Sensores biométricos: mais ou menos seguros?

Smartphones top de linha já possuem scanners de impressão digital. Fabricantes dizem que os sensores biométricos melhoram tanto a experiência quanto a segurança do usuário. Mas será verdade? Não exatamente.

Smartphones top de linha já possuem scanners de impressão digital. Fabricantes dizem que os sensores biométricos melhoram tanto a experiência quanto a segurança do usuário. Mas será verdade?

Não exatamente. Para começar, esses sensores não são mágicos. Os sensores capacitivos antigos dificilmente reconhecem impressões digitais em dedos molhados, e nem funcionam na primeira tentativa. Então, se suas mãos estiverem suadas, seu celular pode não o reconhecer. Cicatrizes, arranhões e outras falhas na pele podem diminuir a qualidade de detecção. Além disso, muitos sensores não conseguem distinguir um dedo real de um falso – e isso sim é uma grande falha.

Algum desses problemas pode acabar sendo resolvidos quando a Qualcomm liberar sensores ultrassônicos, que usam ultrassom para construir uma imagem 3D do dedo. Assim, não será enganado por uma cópia. Além disso, o sensor funciona mesmo com seu dedo sujo ou molhado. Ainda assim existem outras ameaças.

Novas tecnologias são sempre vulneráveis – exatamente por serem novas. Não é suficiente inventar outra inovação – a questão é que ela tem de ser implementada de maneira segura, e nem todos os fabricantes são capazes. E mesmo que realizem essa tarefa, isso definitivamente não ocorrerá na primeira versão. Em agosto de 2015, uma nova forma de roubar impressões digitais foi descoberta – remota e em grande escala.

Especialistas em segurança descobriram que os smartphones HTC One Max e o Samsung Galaxy S5 armazenavam imagens das impressões digitais em um arquivo .bmp sem criptografia, legível por qualquer aplicativo – como qualquer foto de bitmap. Qualquer software com acesso as fotos do usuário e Internet poderia roubá-los. Desenvolvedores produziram uma atualização logo que a descoberta foi feita, mas quem garante que erros similares não serão cometidos quando novos celulares ou sistemas operacionais forem liberados?

Além do mais, muitos celulares possuem sensores pouco protegidos, que deixam malwares tirar as fotos direto dos scanners biométricos. O interessante é que os celulares da Apple são bem seguros, pois criptografam os dados do scanner.

Alguns fabricantes (Huawei, por exemplo) usam tecnologia TrustZone, da ARM, para proteger os dados nos dispositivos. Funciona com imagens das impressões digitais com uma área virtual, não acessível para o sistema operacional principal. Como resultado, dados cruciais (como as impressões) não podem vazar e ser usados por aplicativos terceiros. Infelizmente, dependendo do modelo implementado, essa tecnologia também pode ter falhas.

Quando você escuta aquele papo de que impressões digitais não são senhas, que os donos não podem dividir com outras pessoas, esquecê-las ou eventualmente mostrá-las para outros – não acredite nisso. Pesquisas desse ano apresentaram o quão fácil é roubar impressões digitais – remotamente, até mesmo sem contato cara-a-cara. Alguém pode isso com uma foto de alta qualidade dos dedos da vítima. Uma câmera SLR com boas lentes de zoom ou até uma foto em uma revista em alta resolução são suficientes. A propósito, o mesmo método pode ser usado para falsificar íris.

Quando sua senha vaza, você pode mudá-la em alguns minutos, mas você terá de viver com suas impressões digitais para o resto da vida. E se forem roubadas? E é por isso que você não deve acreditar totalmente nas promessas de fabricantes. Se seu smartphone possui sensor biométrico embutido, recomendamos que siga essas três regras simples.

  1. Apesar das promessas dos fabricantes, não use scanner biométrico para autenticar transações via PayPal e outros serviços financeiros. Não é seguro. Agora o celular está em suas mãos, amanhã foi roubado. Um ladrão pode facilmente copiar suas impressões digitais direto da superfície do telefone e usá-la para comprar algo. Comprometer senhas é mais difícil – basta apenas você aprender a usá-las corretamente.
  2. 2. Normalmente escolhe-se usar o indicador ou o polegar para logins biométricos. É conveniente, mas não é certo, pois são esses os dedos que usamos mais ao trabalhar com o telefone. É por isso que é bem possível encontrar uma impressão intacta desses dedos em qualquer celular e a partir disso criar uma réplica para passar pela proteção – especialmente, com todos os tutorais para isso na internet.
  3. 3. Um scanner biométrico não é suficiente para proteger seus dados pessoais. Se você se importa com privacidade, considere usar um aplicativo especial. Por exemplo, o
    Kaspersky Internet Security para Android, que possui Anti-Roubo e Proteção de Privacidade. Eles podem rastrear seu celular roubado, apagar todos os dados remotamente ou esconder suas mensagens de texto e lista de contatos dos olhares curiosos.

Em geral, scanners de impressões digitais são uma grande inovação, mais útil que prejudicial. Mas não confie muito – use a nova tecnologia sabiamente e não negligencie senhas, autenticação de dois fatores e outras medidas de segurança.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?