em Dicas e tutoriais

O Face ID e a segurança do seu celular

Quando a Apple anunciou o Face ID como medida de segurança para seus novíssimos aparelhos iPhone X, ela comunicou a toda a imprensa e usuários que “nem mesmo máscaras hollywoodianas seriam capazes de enganar seu sistema”. Uma empresa de segurança vietnamita chamada Bkav, no entanto, parece ter colocado esta releitura (in)voluntária da máxima que diz que “nem Deus afunda o Titanic” à prova, ao ter divulgado, recentemente, que enganou o Face ID com uma máscara especialmente projetada para driblar a tecnologia.

Ngo Tuan Anh, vice-presidente da Bkav, empresa de cybersegurança vietnamita, demonstra o software de reconhecimento de face da Apple em conjunto com uma máscara 3D em seu escritório em Hanói, Vietnã. Crédito da foto: Kham, Reuters, [fonte].

De acordo com notícia do site Engadget, os pesquisadores não precisaram sequer trapacear para realizar a façanha: O iPhone X foi treinado a partir do rosto de um funcionário da própria Bkav, e em seguida foi fabricada a máscara, com custo total de fabricação de apenas USD 150, aproximadamente. O vídeo a seguir, publicado por eles, mostra alguns detalhes do que fizeram, ainda que não deixe claro quantas tentativas foram necessárias até conseguirem, ou se de fato conseguiram:

Quer eles tenham ou não conseguido, não estou preocupado com a notícia em si. Primeiro, a Apple, embora tenha de fato anunciado o Face ID, nunca o considerou (apenas) como mecanismo de segurança, mas sim como uma comodidade para os usuários que não querem perder tempo nem para digitar PINs, nem para usar suas digitais.

Pensem também no tempo necessário para produzir uma máscara igual à da empresa vietnamita. Eles levaram 5 dias inteiros, e deixaram claro em seu site que precisaram de ajuda especializada para projetar certos aspectos da máscara final. Ou seja — a vida real não é um episódio de Arrow onde uma Felicity Smoak da vida hackeia qualquer dispositivo antes que você dê outra piscada de olhos. Quando se associa tudo isso ao fato de que pessoas comuns como você e eu (normalmente) não carregam segredos de estado em seus celulares, creio que podemos dizer que estamos relativamente seguros.

Mas exageros a parte, há sempre uma preocupação, sim, ainda que inconsciente, de todos os usuários, com relação à sua segurança e privacidade. Neste sentido, eu gostaria de compartilhar com vocês algumas dicas interessantes quanto a como podemos proteger melhor nossos aparelhos, tão indispensáveis no dia-a-dia, contra máscaras e outros bichos.

Atualize o sistema operacional do seu aparelho

Eu odeio fazer isso, por dois motivos básicos: Primeiro, concordar com a estratégia de obsolescência programada que as fabricantes de celulares e tablets nos empurram todos os dias — novos aparelhos, cada vez mais rápidos e eficientes, com sistemas novos que tornam aparelhos antigos cada vez mais lentos. Segundo, porquê toda versão nova de sistema pode deixar o aparelho com uma interface mais feia ou com experiência pior, ou ainda irritante (alô, iOS 11). Ainda assim, um monte destes hacks dos quais ouvimos falar nas notícias se aproveitam de vulnerabilidades que já foram corrigidas nas versões mais recentes, e, assim, expor-se à toa é bobagem.

Cuidado com o que você instala — e com o que já está instalado

Para quem usa aparelhos baseados no sistema Android, esta dica é particularmente importante. Enquanto alguns usuários se gabam de que o sistema é mais liberal e permissivo do que o da Apple, é justamente quando você instala um novo app que pode se deparar com solicitações para liberar uma série de permissões, incluindo a leitura de arquivos, acesso à câmera do aparelho ou ao seu microfone. É claro que não se deve viver no mundo da teoria da conspiração, já que existem vários usos legítimos para estas capacidades, mas deve-se ter bom senso para evitar os golpes e abusos. Basta pensar no porquê determinado aplicativo precisa daquele acesso.

A Apple leva vantagem neste ponto, já que seu processo de aprovação do que vai ou não ser oferecido na App Store é muito mais severo do que o do Google na Google Play. Pense: O sistema Android também permite a instalação de aplicativos provenientes de app stores alternativas. Algumas são reconhecidas e menos suspeitas por isso, como a da Amazon — enquanto outras são verdadeiras fontes de aplicações maliciosas que só querem se aproveitar de seu pobre aparelho.

Aplicativos que já estão no seu celular também devem ser observados: Não são apenas os sistemas que têm atualizações de versão frequente, que trazem correções e melhorias. Os desenvolvedores dos aplicativos também fazem isso, e é interessante ficar de olho nas descrições de atualização. Leva apenas uns segundos pra pelo menos dar uma passadinha de olhos, e você pode verificar se algo inocente se tornou sinistro de uma hora pra outra. Se for o caso, apague o app com o qual não concorda mais.

Código, código, código

Se alguém de fato chegar a colocar as mãos em seu precioso aparelho, podem acabar te causando uma séria dor de cabeça — pense no que ele pode descobrir dando uma olhada no seu e-mail, ou no Facebook: Quantos dados pessoais, né?

A tecnologia tem avançado e apresentado os Face IDs e os Touch IDs da vida, é fato. Mas pense simples antes de qualquer coisa: Tanto o Android quanto o iOS podem ser configurados para exigir um código com seis dígitos para liberar o aparelho para uso, e isso já é melhor do que nada.

Proteja seus aplicativos e contas fundamentais

Falei acima do Facebook e do seu aplicativo de correio eletrônico. Para todas as suas aplicações fundamentais há usuários e senhas associados, e uma das coisas que mais podem expor seu aparelho — e privacidade — são as funções de auto-login: Basta bobear por um minuto que alguém abre o aplicativo e aí será tarde para reparar o estrago.

Diversos fabricantes e desenvolvedores de software e serviços oferecem uma característica muito legal para proteção neste sentido: Chama-se two-factor authentication, ou autenticação em dois fatores. Pense nisso como um processo onde sua entrada no aplicativo só é liberada depois que você fornece duas informações corretas. Na maioria das vezes trata-se da sua senha e de um código, numérico ou alfa-numérico, que muda de tempos em tempos. Apple, Google e Facebook, só para citar exemplos conhecidíssimos do grande público, todos contam com essa opção — até mesmo o WhatsApp. Mesmo que este recurso também não seja à prova de falhas, é mais uma defesa possível para seus dados.

Também é interessante o uso de gerenciadores de senha. Sou adepto dessa prática já há bastante tempo, e ela tem duas vantagens: Primeiro, eu só preciso lembrar de uma senha, que acaba atuando como uma chave-mestra. Em segundo lugar, todas as senhas geradas pelo aplicativo podem ser configuradas para serem impossíveis de lembrar, com combinações gigantescas de letras, números e símbolos que tornariam o esforço de invasão exponencialmente complexo a cada caractere adicionado.

Alguns de vocês podem pensar que lembrar de uma única senha pode ser um ponto de fraqueza a ser explorado por alguém que queira roubar meus dados. No entanto meu segredo é outro ponto forte: Ao invés de usar meras senhas, adotei as passphrases, ou seja, frases completas no lugar de sequências de caracteres aleatórias, ou palavras simples.

Você pode usar sua citação favorita de um autor, ou criar uma frase totalmente aleatória. O importante é lembrar que senhas mais longas são mais seguras que senhas complexas. Meu argumento final, que considero matador neste aspecto, é que a senha que utilizo para proteger este blog — uma passphrase — levaria 15 octilhões de anos para ser descoberta, de acordo com o How Secure is My Password, ou 89 séculos conforme os dados do Passfault.

Fechando este tópico específico, coloque senha em cada aplicativo seu que permitir que isso seja feito. É mais uma maneira de proteger suas informações. É claro que não adianta nada usar a mesma senha para todos eles: Recorra a um gerenciador de senhas para te ajudar, também neste caso.

Finalmente… rastreie seu dispositivo!

Se o seu aparelho cair em mãos erradas ou for roubado, mesmo com todas estas dicas — claro, isso pode acontecer! —, você ainda pode garantir que seus dados estejam a salvo. Para isso, basta programar seu aparelho para que os dados nele existentes sejam automaticamente apagados depois de um certo número de tentativas de informar a senha que se mostrem incorretas.

Adicionalmente, tanto Android quanto iOS possuem recursos do tipo find my device que podem localizar seu celular em um mapa e travá-lo ou apagá-lo remotamente. Se tudo mais falhar, essa pode ser a solução derradeira.

Escreva um comentário

Comentário