Sua vida num celular roubado
Nas mãos de criminosos, smartphones podem revelar cada vez mais informações detalhadas sobre você - inclusive o seu endereço.
Da Redação
Publicado em 11 de março de 2010 às 17h33.
Há certas coisas que você não quer compartilhar com desconhecidos. No meu caso, trata-se de uma série de mensagens de texto altamente pessoais do meu marido, enviadas durante os primeiros dias do nosso relacionamento. Gravadas no chip do meu celular - mas invisíveis no meu atual aparelho e, portanto, esquecidas -, aqui estão elas agora, exibidas em toda a sua glória na tela do computador de um estranho.
Acabo de entrar em uma sala sem janelas em uma propriedade industrial de Tamworth, na Inglaterra, onde três analistas de camisas azuis sentam-se em seus terminais, revirando o conteúdo do meu telefone. Eles sorriem. "Se serve de consolo, teríamos encontrado os torpedos mesmo se você os tivesse excluído", diz um deles. Parece que mensagens embaraçosas não são a única coisa com que tenho de me preocupar. "É uma foto de seu escritório?", pergunta outro analista. A resposta é sim. "Você gostou da pizza na segunda-feira? Por que desviou de sua rota normal de trabalho para visitar outro endereço no sábado?"
Estou na Disklabs, empresa que faz análise forense de celulares para a polícia do Reino Unido, e também para namorados e maridos ciumentos ou companhias que querem espionar empregados suspeitos. Fiquei curiosa para saber exatamente a quantidade de informações pessoais que pode ser encontrada em aparelhos e chips usados. Por isso, emprestei ou comprei quatro telefones de amigos e desconhecidos e os levei até a Disklabs.
Há uma década, a memória de nossos telefones podia lidar apenas com algumas mensagens de texto e uma agenda de contatos. Hoje, os smartphones mais modernos incorporam GPS, conectividade Wi-Fi e sensores de movimento. Eles transferem automaticamente e-mails e compromissos do computador do escritório e vêm com a capacidade de rastrear pessoas. Há muito mais por vir. Você poderá usar a próxima geração de telefones para manter registros de sua saúde, guardar dinheiro e fazer transações de pequeno valor - algo que já está ocorrendo no leste da Ásia.
Phishing pelo celular
Esses recursos poderiam ser explorados da mesma maneira que o e-mail e a internet são usados por criminosos para obter informações pessoais, como dados bancários. Alguns golpes relacionados a celulares já estão surgindo. Em um deles, bandidos utilizam aparelhos reprogramados para interceptar senhas de contas bancárias de outras pessoas. "Os telefones móveis estão se tornando uma grande parte de nossas vidas", diz Andy Jones, chefe de pesquisa de segurança da informação da British Telecom. "Quanto mais dependemos deles, maior o potencial de fraude."
De acordo com o projeto Aliança do Design e Tecnologia contra o Crime (DTAAC), do governo britânico, 80% das pessoas levam informações em seus aparelhos que poderiam ser utilizadas por criminosos. Cerca de 16% gravam dados bancários em seus telefones. Pensei, no entanto, que o meu Nokia N96 iria reservar poucas surpresas, já que eu tinha usado o aparelho por apenas algumas semanas quando o submeti à Disklabs. Mas os analistas me provaram o contrário.
Além das mensagens de texto guardadas no meu chip, as informações pessoais mais detalhadas encontradas em meu aparelho vieram de um aplicativo chamado Sports Tracker. Ele permite que o usuário meça seu desempenho esportivo ao longo do tempo, e eu costumava utilizá-lo para medir a rapidez com que poderia pedalar até o trabalho, em Londres. O programa registra a distância percorrida, a velocidade máxima em diferentes pontos do percurso, mudanças de altitude e quantas calorias queimei no trajeto.
Mas quando a Disklabs enviou os dados para o seu computador e os rodou no Google Maps e no Street View, eles foram capazes de encontrar imagens da frente do meu escritório e da minha casa - com o número visível. O Sports Tracker também registrou o horário em que normalmente saio de casa de manhã e quando volto do trabalho. "Se eu quisesse mais informações, poderia simplesmente persegui-la", diz Neil Buck, analista sênior da Disklabs.
Seus passos gravados
Eu decidi deliberadamente ativar o Sports Tracker. Muitas pessoas podem não parar para pensar como programas desse tipo poderiam ser usados contra elas. No início do ano passado, o Google lançou o Latitude, software para smartphones que compartilha a sua localização com os amigos. Ele pode ser desativado, mas o grupo Privacy International diz que o programa pode transmitir sua localização para os outros sem o seu conhecimento. "O Latitude pode ser um presente para perseguidores, empregadores bisbilhoteiros, parceiros ciumentos e amigos obsessivos", adverte a organização.
O calendário do celular também pode deixá-lo vulnerável. A polícia inglesa já identificou assaltos cometidos depois que o ladrão furtou um telefone e se dirigiu à casa da vítima - a agenda informava que a pessoa estaria ausente no feriado. "Se todos os seus dados pessoais estão lá, então está pedindo para alguém 'tornar-se' você, roubá-lo, ou invadir sua vida corporativa", diz Joe McGeehan, chefe do laboratório de pesquisas da Toshiba na Europa e líder do projeto Out Crime do DTAAC.
Quando Buck, da Disklabs, vasculhou o iPhone do meu colega, encontrou dois números de quatro dígitos armazenados em seu livro de endereços com os nomes "V" e "M". Uma pesquisa nos torpedos revelou que há pouco tempo a Virgin havia informado que um novo cartão de crédito, terminando em um número específico, tinha acabado de ser enviado a ele. Buck imaginou que "V" e "M" fossem as senhas de um cartão de crédito Virgin e de um Mastercard - ele estava correto nos dois chutes.
Segundo Jones, da British Telecom, um pedaço individual de informação, como um SMS, é quase sem sentido se estiver fora do contexto. "Mas quando você tem um grande volume de informação - os compromissos de uma pessoa para o ano, seus e-mails, os planos que está fazendo - e começa a juntá-lo, pode descobrir algumas coisas interessantes." A equipe da Disklabs também identificou o nome da esposa do meu colega, o número de seu passaporte e a data de validade, e descobriu que ela é cliente do banco Barclays. Ironicamente, o Barclays havia entrado em contato com ela a respeito de uma fraude em seu cartão, e ela mandou um SMS para o marido relatando o ocorrido. A equipe de Buck também descobriu o endereço de e-mail do meu colega, seus contatos do Facebook e os endereços de e-mail deles.
Dados pessoais à venda
Esse tipo de dado pessoal é valioso e pode alcançar um bom preço na internet. Com as informações em mãos, os criminosos têm boas chances de conseguir aplicar golpes como o scam 419. Nesse tipo de fraude, a pessoa recebe, por exemplo, um e-mail pedindo ajuda na transferência de uma grande quantia de um país estrangeiro, por meio de sua conta bancária, em troca de uma parte dos lucros.
A crescente conscientização sobre o roubo de identidade tem levado muitas pessoas a destruir ou apagar o HD de PCs antes de jogá-los fora, mas o mesmo ainda não está ocorrendo com os celulares. Ao mesmo tempo, estamos reciclando cada vez mais aparelhos. De acordo com a consultoria ABI Research, até 2012 mais de 100 milhões de celulares serão reciclados para reutilização a cada ano.
Como parte de um estudo para encontrar as melhores formas de proteger os dados de celulares, Jones, da British Telecom, adquiriu 135 aparelhos e 26 BlackBerrys de voluntários, empresas de reciclagem e do site de leilões eBay. Metade dos dispositivos não pôde ser acessada porque estava com defeito. A equipe de Jones, contudo, encontrou dez telefones com dados pessoais suficientes para identificar os usuários anteriores, e 12 com informações que levavam até o empregador do antigo proprietário, embora apenas três dos aparelhos estivessem com os chips.
Dos 26 BlackBerrys, quatro continham dados que permitiam identificar o proprietário e sete traziam informações suficientes para descobrir o empregador. "A grande surpresa foi a quantidade de dados que conseguimos dos BlackBerrys, que esperávamos ser muito mais seguros", diz Jones. Embora os usuários de BlackBerry tenham a opção de criptografar seus dados ou de enviar uma mensagem para apagar tudo se os aparelhos forem vendidos ou roubados, muitos não fizeram isso. "A segurança só é boa se você realmente usá-la", afirma Jones.
Informações confidenciais
A equipe da British Telecom conseguiu descobrir que um BlackBerry pertenceu a um diretor sênior de vendas de uma empresa japonesa. Eles recuperaram o seu histórico de chamadas, 249 contatos, sua agenda, 90 endereços de e-mail e 291 e-mails. Isto permitiu determinar a estrutura da sua organização, o futuro plano de negócios e os principais clientes, projetos de viagem, detalhes sobre a família do proprietário - incluindo fi lhos, estado civil, endereço, datas de consulta e endereços de assistência médica e odontológica, dados de conta bancária e o número da licença do automóvel.
Dois outros BlackBerrys tinham detalhes pessoais sobre o dono e de outras pessoas que teriam causado constrangimento se tivessem se tornado públicos. Apesar de a equipe ter usado software forense especializado para recuperar dados dos telefones, muita coisa poderia ser obtida diretamente a partir dos próprios aparelhos ou com software de sincronização. "Isso não foi projetado para ser um ataque sofisticado. Usamos técnicas simples às quais qualquer um teria acesso", diz Jones.
Essa é uma má notícia, já que cerca de 20 milhões de aparelhos foram perdidos ou roubados em todo o mundo em 2008, de acordo com dados da empresa de segurança Recipero, do Reino Unido. O primeiro passo para evitar problemas é ativar as configurações de segurança - isso pode dissuadir potenciais ladrões de ter o trabalho de tentar quebrar os códigos. Em seguida, certifique-se de apagar qualquer informação que você deseja manter em segredo, tendo em conta que muitas vezes é possível recuperá-la. "Eu trabalho com a ideia de que tenho de estar preparado para que as pessoas vejam qualquer coisa que eu colocar lá", diz McGeehan, da Toshiba.
Quanto a mim, passei a apagar mensagens comprometedoras logo que chegam à minha caixa de entrada - e a alertar o remetente em seguida. Também passei meu celular antigo para meu marido, que vai mantê-lo seguro. Se é para esses torpedos caírem nas mãos de outra pessoa, prefiro que sejam as do Don Juan que as compôs do que as de um sorridente geek em uma remota sala sem janelas.