>>> Invasão do celular ‘pelo número’
O pai do meu filho disse ontem que irá mandar um amigo invadir meu celular apenas dando o meu número… não devo satisfação, mas ele vive controlando minha vida… Tem algum aplicativo que protege meu celular? Isso é certo? Posso processá-los por isso?
R. (a coluna omitiu o nome completo)
O número é uma forma de chegar ao aparelho. Ele permite o envio de mensagens de texto e multimídia (torpedos SMS e MMS) e, claro, permite que se faça alguma chamada. Se o celular tiver aplicativos instalados ao qual alguém possa chegar também pelo número, como o WhatsApp, pode ser possível enviar mensagens por meio desses aplicativos.
Sendo assim, se por acaso o celular ou um desses aplicativos que possa receber comunicações apenas pelo número do telefone tenha alguma brecha, sim, será possível atacar o celular. Trata-se, é bom ressaltar, de um cenário hipotético – pois é preciso que exista essa vulnerabilidade para tornar o ataque realizável. Vamos chamar esse cenário de “cenário 1”.
Outra possibilidade de ataque é a engenharia social, a lábia. Digamos que alguém ligue para você ou envie mensagens de texto se passando por um vendedor ou um técnico da sua operadora, orientando para que você instale algum aplicativo para obter promoções ou para se enquadrar em alguma oferta (o truque varia com a criatividade do golpista). Se você cair nesse golpe, dados do seu celular também podem ser roubados. Este seria o “cenário 2”.
O “cenário 1” é muito difícil de se realizar na prática. São poucas as falhas de segurança graves que podem ser exploradas diretamente com mensagens. Você teria de ler e abrir algum link presente nessas mensagens, no mínimo, o que torna o “cenário 1” já bastante parecido com o “cenário 2”: no fim das contas, o “invasor” precisa dar um jeito de convencer você a abrir alguma coisa. A brecha Stagefright, por exemplo, permite ataques no envio de vídeos, o que é bastante grave, já que você não precisa autorizar a instalação de um aplicativo (solicitações para instalar apps devem sempre acender o sinal vermelho).
A diferença, no cenário 2, é que o invasor orienta você a abrir diretamente um aplicativo. Se você tem um celular com Windows Phone ou um iPhone, isso é mais difícil – não há meio simples de instalar aplicativos fora da loja oficial. Já se você tem um Android, isso é mais fácil. Porém, há uma configuração no celular para impedir a instalação de aplicativos fora do Google Play. Se você usa essa opção, esse golpe também dificilmente vai funcionar.
Resumindo: mantenha seu celular com as atualizações de segurança em dia para evitar o “cenário 1” e não instale aplicativos oferecidos em mensagens para evitar o cenário 2.
Para evitar ataques locais (quando alguém consegue acesso físico ao seu celular), use uma senha de bloqueio e um prazo razoável para que seja solicitada a senha de bloqueio após inatividade do celular. Eu pessoalmente utilizo um prazo de 1 minuto, mas você pode usar um prazo mais longo caso se sinta confortável. A utilização de uma senha sem associação pessoal (nada de datas ou números que representem algo importante para você) é importante em qualquer cenário, mas ainda mais imprescindível quando há risco de ataque de alguém que conhece você (como um ex-namorado).
>>> Software obsoleto em assinatura digital
O site oficial da Justiça do Trabalho exige o uso de Java, Plugin e não permite atualização do Firefox e não roda com versões após 42.
E agora, como assinar digitalmente?
Eduardo Costa
Eduardo, isso, infelizmente, é o que se chama de “legado” – sistemas feitos com tecnologia antiga e que não são adequadamente atualizados para funcionar com sistemas modernos. Dito isso, o Java ainda não está totalmente fora de cena – apenas a versão futura do Java (Java 9) não terá o plug-in do navegador. O mais preocupante no exemplo dado é a limitação do Firefox à versão 42, o que não é nada ideal.
Como você não especificou a região da Justiça do Trabalho em questão, a coluna não tem como averiguar os detalhes técnicos do site em questão. No entanto, essa situação é um tanto esperada, porque estamos em um período complicado para assinaturas digitais.
Tecnologias novas para a criação de páginas com recursos de assinatura digital ainda estão em processo de consolidação, então será preciso uma transição rápida por parte de quem desenvolve esse tipo de sistema. Caso isso não aconteça (o que é bem provável), “gambiarras” com versões antigas de programas, como navegadores e o Java, terão de ser usadas para garantir a compatibilidade e permitir o uso do sistema até que a adaptação seja finalizada.
Os plug-ins de internet foram todos abandonados mais rapidamente do que se esperava e as a criação de tecnologias para embutir o processo de assinatura digital no navegador foi (como de costume) bastante lenta. Certas questões (como o acesso de certificados em smartcards) provavelmente não serão resolvidas de forma padronizada.
O problema, na verdade, é que os sites não deviam ter sido criados a partir da noção de que é possível acessar um arquivo local (o certificado em seu Smartcard ou token USB) de maneira arbitrária. Esse não é um comportamento “esperado” na web – o aplicativo para fazer isso sempre deveria ser iniciado no próprio computador (usando o Java, isso poderia ser feito com o Java Web Start).
Diante de tamanha incerteza de qual será a solução mais adequada no futuro para assinaturas digitais na web, não é surpreendente que situações ruins como essa apareçam. Porém, não se pode perder de vista a noção de que executar o Java no navegador também nunca foi uma boa solução. Conveniente, talvez – mas boa, não.
Imagem: Altieres Rohr/Especial para o G1