Marcelo Copeliovitch

Como você se sentiria se toda vez que saísse de casa fosse assaltado? Naturalmente ameaçado e desprotegido. É exatamente dessa forma que milhões de usuários vivem todos os dias, pela falta de segurança em seus dispositivos móveis, que tem aumentado intensamente.

Na semana passada, mais um caso de vazamento de dados pessoais dos usuários de aplicativos móveis veio à tona. Após analisar o aplicativo móvel Path, para iOS, que serve para compartilhamento de fotos e serviço de mensagens, o desenvolvedor de software Arun Thamp, de Singapura, descobriu uma chamada de API que envia a agenda de endereços do usuário, com nomes completos, endereços de emails e número de telefones, para o servidor do fabricante do software. Isso tudo, sem pedir permissão ao usuário e, ainda, armazenando todas as informações de forma não criptografada.

A explicação dada pelo CEO e confudador do Path, Dave Morin, foi que estas informações eram enviadas para os seus servidores apenas para ajudar o usuário a localizar seus amigos e familiares mais rapidamente e com mais eficiência.

Além disso, o fabricante disse que já alterou o software na versão iOS, para iPhones, para ele pedir permissão ao usuário antes de enviá-las ao servidor. Porém, aguarda a aprovação da Apple para publicar a nova versão. Já, a versão para Android, foi modificada na semana passada. Outra sugestão que o fabricante estuda adotar é manter os dados criptografados no servidor.

Agora, falando em privacidade e confidencialidade das conversações via celular, pesquisadores da Universidade Ruhr-Universität Bochum, na Alemanha, anunciaram a quebra dos algoritmos de criptografia A5-GMR-1 e A5-GMR-2, usados em telefones por satélites.

Telefones via satélite são utilizados principalmente em áreas com cobertura de rede móvel insuficiente e pelo setor marítimo, ou para poder “escapar” de problemas de interceptação de conversação via celular GSM.Os pesquisadores obtiveram os algoritmos proprietários, utilizando a engenharia reversa de atualizações de firmware do telefone. Foi descoberto que o A5-GMR-1 é uma versão ligeiramente modificada do A5 / 2, que é usada em GSM e foi quebrada em 2003. O cenário de ataque existente poderia ser adaptado para a versão via satélite, sem muito esforço. Na A5-GMR-2, os pesquisadores descobriram um vetor para um ataque conhecido como plaintext.

Para manter a privacidade das conversações via celular é inevitável utilizar softwares de criptografia de voz ponto a ponto, além de tomar muito cuidado com aplicativos que baixar em seu celular.