Primeiro mandamento para a segurança na web é "não negligenciar as ameaças móveis" (Joel Saget/AFP)
Da Redação
Publicado em 18 de abril de 2012 às 09h16.
São Paulo - No ano passado, a atriz americana Scarlett Johansson tomou um susto. Duas fotos circularam pela internet e escancararam sua intimidade. Uma das cenas a flagrou nua, de costas, em frente ao espelho de seu quarto. A outra a mostrava com os seios despidos, deitada numa cama. Foi um caso típico de invasão de privacidade.
Mas em nenhum momento o criminoso teve contato com Scarlett: as imagens foram surrupiadas de seu BlackBerry, modelo Bold 9000, por um hacker, Christopher Chaney, um sujeito barbudo, que mora na Flórida. Chaney garimpava dados de pessoas famosas e, com base neles, invadiu smartphones ou tablets de suas vítimas. Copiava dados e os enviava a um e-mail sob seu controle.
Com esse método, que combinava truques de hacker com habilidades de engenharia social (como adivinhar senhas partindo de dados pessoais), Chaney acessou smartphones de mais de 50 celebridades.
Em poucas semanas, foram invadidos aparelhos de famosos como os das atrizes Jessica Alba e Miley Cyrus, da cantora Christina Aguilera e do astro Justin Timberlake, mostrado com uma calcinha rosa na cabeça. Roubado do smartphone de um ator, o roteiro de Rock of the Ages, musical que terá direção de Tom Cruise, foi postado no site The Pirate Bay.
Mas se você acha que só porque não é bonito e conhecido ou não tem uma legião de fãs está longe de ter o smartphone ou tablet invadido, engana-se. Seus e-mails e mensagens de voz, lista de contatos, traços dos caminhos que percorreu, informações pessoais, e, principalmente, o número do seu cartão de crédito, podem estar em perigo.
"A maioria dos usuários pode não se dar conta, mas os smartphones e tablets têm muito mais poder do que o computador que usavam há poucos anos", disse Carey Nach Berg, vice-presidente da Symantec, uma das maiores empresas de segurança para dispositivos conectáveis à internet. "A diferença é que hoje eles são muito mais portáteis e, portanto, ainda mais vulneráveis a ataques."
Como um sinal dos tempos da evolução tecnológica, quando as pessoas estão usando cada vez mais smartphones e tablets, os crackers estão se tornando mais criativos para bolar formas de invadir esses dispositivos. "Os ataques a aparelhos móveis estão na moda", diz a americana Lianne Caetano, da McAfee. "Basta ver as estatísticas recentes para saber que a tendência é de alta explosiva".
Segundo a consultoria americana Lookout, em dezembro de 2011, 4% dos celulares com Android tinham algum tipo de ameaça. Isso é quatro vezes mais do que em janeiro do ano anterior. "O nível de perigo que os hackers levaram 15 anos para conseguir nos desktops foi alcançado em dois anos nos dispositivos móveis", diz Kevin Mahaffey, diretor de tecnologia da Lookout.
"Os cibercriminosos são como qualquer delinquente: vão atrás de dinheiro e é para os smartphones e tablets que estão se dirigindo agora", afirma o russo Eugene Kaspersky, presidente da empresa de segurança Kaspersky.
Má notícia? Ainda vai piorar. No ano passado, foram vendidos 421 milhões de celulares no mundo. Foi a primeira vez que o número de dispositivos móveis superou o de desktops. Se antes a praia dos ciberpiratas eram os sites de empresas e os computadores, agora a guerra digital está entrando na versão 2.0. Veja, a seguir, sete mandamentos que o ajudarão a se defender dos crackers ao usar smartphone ou tablet.
1º Mandamento
"Não negligenciarás as ameaças móveis"
Que fique claro: computadores continuam a ser o alvo principal da ciberpirataria. Mas o crescimento dos ataques a telefones celulares e tablets é um perigo real e está em franca disparada. De um total de 516 variantes de ameaças catalogadas em agosto de 2009, o número saltou para 4.134 no final do ano passado. OK, ainda é um pingo d’água na comparação com a quantidade de ameaças para computador (segundo a McAfee, este ano começou com 75 milhões de ameaças).
Para se ter uma ideia de quanto a epidemia dos vírus para smartphones e tablets está andando rápido, não faz nem oito anos que o primeiro vírus para dispositivos móveis foi descoberto. "Era junho de 2004 quando pela primeira vez demos de cara com a amostra de um vírus, o Cabir, montado para atacar smartphones com um sistema operacional Symbian", afirma o russo Denis Maslennikov, analista sênior da Kaspersky, em Moscou.
Sob o disfarce de Caribe Security Manager, era uma ameaça criada pelo 29a, um grupo de hackers baseado na França, que podia se espalhar para outros smartphones por Bluetooth. "Apesar de inédita, era quase inofensiva se comparada ao que se vê hoje", afirma Maslennikov. O mundo mudou, mas os usuários de dispositivos móveis não.
A maioria ainda não liga a mínima para proteção e tem hábitos que os tornam vulneráveis a roubos de informações, como o clique em links suspeitos. "Dispositivos móveis são ainda mais vulneráveis a ataques de hackers do que
computadores
de mesa", diz Lianne Caetano, da McAfee. "Além de poderem ser atacados por e-mail ou downloads, como qualquer computador no escritório ou em casa, tablets e smartphones expõem oportunidades para que um código malicioso entre também a partir de conexões sem fio públicas, por aplicativos ou Bluetooth."
2º Mandamento
"Saberás que nenhum Sistema Operacional é totalmente seguro"
Diretor de pesquisa em segurança da McAfee Labs, David Marcus acompanha há 12 anos a disseminação de arquivos suspeitos para dispositivos móveis. Nos últimos meses, um fenômeno que tem saltado aos seus olhos é o aumento explosivo de ameaças para aparelhos com sistemas operacionais Android.
De acordo com um levantamento publicado pela empresa, em seis meses a quantidade de novas infecções descobertas nessa plataforma aumentou 421%. Só no terceiro trimestre do ano, 600 ameaças ao Android foram detectadas, segundo a Kaspersky Lab. "Os cibercriminosos decidiram fazer do Android OS o foco de seus ataques", afirma Maslennikov. No final de 2011, algo como 47% das ameaças para dispositivos móveis tinham como alvo aparelhos com esse sistema operacional.
O calcanhar de aquiles dos aplicativos distribuídos no Android Market está no fato de terem um controle de qualidade menos rígido do que os distribuídos na App Store. Nestes, o desenvolvedor precisa criar uma conta, pagar 50 dólares anuais e ter uma assinatura digital com certificação da própria Apple. Isso garante que um app não pode ser adulterado facilmente depois de sua criação. Para aplicativos Android, a certificação digital custa 25 dólares e é menos rigorosa (pode, por exemplo, ser feita por um terceiro que não o Google).
“Qualquer um pode postar aplicações no Android e isso cria oportunidades para os hackers", diz Nach Berg, da Symantec. Assim, multiplicam-se programas, como o Geinimi, um cavalo de troia criado por crackers chineses que permite aos ciberpiratas manipular mensagens de texto, roubar listas de contatos, fazer downloads indesejados ou obter informações privadas de 5 em 5 minutos.
Mas o Google está se mexendo. “Versões mais recentes do Android, como a IceCream Sandwich, têm dispositivos mais robustos de Sandbox (isolamento de segurança), que podem ajudar a limitar o impacto de aplicativos mal-intencionados", diz Nach Berg. Segundo ele, um problema maior para os aparelhos Android é que eles permitem que aplicativos produzidos por terceiros obtenham o nível de superusuários dos aparelhos.
Para tentar remediar a situação, o Google decidiu adicionar um serviço para analisar potenciais riscos nos aplicativos dentro de sua loja. Batizado de Bouncer, ele escaneia um a um os apps para saber se trazem códigos maliciosos. Isso ajudará, claro, pois representa mais uma proteção. Mas não tornará o sistema automaticamente seguro.
Seguro nenhum sistema é. Já foram organizados ataques específicos ao iPhone, como o Ikee.8, voltado a aparelhos desbloqueados. Por meio de uma rede sem fio, o invasor bloqueava a tela com uma mensagem que exigia o depósito de 5 euros na conta PayPal dos criadores da praga virtual.
Nesse caso, seria possível dizer que isso ocorreu por causa do desbloqueio dos aparelhos. No entanto, no ano passado, um teste de pesquisadores do Fraunhofer, um instituto de pesquisas alemão, driblou a criptografia do hardware de proteção de um iPhone com a versão iOS 4.2.1 e conseguiu obter senhas, inclusive para Wi-Fi, VPN e correio de voz. Nesse caso, o iPhone não era desbloqueado.
Aparelhos com os sistemas Windows Phone, BlackBerry OS e iOS também estão vulneráveis aos ciberpiratas. No ano passado, durante o Desafio Pwb20wn, para testar vulnerabilidades de aparelhos, o analista Willem Pinckaers, da Matasano Security, demonstrou que um aparelho BlackBerry podia ser infectado em apenas 10 segundos.
Agora, no final de janeiro, foi descoberto na App Store, a loja de aplicativos da Apple, um aplicativo para iPhone que se passava pelo popular Camera+, um best seller da plataforma. Desenvolvida pela tão misteriosa quanto mal-intencionada Pursuit Special, a falsificação foi removida, mas mostrou que, apesar do rigor no processo de homologação, o que não falta são brechas para os malandros agirem.
3º Mandamento
"Só baixarás apps confiáveis - e mesmo assim, olhe lá"
A principal porta de entrada para vírus em smartphones ou tablets atende pelo nome de aplicativos. Eles surgiram em 2007, quando a Apple lançou a primeira geração do iPhone, que podia ser incrementado com centenas de apps diferentes. Ficaram ainda mais populares quando Google e fabricantes de aparelhos, como Samsung, Dell e LG, entre outros, aderiram ao Android, uma plataforma aberta. Tornaram-se tão fundamentais que, desde então, nenhum fabricante ousa lançar um produto sem que esteja ligado a uma fonte para baixar aplicativos, as app stores.
No ano passado, nada menos do que 670 milhões de apps foram baixados. Só que, por não dar a menor bola para saber de onde eles vêm, muita gente se deu mal. "Uma boa medida de proteção, que a maioria dos usuários não põe em prática, é prestar atenção à origem dos aplicativos", afirma Nach Berg, da Symantec.
"Nunca se deve baixar um app sem conhecer a idoneidade de quem o desenvolveu." Segundo ele, antes de cair na tentação de fazer o download, vale sempre a pena fazer uma pesquisa em resenhas para ver se o app não é citado como ameaça.
4º Mandamento
"Se dono de Android, tomarás cuidado com as permissões"
Mesmo se não houver menção de suspeita, é sempre bom dar uma espiada em quais permissões o aplicativo pede. Isso é fundamental para aumentar a segurança. "Não tem sentido um aplicativo de receitas culinárias perguntar informações sobre sua localização ou pedir acesso a sua lista de endereços", diz Nach Berg.
Nos dispositivos como o iPod e o iPad, é vetada a instalação de aplicativos baseados em Flash ou a incorporação de GPS aos aplicativos já instalados. Mas, nos aparelhos com Android, a permissão é pedida ao usuário na hora da instalação, e é aí que muita gente dança. A maioria dos usuários simplesmente vai dizendo sim, sem pensar no que está fazendo.
"É de estranhar se a instalação de um jogo pedir para estabelecer conexões usando o sinal do aparelho, ou ainda para acessar e-mails, gerenciar recebimento de SMS, acessar arquivos MP3 e fotos, modificar o calendário, fornecer a localização do GPS", afirma Nach Berg. "A atenção para não dar permissão a tudo, ou a qualquer um, é o preço da liberdade."
5º Mandamento
"Nunca desbloquearás teu smartphone"
Seja das americanas McAfee e Symantec, ou da russa Kaspersky, ou ainda da inglesa MWR, qualquer especialista em segurança concordará em um ponto: desbloquear um dispositivo móvel, como o iPhone, é um atalho para problemas. Ao mesmo tempo que permite ao aparelho rodar aplicativos não aprovados pela Apple, mesmo que seja acima de qualquer suspeita, como o Adobe Flash Player, o desbloqueio abre brechas para ataques.
"Foi assim que o iPhoneOS.Ike se tornou o primeiro a instalar-se em smartphones da marca Apple, clonando a senha dos aparelhos", diz Maslennikov, da Kaspersky. Como lembrança, os incautos que caíam na cilada tinham o fundo do aparelho adornado com a foto de Rick Astley, cantor pop dos anos 80.
6º Mandamento
"Cuidarás da tua conta"
Eugene Kaspersky, o comandante-em-chefe da empresa fabricante de antivírus russa, gosta de dizer que uma das grandes diferenças entre computadores e smartphones ou tablets é que os dispositivos móveis estão diretamente conectados a uma conta bancária. Os hackers sabem disso.
Em março de 2010, eles colocaram um cavalo de troia em um jogo, o 3D Anti-Terrorist. Sua missão: usar o aparelho para fazer ligações internacionais. "Até que os usuários descobrissem, as despesas com as ligações caíam diretamente em sua conta telefônica", diz Kaspersky.
Nos últimos meses, outro golpe comum tem sido o envio de mensagens SMS para números premiados. Nos Estados Unidos, rende uma média de 50 dólares por mês, de cada usuário. Bastam 30 usuários contaminados para pagar a conta do programa, estimada em 1.500 dólares. O resto é lucro para o desenvolvedor e o hacker que coordenam os ataques.
Segundo a consultoria Juniper, só o GG Tracker, vírus descoberto em junho do ano passado, causou um rombo estimado em 1 milhão de dólares, surrupiados de várias contas telefônicas. Estatísticas divulgadas pela americana Trusteer, no ano passado, mostram que usuários de smartphones ou tablets têm três vezes mais chances de serem fisgados pelo phishing do que quem usa um computador.
7º Mandamento
"Protegerás teu dinheiro"
Enquanto nos tempos românticos dos primeiros hackers muitos ataques a computadores tinham como grande motivação o exibicionismo, hoje o que conta é a grana. "Invadir um celular é sinônimo de colocar as mãos em informações valiosas ou gerar golpes para obter dinheiro", diz Adrian Palmer, analista-chefe de cibersegurança da Symantec.
Ex-procurador da Justiça dos Estados Unidos, Palmer é aquele tipo de sujeito desconfiado por natureza. Mesmo com seus smartphones e tablets protegidos por dispositivos antimalware e antiphishing, e a possibilidade de deletar dados confidenciais em caso de extravio, ele nunca faz transações bancárias no celular. "Nem o saldo olho", disse Palmer, em Chicago.Segundo ele, o xis da questão são vulnerabilidades como as que existem nas redes Wi-Fi ou Bluetooth, que podem ser exploradas pelos ciberpiratas.
Em uma rede sem fio pública, uma vez estabelecida a conexão, toda a informação que passa pelo gateway, incluindo as senhas, pode ser acessada e decodificada por um hacker habilidoso. Ou seja, basta um pequeno intervalo de desatenção para que alguns desses vírus se instalem e tomem conta do celular. "Dispositivos móveis não foram construídos para ser seguros", diz o inglês Alex Fidgen, analista de segurança. Está aí uma boa razão pela qual um especialista em segurança como Adam Palmer nunca acessa sua conta bancária pelo smartphone ou tablet.