Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem.
Em fevereiro, a Samsung anunciou seu novo modelo de celular topo de linha, o Galaxy S5, trazendo como principal novidade um leitor de digitais. Na semana passada, quatro dias após o lançamento comercial, especialistas em segurança do grupo alemão SRLabs divulgaram um vídeo mostrando que o leitor de digitais do aparelho pode ser hackeado com uma digital falsificada. O “hack” foi rápido porque eles não tiveram trabalho novo algum: usaram a mesma digital falsa que foi usada para hackear o leitor de digitais do iPhone 5s.
Diferente do iPhone, o celular da Samsung aposta em um novo modelo de autenticação em que o mundo é livre de senhas. Além de jamais exigir a digitação de uma senha, nem mesmo quando o celular é desligado ou após repetidas tentativas fracassadas de autenticação pela digital, o aparelho confere a apps instalados a possibilidade de usar a autenticação da digital, dispensando a senha nos próprios apps. O principal parceiro da Samsung nessa empreitada é o serviço de pagamentos Paypal.
Isso significa que além de ter acesso ao celular, a digital falsificada também dá acesso ao PayPal, sem a necessidade de digitar qualquer senha para o uso do serviço. “Talvez o mais preocupante é que a Samsung parece não ter aprendido com o que outros já fizeram de uma maneira menos precária. Além de ser possível enganar o leitor de digitais após o aparelho ter sido desligado, o leitor permite realizar tentativas de autenticação aparentemente ilimitadas, sem jamais solicitar uma senha”, disseram os especialistas no vídeo (assista).
A Samsung e o Paypal fazem parte de uma iniciativa chamada de FIDO Alliance, lançada em fevereiro de 2013, que tem como objetivo criar um modelo de autenticação segura que nos liberte da obrigação de manter na memória diversos nomes de usuários e senhas para cada serviço. Microsoft, Mastercard e Google são outros grandes nomes do grupo.
Muitas das soluções propostas estão ligadas à biometria: digitais, reconhecimento de rosto e de voz, análise da íris. Outras tecnologias analisadas pela FIDO Alliance são tokens de segurança e smart cards – soluções que podem ser muito superiores quando associadas a outros medidas de segurança, mas que provavelmente ficarão em segundo plano diante da conveniência da biometria.
Sejamos francos: poder usar o celular ou o computador quando o aparelho reconhece nossa voz, nossa digital ou nosso rosto tem um ar de “ficção científica”. Parece que estamos no futuro e temos a impressão de que os complicados esquemas de segurança do governo e das grandes empresas chegaram até nós.
Mas não é bem assim. Os especialistas do SRLabs apontam no vídeo que soluções baseadas em biometria “sempre trarão consigo uma troca de segurança por conveniência”. Quer dizer: é mais fácil de usar, mas é menos seguro. E para quem acha que é difícil falsificar ou obter uma digital, a realidade não é essa: a digital usada para enganar os leitores da Samsung e da Apple foi capturada por meio de uma simples fotografia, tirada por um iPhone 5s, de uma digital deixada no vidro da tela do próprio aparelho. É isso mesmo: basta uma foto de celular da digital.
Para provedores de serviço, como o Paypal, dispensar as senhas é muito interessante. Basta perceber a grande quantidade de ataques baseados no roubo das senhas, como o phishing (e-mails falsos que levam a páginas clonadas). Uma página falsa pode ser proibida de usar o leitor de digitais, o que resolve o problema de segurança do ponto de vista do Paypal.
Mas resolver um problema de um determinado ponto de vista não necessariamente o resolve, e, às vezes, transfere uma fatia maior dele para outra pessoa. É isso o que acontece com câmeras de segurança, por exemplo, que não raramente locomovem o crime, e não o removem, como mostrou um estudo de 2008 na cidade de São Francisco feito pela Universidade da Califórnia em Berkeley.
No caso das digitais, transferir a segurança para o celular, e para o leitor de digital, também muda os incentivos dos criminosos. De repente, roubar um celular e obter digitais pode se tornar algo extremamente atrativo, mais ainda do que é hoje. E o SRLabs compreende isso também: “a inclusão da autenticação pela digital em aplicativos altamente sensíveis, como o Paypal, dá a possíveis atacantes um incentivo ainda maior para que aprendam a simples habilidade de falsificação de digitais”. Exatamente.
Hoje, eles querem sua senha. Se sua senha não vale de nada, vão querer sua digital, você, seu celular. E isso não é problema da Samsung, nem do Paypal. É problema seu, de seguradoras, da polícia. Também dá para dizer que mudar os incentivos que guiam a criminalidade seja interessante, que o crime “corpo a corpo” pode ser mais fácil de investigar, e que a “exportação do cibercrime” do leste europeu e da Ásia talvez diminua. Em todo caso, a questão não é apenas senhas versus biometria.
Se a maioria decidir usar a biometria, essa mudança de incentivos ocorrerá mesmo que você decida não fazer uso da digital, porque um criminoso não sabe se você faz uso dela ou não. Por outro lado, quem sabe essa mudança de incentivo também resulte em tecnologias de biometria melhores, cuja segurança não seja apenas ficção.
Fonte: G1 | Tecnologia e Games