Nós todos sabemos os perigos. O smartphone é o portal para compras on-line, nossas contas bancárias e todos os tipos de perfis de redes sociais. Para muitos, é nossa identidade digital.

Sabemos o que temos que fazer: garantir que tenha um código de bloqueio e nunca compartilhá-lo com ninguém.

Leia mais: MyKronoz ZeTime Petite

Mas e se mesmo isso não for suficiente?

Pesquisadores da Universidade de Cambridge descobriram uma maneira de extrair o PIN em um telefone Android usando um aplicativo malicioso para capturar dados através da câmera e do microfone do smartphone. Esta técnica fez manchetes no final de 2013, pois foi capaz de identificar corretamente um PIN de quatro dígitos de um conjunto de testes 30% do tempo após duas tentativas, aumentando para 50% após cinco tentativas.

Manobra de flanqueamento

Seu PIN é realmente seguro??

Essa técnica é conhecida como um ataque de "canal lateral" e é digna de nota porque contorna a divisão supostamente segura entre o sistema Android e a zona confiável em seu smartphone.

Os ataques de canal lateral usam sensores como o giroscópio e o acelerômetro, ou hardware, como o microfone e a câmera, para capturar dados. Isso é então enviado para um servidor remoto, onde um algoritmo é usado para dar uma palpite no seu PIN.

A parte "confiável" do seu telefone é separada do sistema operacional principal e é projetada para isolar aplicativos confidenciais, como aplicativos bancários. Isso tudo é parte de um movimento para manter dados confidenciais em hardware separado, com empresas como ARM inventando a tecnologia TrustZone e GlobalPlatform (GP) criando padrões para um Trusted Execution Environment (TEE) para garantir que isso permaneça seguro.

No entanto, essa abordagem não protege contra ataques de canal lateral. Laurent Simon, um dos autores do PIN Skimmer: Inferir PINs Através da Câmera e do Microfone, nos disse: "Não é óbvio que o acelerômetro ou o microfone poderiam ser usados ​​para vazar informações. O foco está em proteger a tela."

Como funciona?

Esse ataque envolve o uso do aplicativo PIN Skimmer, que é um malware disfarçado como um jogo, para registrar usuários interagindo com a tela sensível ao toque..

A câmera frontal pode ser usada para capturar uma foto do usuário e determinar sua aparência ao pressionar um ponto específico na tela. Esses dados podem ser usados ​​para criar um modelo e analisar um vídeo deles inserindo seu PIN.

Isso é reforçado usando o microfone para capturar o áudio da realimentação de vibração háptica quando o usuário pressiona a tela em pontos específicos.

Para ser justo com os desenvolvedores, as vítimas precisam baixar o aplicativo e conceder permissão para acessar o microfone, a câmera e a Internet no sistema Android..

Depois que o invasor identificar um PIN provável, ele ainda precisará do smartphone fisicamente na mão antes de tentar. Como Simon explicou: "Nesse sentido, é limitado, você não pode fazer tudo remotamente; você precisaria colaborar [inadvertidamente] com ladrões".

Antes de descartar essa ideia como nunca vai acontecer com você, considere que o malware também pode ser usado para rastrear sua localização e que o roubo de smartphones está no auge de todos os tempos. O Met revelou que havia quase 100.000 telefones celulares roubados apenas em Londres durante 2013.

Como você pode se proteger?

Marc Rogers, pesquisador de segurança da Lookout, especialista em segurança móvel, nos disse: "O método mais comum de comprometer seu smartphone é instalar algo de uma loja de terceiros que enviará seu número de telefone, sua lista de contatos, suas mensagens SMS. e permitir que alguém controle remotamente o telefone.

"Fizemos um estudo e descobrimos nos EUA e no Reino Unido que a probabilidade de encontrar algo desagradável - um link de phishing, adware ou malware - é de cerca de 2% a 3%. Sua probabilidade de encontrar malware é de cerca de 0,5%."

Esses números são baseados em dados capturados de milhões de usuários da Lookout Mobile, com Rogers sugerindo que os usuários devem se ater à Play Store do Google e não ir a lojas de terceiros. "Estes não têm necessariamente o mesmo nível de proteção", disse ele, "e é por isso que a probabilidade aumenta de 0,5% no Reino Unido para cerca de 40% na Federação Russa e na Ucrânia."

Simon concordou que "o Google Play é uma aposta segura, mas isso não significa que você não pode ser comprometido de uma maneira diferente", citando uma exploração do Chrome que permitiu que invasores controlassem um Nexus 4 e um Galaxy S4 depois que os usuários clicaram um certo link.

Alguém está tentando nos proteger?

Os pesquisadores originais da Universidade de Cambridge estão se concentrando no que os fornecedores de sistemas operacionais e fabricantes de smartphones podem fazer para combater essa ameaça.

O artigo de pesquisa PIN Simon Skimmer também sugere várias contramedidas, mas as mais eficazes vêm com um custo para a usabilidade. Por exemplo, bloquear o acesso a vários sensores durante transações confidenciais manteria os hackers afastados, assim como a distribuição aleatória de dígitos no teclado PIN - mas isso também limitaria o que você pode fazer no seu telefone e tornaria inconveniente o uso.

Simon disse: "Quando você está digitando um PIN, você realmente não precisa ter acesso a nada, mas é uma grande decisão para os fabricantes dizer 'vamos bloquear tudo'. As pessoas podem começar a reclamar se perderem uma ligação ".

Mais tarde, ele nos disse que a Samsung sugeriu as contramedidas propostas para o GP, para possível inclusão no padrão TEE, e que a Qualcomm levou as recomendações a bordo.

E a biometria?

Poderia desenvolvimentos como o Touch ID da Apple ser a resposta? Rogers acha que poderia. Ele disse: "É realmente uma boa maneira de trazer segurança para as massas. É conveniente, fácil de usar e se encaixa nos processos normais do usuário".

É o Touch ID a resposta?

Embora a biometria tenha algumas vulnerabilidades, a grande vantagem é que elas permitem segurança conveniente em dois estágios.

Rogers disse: "Um PIN pode ser enganado de alguém, mas você não pode enganar uma impressão digital deles. Se você se casar com os dois, então agora você precisa de duas credenciais para obter acesso, eu classificaria essa segurança como muito alta "

Assim, a biometria (encontrada nos mais recentes carros-chefe da Apple, Samsung, HTC e um número crescente de outras) é um passo positivo em direção à segurança. Mas ainda resta saber se eles são a resposta ou se a autenticação multifator é um passo longe demais para as pessoas que usam seus smartphones todos os dias.

Em 2014, a Apple revelou que 49% das pessoas usavam uma senha antes da Touch ID, mas desde que ela foi lançada, 83% dos proprietários de iPhone agora usam o Touch ID ou uma senha. Parece que facilitar a segurança é um incentivo definitivo para os usuários.

Em última análise, a única opção pode ser sacrificar alguma conveniência para a paz de espírito. Como Simon disse: "Tudo o que você pode fazer para tornar as coisas mais difíceis para os bandidos é sempre uma coisa boa."