Telefones básicos também podem ser perigosos
Uma análise recente examinou a segurança de cinco telefones celulares básicos, vendidos por cerca de U$ 10 a U$ 20. Comumente chamados de “feature phones” ou “telefones de vó” – e muitas vezes adquiridos para parentes idosos que não querem ou não conseguem se acostumar com smartphones – esses aparelhos também podem ser uma opção a mais apenas “por precaução”. Algumas pessoas também acreditam que eles são mais seguros do que smartphones Android.
Bem, essa última parte não foi um consenso. Funções ocultas em quatro dos cinco telefones foram descobertas: dois transmitem dados na primeira inicialização (vazando as informações pessoais do novo proprietário) e os outros dois não apenas vazam dados privados, mas também permitiam a inscrição do usuário em conteúdo pago comunicando-se secretamente pela Internet com um servidor de comando.
Telefones de vó infectados
O autor do estudo oferece informações sobre os métodos usados para analisar o firmware desses dispositivos simples, cujos detalhes técnicos podem ser interessantes para aqueles que desejam repetir a mesma análise. No entanto, vamos direto às conclusões.
Dos cinco telefones analisados, dois enviam os dados do usuário para algum lugar na primeira vez que são ligados. Para quem os dados vão – fabricante, distribuidor, desenvolvedor de firmware ou outra pessoa – não é possível afirmar com certeza.
Também não está claro como os dados podem ser usados. Pode-se presumir que tais informações podem ser úteis para monitorar vendas ou controlar a distribuição de lotes de produtos em diferentes países. Sendo honesto, não parece muito perigoso; afinal, todo smartphone transmite alguns dados de telemetria.
Lembre-se, no entanto, de que todos os principais fabricantes de smartphones pelo menos tentam tornar anônimos os dados que coletam, e seu destino geralmente é mais ou menos claro. Nesse caso, no entanto, nada se sabe sobre quem está coletando informações confidenciais dos proprietários sem seu consentimento. Por exemplo, um dos telefones transmite não apenas seu número de série, país de ativação, informações de firmware e idioma, mas também o identificador da estação base, útil para estabelecer a localização aproximada do usuário.
Além disso, o servidor que coleta os dados não tem proteção alguma, de modo que a informação está basicamente disponível. Mais uma sutileza: a transmissão é feita pela Internet. Para ser claro, um usuário desse tipo de telefone pode nem mesmo estar ciente de que o aparelho pode ficar online. Portanto, além de qualquer outra coisa, as ações secretas podem resultar em cobranças inesperadas de tráfego móvel.
Outro aparelho do grupo de revisão, além de vazar dados do usuário, foi programado para roubar dinheiro de proprietário. De acordo com a análise de firmware, o telefone contatou o servidor de comando pela Internet e executou suas instruções, incluindo o envio de mensagens de texto ocultas para números pagos.
O outro modelo de telefone tinha funcionalidades maliciosas ainda mais avançadas. De acordo com um usuário real do telefone, um estranho usou o número do telefone para se inscrever no Telegram. Como é que isso pode ter acontecido? Inscrever-se em quase todos os aplicativos de mensagens significa fornecer um número de telefone para o qual um código de confirmação é enviado por SMS. Parece, no entanto, que o telefone pode interceptar essa mensagem e encaminhar o código de confirmação para um servidor C&C, o tempo todo ocultando a atividade do proprietário. Considerando que os exemplos anteriores envolveram pouco mais do que despesas imprevistas, este cenário ameaça problemas jurídicos reais, por exemplo, se a conta for usada para atividades criminosas.
O que devo fazer agora que sei que telefones “de botão” não são seguros?
A diferença entre os telefones atuais de baixo custo e seus equivalentes de 10 anos atrás é que agora, até mesmo circuitos muito baratos podem possibilitar acesso à Internet. Mesmo com um dispositivo novo, isso pode ser uma descoberta desagradável: um aparelho escolhido especificamente por sua impossibilidade de conexão à internet fica online de qualquer maneira.
Anteriormente, o mesmo pesquisador analisou outro telefone com botões. Embora não tenha encontrado nenhuma funcionalidade maliciosa, o dispositivo tinha um menu de assinaturas pagas para horóscopos e jogos de demonstração, cujas versões completas o usuário poderia desbloquear – e pagar – com um texto. Em outras palavras, seu parente ou filho idoso pode apertar o botão errado em um telefone comprado especificamente por falta de Internet, aplicativos e acabar pagando pelo erro.
O que torna esta história de celulares “infectados” importante é que muitas vezes é o fabricante ou um revendedor adicionando os “recursos extras”, de modo que os distribuidores locais podem nem estar cientes do problema. Outro fator complicador é que os telefones com botões vêm em pequenos lotes em uma infinidade de modelos diferentes, e é difícil distinguir um telefone normal de um comprometido, a menos que se possa investigar minuciosamente o firmware. Claramente, nem todos os distribuidores podem pagar um controle adequado de firmware.
Pode ser mais fácil simplesmente comprar um smartphone. Claro, isso depende do orçamento e, infelizmente, smartphones mais baratos podem ter problemas de malware semelhantes. Mas se você puder pagar um – mesmo um muito simples – de um grande fabricante, pode ser uma escolha mais segura, especialmente se o motivo para escolher um dispositivo de botões é que você está procurando por algo simples, confiável e livre de funções ocultas. Você pode mitigar os riscos do Android com um aplicativo antivírus confiável; os telefones convencionais não oferecem esse controle.
Quanto aos parentes idosos, se eles estão acostumados a atender chamadas abrindo seu telefone flip, a adaptação a uma tela sensível ao toque pode ser quase impossível, mas em nossa opinião, vale a pena tentar fazer um upgrade. Muitas pessoas mais velhas mudaram para smartphones com bastante facilidade e agora podem experimentar o vasto mundo da computação móvel.
Adaptado de: Telefones básicos também podem ser perigosos (kaspersky.com.br)