Os cibercriminosos estão de olho em você via redes inseguras de Wi-Fi

17 jun 2014

O crescente desenvolvimento do mundo dos smartphones e o rápido surgimento de aplicativos móveis leva, inevitavelmente, ao uso constante de smartphones e tablets para lidar com dados sensíveis. Seja o seu currículo no LinkedIn, fotos privadas enviadas para o/a namorado/a via WhatsApp, Viber ou outros aplicativo semelhantes, ou a senha de uso único do seu banco online – você envia e recebe muito desses dados sensíveis no seu dispositivo móvel. Infelizmente, a maioria das pessoas não percebem quantas vezes e com que facilidade um desconhecido que esteja próximo pode interceptar seus dados (inclusive se você desconfia das pessoas que estão ao seu redor).

wifi (1)

As principais peças deste puzzle são a falta de proteção das redes Wi-Fi e a falta de segurança dentro dos aplicativos móveis. Ter internet no celular continua é caro, principalmente quando você está em outros país. É por isso que as pessoas costumam usar o Wi-Fi em aeroportos, cafés e hotéis sem prestar muita atenção à sua segurança. Em alguns estudos realizados por nossos especialistas em São Paulo, pouco antes da Copa do Mundo, que analisaram o tipo de criptografia utilizada nas redes sem fio, encontramos que mais de uma das quatro redes usavam padrão aberto (ou seja, sem criptografia).

Se você usa o padrão aberto, qualquer um pode acessar o seu tráfego e ver os dados que você está enviando. Se você estiver usando o sistema de criptografia WEP, pode ser hackeado em menos de 5 minutos. Então, basicamente, muitas redes ao redor do mundo podem ser comprometidas por cibercriminosos em questão de segundos.

wifisaopaulo

 Nossa recomendação é que você tente se conectar apenas nas redes que utilizam WPA2, isso é certo. No entanto, a realidade é que muitas vezes você tem que se conectar a essas redes. Além disso, você realmente não pode controlar o que está sendo transmitido através da conexão aberta. Ao usar o navegador do celular, você pode verificar o sinal de cadeado e acpresença de protocolo HTTPS na barra de endereços.

Muitos aplicativos móveis transmitem seus dados sem criptografia ou não alertam você sobre os perigosos problemas de criptografia.

A história é diferente quando se usa aplicativos móveis. Você realmente não sabe se o aplicativo usa protocolos. Especialistas em segurança descobriram que muitos aplicativos ainda usam protocolo aberto para a comunicação interna com seus servidores – ou seja, HTTP em vez de HTTPS, e você sabe que essas conexões são vulneráveis ​​ao seqüestro de sessão, roubo de senhas e espionagem de conteúdo. Por exemplo, se você usa aplicativos de mensagens instantâneas, as pesssoas podem ver suas conversas em texto simples.  E eu não estou inventando coisas, é um problema real que persiste em aplicativos móveis. Em 2011, até mesmo o Google, Facebook ou Twitter tiveram alguns problemas com a falta de certificado SSL. No verão de 2012, o WhatsApp, popular aplicativo móvel de mensagem instantânea, estava transmitindo todos os conteúdos sem criptografar. Se alguém ainda usa o Yahoo Messenger ou ICQ, eu tenho uma má notícia para vocês: eles ainda usam o protocolo de texto simples, assim que todos os chats não têm criptografia e pode ser facilmente lidos através das redes Wi-Fi abertas. É difícil imaginar, quantos aplicativos ainda possuem o protocolo de texto simples, se até mesmo algumas empresas de nível A não implementam a criptografia ainda, dá para ter uma ideia.

Se conseguimos ser mais técnicos, muitos aplicativos móveis não avisam ao usuário sobre problemas com certificados SSL, tornando quase impossível detectar ataques man-in-the-middle.

Claro que seria fácil dar um conselho simples como “não use aplicativos móveis para qualquer coisa dado sensível”, mas é difícil seguir este conselho. Com disso, seria como se você voltasse para o século XX. Então, eu recomendaria uma abordagem um pouco menos radical:

  • Use, sempre que você tenha oportunidade, serviços de 3G/4G em vez de Wi-Fi em locais públicos;
  • Prefira sempre conexões criptografadas (WPA2);
  • Use as VPN no seu dispositivo móvel;
  • Evite fazer operações importantes como transações bancárias online em lugares públicos e através de redes inseguras (que são efetivamente todas as redes, exceto as redes domésticas e de escritório corretamente configuradas).

Tradução: Juliana Costa Santos Dias