Os smartphones se tornaram parte indissociável de nosso dia a dia e guardam informações pessoais valiosas. Não é exagero dizer que hoje carregamos em nossos bolsos “nossas vidas”. Agendas de contatos telefônicos, contatos de WhatsApp, aplicativos bancários, bloco de notas com número de RG e CPF, fotos de familiares e viagens, apenas para citar algumas informações que podem ser encontradas com certa facilidade por qualquer um que tenha acesso ao nosso celular.

Portanto, em caso de roubo, furto ou acesso indevido ao aparelho, seja este com sistema Android ou iOS, a possibilidade de acesso a esses dados é muito grande. Embora os criminosos procurem se aproveitar de descuidos das vítimas ou de celulares que estejam desbloqueados — como, por exemplo, enquanto a vítima usa o GPS do dispositivo no trânsito —, a maioria das pessoas que tiveram suas contas bancárias invadidas e “limpadas” mantinha suas informações no próprio aparelho, como a data de nascimento (muito usada inclusive para senhas) e até mesmo as próprias senhas escritas em claro em algum bloco de notas.

Mas, mesmo aqueles que tomam todos os cuidados e não mantêm dados pessoais no celular precisam estar atentos. Por exemplo, ainda que o aplicativo de banco para ser acessado precise de uma senha, nós sabemos que os smartphones modernos também possuem, como facilidade, a opção de acesso por biometria, seja por reconhecimento facial ou por digital. E aí é que reside o perigo. O processo para cadastrar uma nova biometria — a biometria do bandido — depende única e exclusivamente do PIN (número de identificação pessoal) ou do código de acesso usado para desbloquear a tela.

Uma prova disso é um caso pessoal recente. Minha esposa teve o celular furtado. Estávamos no meio de um engarrafamento e, por descuido, ela estava com o vidro da janela do carro ao seu lado abaixado. O bandido arrancou o celular da sua mão e saiu correndo. Logo em seguida, do meu celular, tentamos fazer chamadas para o aparelho, mas retornavam como “fora de área de serviço”. Tentamos também o aplicativo Life 360, que localiza celulares a partir de um grupo criado pelo usuário — no caso, a família —, mas este só mostrava um ponto fixo no local onde o celular foi furtado.

Como o aparelho estava desbloqueado no momento do assalto, é possível que o bandido tenha conseguido colocar em “modo avião” e alterar o tempo de bloqueio de tela de “30 segundos” para “nunca”. Sim, isso é possível. Apesar de o bloqueio de tela ser uma segurança para evitar o acesso indevido ao celular, com o aparelho desbloqueado, qualquer um pode mudar o tempo de bloqueio de tela sem qualquer senha. No iPhone, esse tempo pode ser alterado para “nunca” e no Android, para “30 minutos” — e renovado quantas vezes se quiser. Esta falha pôde ser constatada tanto no iPhone 12 Pro e iPhone 11 Pro Max quanto no MotoG8 Play, mas acredito que seja um problema comum a todos os aparelhos iOS e Android.

Várias horas após o furto, acessamos o Life 360 e localizamos o celular em uma rua na Zona Norte do Rio de Janeiro. Mas logo em seguida, no entanto, o aplicativo mostrava que o serviço de localização havia sido desabilitado. A princípio, imaginei que o bandido tivesse apenas colocado o chip em outro aparelho, o que permitiria que usasse o WhatsApp e o Life 360 o localizasse. Julgava ser muito improvável que ele pudesse mudar o tempo de bloqueio de tela de 30 segundos enquanto saía em disparada após o roubo. E uma vez a tela bloqueada, ele não teria como acessar o celular.

Mesmo partindo do princípio de que o bandido tenha conseguido mudar o tempo de bloqueio para “nunca” enquanto fugia, ainda assim ele não teria o código de bloqueio, portanto, não poderia acessar o WhatsApp — como constatamos que usou — uma vez que o acesso principal deste aplicativo configurado no aparelho era o reconhecimento facial.

Por isso, estava despreocupado quanto à possibilidade de que o bandido pudesse acessar nossa conta bancária, já que precisaria da senha — que não estava registrada no bloco de notas do celular, é bom que se diga — ou da biometria da minha esposa. Para minha surpresa, no entanto, no dia seguinte ao ligar para o banco, ficamos sabendo que três Pix foram realizados, além da contratação de um empréstimo. Imediatamente, mandei bloquear e enviei o boletim de ocorrência para comprovar o roubo e contestar as operações. Em menos de dois dias, felizmente, o banco já havia feito o ressarcimento integral.

Minha teoria inicial de que o bandido não teria conseguido acessar o celular caiu por terra. Com certeza, ele não só teve acesso ao celular como conseguiu usar o WhatsApp, entrar no aplicativo do banco e desativar a localização do aparelho. Além de ter obtido acesso, obviamente, a todas as fotos e informações pessoais. Mas como? A resposta veio ao analisar o que poderia ter acontecido. Para acessar o WhatsApp, ele precisaria da biometria ou da senha de bloqueio de tela (PIN). Para acessar o banco, ele teria que ter a senha do banco ou a biometria (para os aparelhos que tive acesso, no caso do Android, ele precisaria da biometria da digital, para o iPhone, da biometria facial). Qual a interseção entre esses dois acessos? Justamente a biometria.

Um usuário menos informado poderia ficar bem tranquilo, pois se não estamos em um filme do tipo “Missão Impossível”, os dados de biometria não podem ser forjados, certo? Até que se prove o contrário, sim, mas se não posso forjar uma biometria do usuário legítimo, será que consigo adicionar minha própria biometria e assim ter acesso a tudo? Qual é o procedimento para incluir uma nova biometria?

Ao verificar os aparelhos Android e iOS a que tive acesso pude constatar, para minha surpresa, que a única exigência para se cadastrar uma nova biometria, seja facial ou digital, é conhecer o PIN.

Em resumo, toda a segurança supostamente inviolável dos aparelhos Android e iOS baseada na biometria do usuário reside, em última instância, em um PIN que, dependendo da configuração do usuário, pode até mesmo ser um código de quatro algarismos. Ao conhecer esse PIN, qualquer um consegue cadastrar sua própria biometria e assim acessar praticamente todos os aplicativos do celular.

Ao ser roubado, o dono do celular pode ser obrigado pelo bandido a revelar o PIN. Mas mesmo que isso não aconteça, o fato ocorrido com minha esposa deixa a suspeita de que é possível quebrar a segurança do smartphone e ter acesso ao PIN.

 

*********************************

Receba gratuitamente a newsletter do Mobile Time e fique bem informado sobre tecnologia móvel e negócios. Cadastre-se aqui!