Autenticação de dois fatores, atualizações de segurança, gestores de palavras-passe, iniciar sessão sem palavra-passe com o padrão FIDO. Todas estas são ferramentas para protegeres o teu smartphone contra criminosos. No entanto, existe uma enorme falha de segurança nos telemóveis que consegue contornar facilmente todas estas barreiras. Esta vulnerabilidade permite que os cibercriminosos invadam a tua conta Google sem grande esforço.
Engenharia social
Joanna Stern, do The Wall Street Journal, noticiou recentemente um aumento no roubo de iPhones. Nestes casos, os ladrões recorrem a uma técnica chamada engenharia social, que lhes permite observar e memorizar o código PIN do teu telemóvel.
A engenharia social é, no fundo, uma forma de manipulação psicológica. Os cibercriminosos exploram traços humanos como o medo, a ganância, a curiosidade, a confiança e o desconhecimento para te levar a cometer erros de segurança. Existem duas formas principais: a física e a digital.
Na variante física, um criminoso pode, por exemplo, vasculhar o teu lixo (prática conhecida como dumpster diving) ou simplesmente espreitar por cima do teu ombro no comboio enquanto digitas uma palavra-passe. Outro exemplo clássico é alguém na rua pedir-te para ver uma foto que acabaste de tirar, obrigando-te a introduzir o PIN à sua frente.
Já na engenharia social digital, o criminoso utiliza redes sociais ou e-mails falsos (phishing) para te enganar e obter os teus dados pessoais.
O teu PIN é a chave mestra
O grande risco de segurança nos telemóveis atuais está precisamente na combinação da engenharia social física com a fragilidade do código PIN.
Após a publicação do artigo de Joanna Stern, Mishaal Rahman, do site para programadores Android Esper, decidiu investigar o problema. Numa publicação no Twitter, ele demonstrou algo alarmante: se um ladrão souber o código PIN do teu telemóvel Android, pode alterar a palavra-passe da tua conta Google.
Tanto a Apple como a Google oferecem aos utilizadores a opção de redefinir a palavra-passe da conta usando apenas o dispositivo. O problema é que, para isso, basta conhecer o PIN de desbloqueio do ecrã. Rahman demonstrou o processo no seu telemóvel Android, seguindo estes passos: Definições → Google → Gerir a tua conta Google → Segurança → Palavra-passe → Esqueceste-te da palavra-passe → Confirma o bloqueio do ecrã.
Com o teu PIN, um ladrão consegue acesso imediato a toda a tua informação pessoal. Pode vasculhar o teu Google Fotos à procura de documentos, como o teu passaporte, fazer chantagem com os teus dados privados ou até roubar a tua identidade para enganar outras pessoas, usando o teu nome. E o pior? Ficas sem poder fazer nada, porque a palavra-passe da tua conta Google já foi alterada.
Altera o teu PIN agora mesmo
Rahman conseguiu, assim, alterar a palavra-passe da sua conta Google apenas com o PIN do telemóvel. O seu conselho é claro e urgente: muda imediatamente o método de bloqueio de ecrã do teu telemóvel para uma palavra-passe forte.
Mas e se usares reconhecimento facial ou a impressão digital? Mesmo estes métodos biométricos têm um PIN, padrão ou palavra-passe como alternativa de segurança. Por isso, a recomendação mantém-se: substitui o teu PIN ou padrão de bloqueio por uma palavra-passe alfanumérica, ou seja, uma que combine letras, números e símbolos.
Além disso, Rahman aconselha a evitar ao máximo a opção “Iniciar sessão com o Google”, especialmente quando a confirmação (“Toca em Sim no teu telemóvel”) aparece no mesmo dispositivo que estás a usar. Espera-se que a Google corrija esta falha o mais rapidamente possível.
Mais esforço, mais segurança
Sim, vai dar-te mais trabalho e levar mais tempo a desbloquear o telemóvel. Terás de memorizar esta nova palavra-passe, pois o gestor de palavras-passe não a pode inserir por ti no ecrã de bloqueio. No entanto, esse pequeno incómodo torna-se insignificante quando comparado com o pesadelo de perderes o acesso à tua conta Google para um cibercriminoso.
- Altera o bloqueio de ecrã do teu telemóvel para Palavra-passe.
- Ativa a autenticação de dois fatores na tua conta Google.
- Utiliza um gestor de palavras-passe para todas as tuas outras contas.
- Considera usar uma chave de segurança física, como uma YubiKey, para uma proteção máxima.
