Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Como hackear um telefone: 7 métodos de ataque comuns explicados
A segurança móvel geralmente supera a dos PCs, mas os usuários ainda podem ser enganados e os smartphones ainda podem ser hackeados. Aqui está o que você precisa observar.
A revolução dos smartphones deveria proporcionar uma segunda oportunidade para a indústria tecnológica implementar uma plataforma de computação segura. Esses novos dispositivos deveriam ser bloqueados e imunes a malware, ao contrário de PCs com bugs e servidores vulneráveis.
Mas acontece que os telefones ainda são computadores e os seus utilizadores ainda são pessoas, e os computadores e as pessoas serão sempre elos fracos. Conversamos com vários especialistas em segurança para ajudá-lo a ter uma ideia das maneiras mais comuns pelas quais os invasores podem invadir os computadores poderosos nos bolsos dos seus usuários. Esperamos que isso lhe dê uma perspectiva sobre possíveis vulnerabilidades.
1. Engenharia social A maneira mais fácil para qualquer hacker invadir qualquer dispositivo é o próprio usuário abrir a porta. Fazer com que isso aconteça é mais fácil falar do que fazer, é claro, mas é o objetivo da maioria das formas de ataques de engenharia social.
Os sistemas operacionais de smartphones geralmente têm regimes de segurança mais rígidos do que PCs ou servidores, com o código do aplicativo sendo executado em modo sandbox que o impede de aumentar privilégios e assumir o controle do dispositivo. Mas esse modelo de segurança tão alardeado, no qual os usuários móveis precisam tomar medidas afirmativas para que o código acesse áreas protegidas do sistema operacional ou armazenamento do telefone, tem uma desvantagem: resulta em uma abundância de mensagens pop-up que muitos de nós aprenda a se desligar. “Aplicativos em dispositivos móveis segregam permissões para proteger o usuário de aplicativos não autorizados que têm seus dados gratuitos para todos”, afirma Catalino Vega III, analista de segurança da Kuma LLC. “O prompt se torna familiar: 'Deseja permitir que este aplicativo acesse suas fotos?'”
“Isso realmente adiciona apenas uma etapa entre o provisionamento desse acesso ao aplicativo”, continua ele. “E devido à forma como a experiência do usuário condicionou a aceitação da maioria dos prompts como uma porta de acesso à funcionalidade, a maioria dos usuários apenas permitirá que o aplicativo acesse tudo o que estiver solicitando. Acho que isso pode ser algo de que todos seremos culpados em algum momento.”
2. Malvertising
Um vetor particularmente importante para estes tipos de caixas de diálogo enganosas são os chamados “malvertisements”, que se aproveitam da infraestrutura desenvolvida para o ecossistema de publicidade móvel, seja num navegador ou numa aplicação.
“O objetivo é fazer com que você clique no anúncio”, diz Chuck Everette, Diretor de Defesa da Cibersegurança da Deep Instinct. “Eles estão tentando atraí-lo com algo que fará com que você clique antes de pensar – uma reação instintiva ou algo que pareça um alerta ou aviso.” O objetivo, diz ele, é “tentar assustá-lo ou induzi-lo a clicar no link”.
Um exemplo que ele cita foi um jogo chamado Durak, que persuadiria os usuários a desbloquear seus telefones Android, enganando-os para que desligassem recursos de segurança e instalassem outros aplicativos maliciosos. Longe de ser um aplicativo de sideload desonesto e off-label, o Durak estava disponível no mercado oficial do Google Play. “67% de todos os aplicativos maliciosos foram baixados da Google Play Store, enquanto apenas 10% vieram de mercados alternativos de terceiros”, explica ele. “Os consumidores do Google Play confiam muito nas avaliações de outros usuários se o aplicativo é seguro ou não. Isso não funciona." Em contraste, ele diz: “A Apple inspeciona de perto cada aplicativo em sua loja de aplicativos, o que diminui o número de aplicativos disponíveis – mas reduz bastante os aplicativos que são relatados como maliciosos”.
3. Sorrindo
Outro vetor que os invasores usam para obter aquele link tocável tão importante na frente de suas vítimas são as mensagens de texto SMS, com um conjunto totalmente diferente de truques de engenharia social em ação; a prática é conhecida como SMS phishing ou smishing e atrai tanto os crédulos quanto os poderosos.