Tendências assustadoras na área da segurança móvel

O Mobile World Congress é sempre sobre smartphones. Mas se você olhar por outro ângulo, poderá achar um monte de outras coisas. Fomos para o MWC 2016 com esse objetivo – infelizmente, o que vimos na conferência foi um pouco assustador.

Pagamentos por celular: obsessão por conveniência
Parece que muitas empresas estão obcecadas por pagamentos por celular – e muitos anúncios na MWC foram dedicados ao tema. Uma questão recorrente foi a busca constante em aumentar a conveniência desses pagamentos. O que não foi enfatizado é torná-lo mais seguro.

Por exemplo, a Samsung revelou que o Samsung Pay está chegando em diversos países, incluindo Brasil, Reino Unido, Canadá, China e Espanha. Embora não tenhamos razão para acreditar que não seja seguro (temos para o Apple Pay), é digno de nota que um grupo de hackers invadiu o LoopPay recentemente. Isso é importante porque se trata do sistema por trás do Samsung Pay, adquirido pela companhia coreana há um ano.

O Acecard é uma das ameaças mais perigosas para #Android atualmente https://t.co/6gVZSt7DWo

— Kaspersky Brasil (@Kasperskybrasil) February 25, 2016

A Samsung afirma que esses hackers querem roubar a tecnologia de modo a criar um sistema similar próprio, mas não há garantia de que não possuam dados suficientes para comprometer as contas do Pay.

Alguns dias antes do MWC, Qualcomm e Tencet anunciaram que um telefone com tecnologia Qualcomm agora suporta autenticação biométrica para pagamentos no WeChat, maior aplicativo de mensagens na China. Apesar de a Qualcomm afirmar que esses pagamentos são super seguros por conta da estrutura Heaven, sabemos que existem certos problemas com a segurança de sensores biométricos. Então, podemos considerar que as empresas tenham criado um sistema de pagamento válido, mas é bem possível que hackers encontrarão uma forma de comprometê-lo.

Vírus no smartphone? Descubra se o telefone está infectado e saiba resolver | https://t.co/6IBZcOM8wJ pic.twitter.com/YVPugEO8N4

— Kaspersky Brasil (@Kasperskybrasil) January 13, 2016

A Visa está tomando medidas cuidadosas na mesma direção. Embora uma das duas maiores companhias de cartão de crédito esteja orgulhosa de sua tecnologia de pagamentos contacless (PayWave), seus engenheiros checam tudo três vezes para ter certeza que a plataforma é segura – isso é música para nossos ouvidos. Ainda assim, o conceito de autenticação por íris já foi aprovado na empresa, e na MWC, colocaram em exposição sistemas de autenticação por impressões digitais. Felizmente, tudo está no estágio inicial e engenheiros estão até pensando em fazer sistemas de autenticação de dois fatores usando tanto digitais quanto íris.

Perguntamos ao representante da Visa sobre fraudes nas autenticações por íris e impressões digitais. Ele nem sabia que era possível. Ele nos garantiu que nesse caso pesquisadores teriam de pensar em medidas de segurança extra – por exemplo, monitorar a corrente sanguínea nas veias, que também possui um padrão único para cada ser humano.

Great piece from our #MWC16 panel hosts @kaspersky on #cybersecurity and the #tokenisation approach: https://t.co/7cqd8gerhj

— Visa Europe News (@VisaEuropeNews) February 25, 2016

A Mastercard exibiu os selfie-payments. Sim, o pagamento por selfie. Isso quer dizer usar selfies no lugar de senhas – a empresa afirma que isso aumentaria a segurança já que as pessoas tendem a tratar suas senhas da maneira errada: escrevê-las e perdê-las ou reusá-las.

O vídeo acima mostra que o sistema requer não só que você esteja na frente da câmera, mas também que pisque de modo a não ser enganado por uma simples foto. Mas hackers veriam isso como desafio. Muito provavelmente um vídeo seria suficiente para enganar o sistema.

Sensores biométricos: estagnação
A biometria está se tornando algo comum. Leitores de impressões digitais podem ser encontrados não só em celulares de marcas líderes, mas também em marcas menores. A Huawei até integrou leitores de impressões digitais em seu notebook/tablet 2 em 1 MateBook.

Sensores #biométricos: mais ou menos seguros? | https://t.co/GuCcS1mDtK pic.twitter.com/iLpkMxYWLd

— Kaspersky Brasil (@Kasperskybrasil) February 29, 2016

No MWC, falamos com representantes de dois fabricantes de leitores biométricos. O novo leitor que a Synaptics anunciou é seguro: os dados são encriptados e a empresa recomenda que as fabricantes de celulares usem o ambiente de processamento seguro ARM Trustzone para esses dados.

Ao mesmo tempo outra fabricante, a Next, possui dois tipos de sensores, e um deles não criptografa os dados. A Next também não enfatiza o uso de sandboxes para dados biométricos, mas é bem agressiva sobre manter seus produtos com o menor preço possível. Já que muitas fabricantes não consideram segurança prioridade, avisamos que esses leitores baratos e inseguros podem terminar em diversos dispositivos, o que tornaria os pagamentos com smartphones ainda menos seguros do que já são.

Carros conectados
Primeiro conectados, e depois pilotados automaticamente, isso deve com certeza representar nosso futuro. Fabricantes estão prestando mais atenção no comportamento nas estradas e na segurança desses carros do que na cibersegurança.

Samsung e Sony já apresentaram seus kits “faça-seu-próprio-carro-conectado” que são compatíveis até com carros antigos. O da Sony é conectado via USB e Bluetooth e no fim, é como um app de controle de navegação em seu celular. Comprometê-lo provavelmente não dará ao hacker muito mais do que seu destino ou a música que está ouvindo, bem como o poder de mudar essas coisas. Nada muito assustador.

Já a Samsung introduziu um dispositivo bem mais complexo. Uma de suas funções é analisar os sinais vitais do carro, enquanto outra é servir como um hotspot Wi-Fi. Isso significa que esse dispositivo é conectado com uma porta OBD II no carro e à rede 4G ao mesmo tempo. Já sabemos que um carro pode ser hackeado remotamente usando a OBD II, e a Samsung está tornando isso ainda mais fácil ao conectá-lo diretamente à internet. Um carro pode ser super seguro e ter as melhores notas em testes de acidentes, mas se ele for vulnerável a ataques remotos – tudo isso não adianta de nada.

Nem tudo na MWC 2016 foi assustador – vimos diversos dispositivos interessantes e boas notícias. Mas no fim, a conferência desse ano foi sobre como tudo está se tornando conectado, e quanto mais conectado, mais aberturas para hackers aparecem. Esperamos que a próxima MWC coloque mais ênfase na segurança dessas conexões.