Os donos de smartphones hoje têm uma infinidade de maneiras de
bloquear e desbloquear seus telefones: leitura de rosto, pressionando o
dedo, códigos PIN, detecção de localização e assim por diante. Algumas
dessas opções são mais seguras do que outras? E qual você deve usar?
Primeiro, vamos recapitular o que está realmente disponível. Os donos de iPhone
têm a opção de leituras de impressões digitais do Touch ID e um código
PIN, que atualmente precisa ter seis dígitos. Rumores estão aparecendo
de que o próximo iPhone vai oferecer uma sofisticada tecnologia de
reconhecimento de rosto, além do ou em vez do Touch ID, mas teremos que
esperar até setembro para descobrir.
No lado do Android, há mais fabricantes e modelos a serem
considerados e, portanto, mais variedade de opções – sensores de
impressão digital e códigos PIN são padrão praticamente em todos os
lugares agora, enquanto o Galaxy S8,
da Samsung, foi um dos principais celulares a introduzir a leitura de
íris como um opção. A maioria dos aparelhos Android também conta com o
desbloqueio padrão, que é um pouco mais conveniente do que um PIN, com
um número menor (incluindo o Galaxy S8), oferecendo sua própria versão
de reconhecimento facial também.
Além disso, o Google criou um conjunto de opções Smart Lock
disponíveis para desbloquear seu aparelho Android: Locais Confiáveis
(desbloqueio em local específico), Dispositivos Confiáveis (desbloqueio
quando conectado a um dispositivo Bluetooth específico), Trusted Face
(reconhecimento facial), Trusted Voice (reconhecimento de voz) e
Detecção On-Body, que tenta detectar quando o seu telefone está
realmente ligado e desbloqueia nesses momentos.

Imagem: Captura de tela
Olhe um pouco mais perto, e rapidamente se torna aparente que esses
métodos mais novos e “inteligentes” de bloqueio e desbloqueio de
telefone são todos sobre conveniência. Eles costumam levá-lo ao seu
telefone mais rápido, mas também têm algumas deficiências de segurança.
“Não há uma abordagem biométrica, como impressões digitais ou
varreduras de íris, que seja universalmente superior a outras
abordagens”, disse o consultor principal sênior da Synopsys, Amit Sethi, ao Gizmodo.
Sethi disse que parte de sua decisão sobre qual tecnologia de
proteção de bloqueio de telefone usar deve ser baseada em quanto tempo
ela está no mercado e quão estabelecida está. Você também pode se manter
atualizado nas notícias de tecnologia atuais para ver como os
pesquisadores de segurança estão encontrando maneiras de burlar as
medidas de segurança em seu telefone, e você não precisa olhar tão longe
para encontrar exemplos.
Hackers
Quase todas as medidas de bloqueio de smartphones foram hackeadas ou
expostas em algum momento, mas vale lembrar que, em muitos casos, essas
tecnologias estão sendo superadas em condições de laboratório que não
são fáceis de replicar no mundo real. Em outras palavras, só porque
alguém pode falsificar uma cópia da sua íris não significa que eles se
darão ao trabalho de fazê-lo.
Pegue o caso da ministra alemã Ursula von der Leyen — pesquisadores de segurança conseguiram criar falsificações
de suas impressões digitais com base apenas em fotos de alta resolução
de seu alvo, uma das quais foi emitida pelo próprio escritório de
imprensa de von Der Leyen. Os acadêmicos dizem que o mesmo truque é possível usando fotos de alta resolução de pessoas que mostram o sinal da paz.
Quanto ao escaneamento de íris, os hackers do Chaos Computer Club conseguiram contornar o
scanner de íris em um teste com o Galaxy S8 usando uma foto de alta
resolução de seu dono. Para fazer isso, você precisaria de uma câmera
habilitada para fotos infravermelhas, uma foto tirada de cinco metros de
distância ou mais perto, uma impressora a laser e uma lente de contato
para moldar a íris falsa.

Imagem: Chaos Computer Club
Talvez os hackers de telefone na sua cidade não cheguem a esse nível
de esforço para obter uma foto nítida de você, mas o ponto é que a
biometria pode ser falsificada, e você não pode alterar sua impressão
digital tão facilmente quanto você pode mudar seu código PIN. A
impressão digital, a íris e os dados do rosto geralmente são armazenados
com segurança em seu dispositivo e apenas nele, mas se seus detalhes
biométricos foram até um banco de dados em algum lugar, esse é outro caminho para os hackers abusarem.
Considerando que você pode obter informações sobre a varredura da
íris, não é surpreendente que a leitura facial também não seja à prova
de erros. Na verdade, é a mais fraca das ferramentas de segurança aqui:
simples fotos mostraram ser
suficientes para hackeá-la, e a Samsung não a permite como um método de
autenticação das transações do Samsung Pay, o que diz tudo o que você
precisa saber sobre ela.
A lista continua: o reconhecimento de voz pode ser pirateado usando gravações de áudio, e os computadores estão ficando mais inteligentes ao gerar áudio a partir de amostras de voz
o tempo todo. Como as outras proteções biométricas mencionadas aqui, o
reconhecimento de voz é suficiente para impedir um invasor comum, mas
não é tão seguro contra um hacker dedicado.

Imagem: Captura de tela
Vale a pena apontar que a leitura de íris é teoricamente mais segura
do que a leitura de impressões digitais, porque há mais pontos de dados
para corresponder, mas, novamente, depende da implementação específica.
Todos esses métodos de autenticação biométrica estão melhorando
continuamente e ficando mais inteligentes. O suposto sistema
de detecção de rosto da Apple é considerado um dos mais sofisticados,
mas até agora, em 2017, você não deve considerar nenhum deles como
formas perfeitas de manter o seu telefone seguro.
“Se você quiser algo que impeça alguém de invadir seu celular, mesmo
que eles nos conheçam ou tenham acesso a informações sobre o dono,
nenhuma medida de segurança é tecnicamente segura”, disse Mark James,
especialista em segurança da ESET, ao Gizmodo.
Escolhendo a proteção certa
A infalibilidade do mecanismo de segurança não depende apenas de suas
especificações técnicas, mas também de uma série de outros fatores,
como a frequência com que você é fotografado em público, com que você
está sem seu telefone, quanto esforço alguém pode gastar para
desbloquear seu telefone, como você combina métodos e assim por diante.
Com base nos pontos de vista de nossos especialistas, o código PIN
antigo é o mais citado em anúncios como a melhor maneira de bloquear seu
telefone. Em suma, especialistas gostam dele porque ele é longo e
impossível de adivinhar. Esse é um obstáculo muito difícil para os
hackers superarem.
“Ao proteger dispositivos móveis, recomendo fortemente usar um código PIN para ativar um telefone”, disse Scott Schober,
CEO da BVS Systems. Ainda assim, ele acrescentou que nenhum método de
segurança é totalmente perfeito. “Todos esses métodos de autenticação
são, na verdade, recursos de conveniência disfarçados de segurança … [e]
os usuários sempre comprometerão a segurança em nome da conveniência. É
por isso que defendo a segurança em camadas — use uma leitura de íris
ou impressão digital como um autenticador adicional para a segurança de
senha.”

Imagem: Alex Cranz/Gizmodo
Leigh-Anne Galloway, especialista em cibersegurança na Positive Technologies,
observou que os códigos PIN têm suas vulnerabilidades, mas permanecem
tecnicamente a opção mais segura para bloquear um telefone: “Na minha
opinião, a maneira mais segura de gerenciar o bloqueio do seu telefone é
usar uma senha gerada aleatoriamente”, ela disse. “Sim, é difícil
lembrar, mas todas as outras técnicas tornam o processo de autenticação
mais simples tanto para você quanto para potenciais invasores.”
Embora reconheça que há “boas razões” para que os códigos PIN e as
senhas sejam considerados medidas de segurança fracas — não menos
importante o fato de sermos tão ruins ao escolher senhas decentes —, o pesquisador de segurança da Comparitech Lee Munson disse que as alternativas ainda não foram comprovadas como significativamente melhores.
“Embora a biometria e outros mecanismos de autenticação tenham uma
parte a desempenhar na prova da identidade de alguém, nenhum deles é
suficientemente infalível para permanecer sozinho, e ainda são melhor
utilizados como parte de uma configuração de autenticação de dois
fatores”, aconselhou Munson. “Viva a senha.”

Imagem: Gizmodo
Quanto às várias opções Smart Lock do Google, a opção Dispositivos Confiáveis é a mais segura, e a Detecção On-Body, a menos, de acordo com a AVG.
Contornar a opção de dispositivos confiáveis significa roubar dois
dispositivos em vez de um, enquanto a On-Body está realmente apenas lá
como uma medida de conveniência e não consegue distinguir você de
ninguém (algo que o Google admite). Locais Confiáveis pode funcionar
bem, desde que esteja configurado para o seu endereço residencial e não
todos os bares e restaurantes que você frequenta.
Respondendo à pergunta inicial, o uso de múltiplos métodos de
configuração de proteção é o ideal, mas um código PIN ou senha é o mais
seguro (e menos conveniente) do grupo. Onde você está disposto a traçar o
limite entre conveniência e segurança depende apenas de você.
Por um lado, observar você inserir o PIN do seu smartphone em um café
é muito mais fácil para um ladrão do que criar uma réplica funcional da
sua impressão digital; mas, por outro, suas impressões digitais, voz,
íris e outros dados biométricos são vulneráveis a falsificações até
certo ponto e nunca podem ser alterados em caso de violação. Se você é
cuidadoso e inteligente com tudo isso, seu código PIN só existe na sua
cabeça, e esse é um lugar muito difícil dos hackers invadirem.
Fonte: Gizmodo