usado na demonstração, existem vários outros programas espiões que são vendidos abertamente na internet. Eles são oferecidos como produtos para monitoramento de filhos, funcionários e cônjuges. Um dos mais populares desses sistemas cobra U$ 30 (pouco mais de R$ 100) pela assinatura mensal.
Normalmente, eles requerem que se tenha o celular em mãos para estabelecer uma conexão que permita espionar tudo o que acontece no smartphone a distância. O Facebook Messenger falso fez essa ligação diretamente.
Para chegar ao celular, um aplicativo malicioso tem vários caminhos. Um deles é por meio de páginas falsas na internet, como as que simulam promoções e vira e mexe circulam pelo WhatsApp, ou até pela própria loja oficial do Android.
Em nota, o Google diz que qualquer pessoa pode denunciar aplicativos nocivos para a empresa. Também afirma que, diariamente, o Play Protect escaneia 50 bilhões de aplicativos para encontrar potenciais ameaças.
Bluetooth
Outro hack demonstrado, esse um pouco mais complexo, foi interceptar uma conexão bluetooth entre o telefone e um robô de brinquedo.
Usando um grupo de microcontroladores, espécie de computador em miniatura, acoplados ao notebook, o hacker identificou a troca de informações entre celular e brinquedo e enviou sinais para ambos. Ao primeiro, “disse” que a conexão foi perdida. Com isso, o caminho ficou livre para o notebook se passar pelo smartphone e enviar comandos ao robozinho.
O especialista em cibersegurança responsável pela demonstração disse que isso é possível porque, por ser um brinquedo sem tela e botões, não é necessária nenhuma senha ao conectar via bluetooth, afinal, não teria onde digitar.