Mão segurando um iPhone com o polegar sobre o sensor de digitais.

Senha de seis números não é suficiente: qual a melhor maneira de proteger o smartphone?


18/4/18 às 14h38

Proteger o smartphone com uma senha é uma atitude básica de qualquer um que se preocupe com segurança e privacidade. Além de evitar que bisbilhoteiros mexam em apps e tenham acesso a dados privados, isso criptografa o conteúdo do aparelho. O modelo de senha padrão, porém, pode não ser o bastante para protegê-lo.

Em 2015, o FBI travou uma queda de braço com a Apple durante as investigações do atentado de San Bernardino, na Califórnia, quando o casal Syed Rizwan Farook e Tashfeen Malik matou 14 pessoas e feriu gravemente outras 22. O iPhone 5c de Farook estava bloqueado por senha. O FBI exigia que a Apple criasse e fornecesse uma maneira de burlar essa proteção, pedido que a empresa se negou a cumprir sob a justificativa de que criaria um precedente perigoso, capaz de comprometer a privacidade de todos os seus usuários.

A pressão do FBI sobre a Apple, que chegou a incluir uma ação na Justiça, cessou abruptamente. Em seguida, o Departamento de Justiça dos Estados Unidos disse que tinha conseguido acessar o conteúdo do iPhone 5c do terrorista.

Até hoje não se sabe ao certo como o FBI conseguiu esse acesso. Alguns dizem que a quebra da proteção foi obra de uma empresa israelense, a Cellebrite; outros, que o FBI contratou “hackers profissionais” para fazer o serviço.

Três anos depois, o blog da empresa de segurança Malwarebytes revelou a existência de uma nova empresa com um produto sofisticado, capaz de quebrar a proteção de qualquer iPhone — até mesmo do mais recente, o iPhone X, com a última versão do iOS —, em questão de minutos.

O dispositivo se chama GrayKey e é fabricado por uma empresa de Atlanta, nos Estados Unidos, chamada Grayshift. Trata-se de uma caixinha cinza com dois cabos Lightning apontando para fora. Segundo a Malwarebytes, além de descobrir a senha do iPhone conectado, a GrayKey também consegue copiar todo o conteúdo do aparelho, descriptografá-lo e exibi-lo em uma interface web.

GrayKey, equipamento que desbloqueia o iPhone.
Foto: Malwarebytes/Reprodução.

A GrayKey é vendida de duas formas. A versão mais barata custa US$ 15 mil e dá direito a 300 desbloqueios. Ela precisa estar conectada à internet e tem uma limitação geográfica — ela só funciona no perímetro da rede onde foi configurada.

A outra versão custa o dobro, US$ 30 mil. Ela funciona offline e não tem limites na quantidade de aparelhos desbloqueados, o que representa um grande risco, já que, se cair em mãos erradas, ninguém poderá impedir seu uso indevido.

Segundo o Motherboard, diversas polícias e outras autoridades dos Estados Unidos já adquiriram modelos da GrayKey.

Ninguém sabe ao certo como a GrayKey funciona. O iPhone tem uma série de barreiras, de hardware e software, para conter acessos não autorizados, incluindo alguns mecanismos inibem a utilização de força bruta, método que testa todas as possibilidades de senhas, uma a uma, em alta velocidade. Além de impor intervalos cada vez mais espaçados entre as tentativas mal sucedidas de adivinhar a senha, é possível também configurar o iPhone para que ele autodestrua seu conteúdo após a inserção de dez senhas erradas. A GrayKey consegue burlar ambas.

Apesar do mistério, é quase certo, segundo analistas, que a GrayKey explore alguma falha no iOS ainda não descoberta ou não corrigida pela Apple. Isso permitiria que a caixinha “sabotasse” as proteções do iPhone e conseguisse fazer o desbloqueio do aparelho, coisa que, de outra forma, não seria possível.

Como se proteger?

Por padrão, o iOS pede uma senha de seis números na configuração inicial. Segundo Matthew Green, professor da Universidade Johns Hopkins, uma senha numérica de seis dígitos pode ser quebrada em menos de 24 horas, com uma média de 11,1 horas.

É possível aumentar esse número de caracteres e incluir letras e símbolos. Para isso, entre em Ajustes, depois em Touch ID e Código. Nesse momento, será pedida o código de desbloqueio atual, caso já haja um configurado. Insira-o. Na tela seguinte, toque em Alterar Código e insira novamente o código de desbloqueio.

Na próxima tela, o iOS pedirá o novo código. No rodapé, há um link chamado Opções de Código. Toque nele e escolha a opção Código Alfanumérico Personalizado. Você poderá, então, usar números, letras e símbolos para criar uma senha mais forte.

Tela do iOS com outras opções de senha além da numérica de seis dígitos.
Em vez de seis números, senha alfanumérica sem limite de caracteres.

O efeito colateral negativo é que essa solução é bem menos conveniente que o código numérico de seis dígitos. E, alerta Green, essa nova senha não é uma garantia absoluta de mais segurança. Tudo depende de como ela é construída.

Por outro lado, a maioria acaba usando a autenticação biométrica no dia a dia — impressão digital na maioria dos modelos, reconhecimento facial no iPhone X. A senha só é pedida após cinco tentativas sem sucesso via biometria, após 12 horas sem que o iPhone seja desbloqueado e no primeiro desbloqueio imediatamente após ele ser reiniciado. Ou seja, é viável criar uma senha bastante forte e segura, já que ela, em tese, só é requisitada esporadicamente. Só atente para guardá-la bem na memória. Caso esqueça a senha, todo o conteúdo do iPhone e o acesso ao aparelho serão perdidos.

Outros tipos de senha

Um Galaxy S8 com a tela bloqueada procura pelos olhos do usuário.
Galaxy S8 exibe opções de desbloqueio por íris ou padrão. Foto: Wikimedia Commons.

No Android, a variedade de métodos de bloqueio é maior, mas isso não significa que sejam mais seguros.

O padrão, um desenho feito a partir de nove pontos na tela inicial, é um dos menos seguros, embora seja muito popular. De acordo com uma pesquisa da Academia Naval dos Estados Unidos e da Universidade de Marykland, as chances de alguém descobrir o padrão de desbloqueio de outra pessoa com apenas uma olhada é de 64,2%. Se tiver a oportunidade de ver mais de uma vez, o índice sobe para 79,9%.

Remover o rastro/as linhas visíveis do padrão melhora os números (35,3% e 52,1%, respectivamente), mas, ainda assim, são valores altos perto do bom e velho código numérico. Apenas em 10,8% dos casos alguém consegue descobrir um código de seis dígitos observando a vítima apenas uma vez — o índice salta para 26,5% para múltiplas observações.

Desde o Android 5, o sistema do Google oferece uma série de desbloqueios possíveis através de contextos. São os recursos Smart Lock. Você pode, por exemplo, remover o bloqueio do aparelho em “locais confiáveis”, como sua casa. Enquanto estiver no perímetro pré-definido, o celular não pedirá senha para liberar o acesso a ele.

Segundo a AVG, o mais seguro desses métodos é o de dispositivos confiáveis. Se você tem um relógio, pulseira, fones de ouvido ou qualquer outro dispositivo vestível que se comunique com o celular via Bluetooth ou NFC, o bloqueio do celular é removido enquanto o acessório estiver pareado. Em outras palavras, alguém que levasse seu celular precisaria levar também o acessório confiável para ganhar o acesso.

O menos seguro, também de acordo com a AVG, é a detecção de corpo, que confia nos sensores do celular para liberar o acesso quando ele estiver sendo carregado. Desbloqueie uma vez e, enquanto esses sensores detectarem que você está carregando o aparelho, a tela de bloqueio não será exibida outra vez.

Os métodos de desbloqueio facial, que existem no Android desde muito antes do Face ID, do iPhone X, costumam ser inseguros. Devido a limitações de hardware, já que essa solução confia quase que totalmente na câmera frontal, especialistas não recomendam seu uso — uma foto em alta resolução é capaz de enganá-lo.

No iPhone X, a presença de sensores de profundidade avançados torna mais difícil burlar a proteção. A Apple chega a afirmar que o reconhecimento facial é mais seguro que o sensor de impressão digital. Mesmo assim, é possível burlá-lo, embora isso exija um trabalho monumental, como demonstrou a empresa de segurança vietnamita Bkav. O scanner da íris, presente nos Galaxy S8, S9 e Note 8, também se sai bem no quesito segurança, mas, da mesma maneira, não é infalível. O grupo alemão Chaos Computer Club conseguiu burlar essa proteção com um método que envolve fotos em alta resolução e o uso de lentes de contato.

Mesmo com a revelação da GrayKey, parece ser consenso entre especialistas de segurança que as velhas senhas alfanuméricas ainda são o método mais seguro de bloqueio do smartphone. Totalmente? Não. Nada jamais será 100% à prova de intrusos. No caso das senhas, de nada adianta criar uma muito forte se ela estiver copiada em um post-it no monitor, ou se mais pessoas tiverem conhecimento dela, ou, ainda, se há descuido na hora de inseri-la em lugares públicos. Não há ferramenta capaz de vencer uma boa engenharia social, portanto, atenção sempre.

Colabore
Assine o Manual

Privacidade online é possível e este blog prova: aqui, você não é monitorado. A cobertura de tecnologia mais crítica do Brasil precisa do seu apoio.

Assine
a partir de R$ 9/mês