O que realmente acontece com seu dispositivo quando ele está no reparo

Provavelmente todos nós já danificamos nossos smartphones, tablets ou laptops e tivemos que repará-los pelo menos uma vez na vida. A causa do dano pode ser o próprio descuido do usuário: a substituição de telas de smartphones quebradas já gerou inúmeros bilhões de dólares para a indústria. Mas, na maioria das vezes, é apenas um problema aleatório, como a bateria que falha, o disco rígido que morre ou uma tecla que sai do teclado. E isso pode acontecer a qualquer momento.

Infelizmente, os dispositivos atuais são feitos de tal forma que até os mais habilidosos especialistas em informática muitas vezes são incapazes de consertá-los sozinhos. A capacidade de reparo de smartphones está diminuindo constantemente ano após ano. Para consertar os modelos mais recentes, é necessário não apenas habilidade e compreensão geral de como todos os tipos de dispositivos digitais funcionam, mas também ferramentas e conhecimento especializados e acesso à documentação, além de peças de reposição exclusivas.

Portanto, quando um smartphone ou laptop quebra, o usuário geralmente tem pouca escolha além de encontrar um centro de serviços especializado. Afinal, simplesmente jogar fora o dispositivo quebrado, comprar outro e começar do zero normalmente não é uma opção principalmente no âmbito da manutenção dos dados e da necessidade de recuperá-los. Então, é a assistência técnica que você procura. Mas há um problema: você tem que entregar seu dispositivo nas mãos de um estranho. Fotos e vídeos, correspondência e histórico de chamadas, documentos e informações financeiras podem acabar sendo facilmente acessadas por alguém que você não conhece. Essa pessoa pode ser confiável?

Visualizações de conteúdo adulto em assistências técnicas são reais

Eu mesmo pensei seriamente sobre isso recentemente, depois de uma história que um amigo me contou. Ele conversou informalmente com alguns técnicos que trabalhavam em uma pequena loja de reparos. Eles lhe contaram sem constrangimento como ocasionalmente assistiam aos conteúdos de adultos íntimos encontrados nos dispositivos que consertam.

Incidentes semelhantes surgem nas notícias de tempos em tempos. Funcionários que roubam fotos íntimas de clientes aparecem em mais de um centro de serviços. E às vezes histórias ainda maiores ganham repercussão: em um caso, os funcionários da assistência técnica não apenas roubaram fotos de clientes do sexo feminino por anos, como também montaram coleções inteiras delas e as compartilharam.

Mas certamente tais incidentes são exceções à prática comum, certo? Nem toda assistência tem funcionários ansiosos para colocar as mãos nos dados pessoais dos clientes, não é? Infelizmente, os resultados de um estudo que descobri há pouco tempo mostram que as violações da privacidade do cliente por técnicos de manutenção são um problema muito mais comum do que todos gostaríamos de pensar. Na verdade, parece altamente provável que a curiosidade excessiva por parte da equipe de reparos seja uma característica desse setor, e não incidentes ultrajantes isolados. Mas não vamos nos antecipar. Vou apresentar tudo com calma.

Como os serviços de reparo de eletrônicos tratam os dados de seus clientes

Um estudo foi conduzido por pesquisadores da Universidade de Guelph, no Canadá. É composto por quatro partes, duas delas dedicadas à análise de conversas com clientes de serviços de reparação, e duas foram desenvolvidos estudos de campo nas próprias oficinas (nos quais me debruçarei aqui). Na primeira parte do “campo”, os pesquisadores tentaram descobrir como os locais de realização de serviços em si tratam a privacidade em termos de suas intenções. Em primeiro lugar, os pesquisadores estavam interessados ​​em quais políticas ou procedimentos de privacidade as assistências técnicas tinham para proteger os dados dos clientes.

Para fazer isso, os pesquisadores visitaram cerca de 20 oficinas de vários tipos (de pequenos reparadores locais a prestadores de serviços regionais e nacionais). O motivo de cada visita era trocar a bateria de um laptop ASUS UX330U. O motivo da escolha do mau funcionamento foi simples: diagnosticar o problema e resolvê-lo não requer acesso ao sistema operacional, e todas as ferramentas necessárias para isso estão na UEFI do laptop (os pesquisadores usam o antigo termo BIOS).

As visitas dos pesquisadores aos centros de atendimento envolveram várias etapas. Primeiro, eles procuraram qualquer informação prontamente disponível para o cliente sobre a política de privacidade de dados do centro de serviços. Em segundo lugar, verificaram se o funcionário que estava recebendo o dispositivo solicitaria o usuário e a senha para fazer login no sistema operacional e, em caso afirmativo, como justificaria a necessidade de entregar essas informações (não há razão óbvia para isso porque, conforme declarado, a substituição da bateria não requer acesso ao sistema operacional). Em terceiro lugar, os pesquisadores observaram como a senha do dispositivo entregue para reparo era armazenada. Finalmente, em quarto lugar, perguntaram diretamente ao funcionário que recebeu o equipamento: “Como você garante que ninguém acesse meus dados pessoais?” para descobrir quais políticas e protocolos de privacidade estavam em vigor.

Os resultados desta parte do estudo foram decepcionantes.

• Nenhuma das lojas de serviço visitadas pelos pesquisadores informou os “clientes” sobre qualquer política de privacidade respectiva antes de protocolar a entrada do dispositivo.
• Com exceção de um único centro regional, todos os serviços solicitaram a senha de login – argumentando que ela é simplesmente necessária para diagnósticos ou reparos, ou para verificar a qualidade dos serviços prestados (que, como mencionado acima, não é o caso).
• Quando questionados se era possível efetuar a substituição da bateria sem a senha, os três fornecedores nacionais responderam “não”. Em cinco serviços menores, eles disseram que sem senha não poderiam verificar a qualidade do trabalho realizado e, portanto, se recusaram a assumir a responsabilidade pelos resultados do reparo. Outra loja sugeriu remover completamente a senha se o cliente não quisesse compartilhá-la! E, finalmente, a última loja visitada disse que, se não for fornecida a senha, o dispositivo poderia ser redefinido para as configurações de fábrica, caso o técnico de manutenção precisasse.
• Quanto ao armazenamento das credenciais, em quase todos os casos elas eram armazenadas em um banco de dados eletrônico junto com o nome do cliente, número de telefone e endereço de e-mail, mas não havia nenhuma explicação sobre quem poderia acessar esse banco de dados.
• Em cerca de metade dos casos, as credenciais também foram anexadas fisicamente ao laptop entregue para reparo. Era impresso e colado como um adesivo (no caso de serviços maiores), ou simplesmente escrito à mão em um post-it – um clássico! Assim, parece que qualquer um dos funcionários das lojas de serviço (talvez até mesmo visitantes casuais) poderia ter acesso às senhas.
• Ao ser questionado sobre como seria garantida a privacidade dos dados, o funcionário responsável pelo atendimento inicial e os demais técnicos de reparos garantiram que somente o técnico que conserta o aparelho teria acesso a ele. No entanto, investigações posteriores mostraram que não havia nenhum mecanismo que pudesse garantir isso; apenas a palavra deles.

Então, o que os técnicos de manutenção fazem com os dados pessoais dos clientes?

Ao constatar que as assistências técnicas não possuem mecanismos para conter a curiosidade de seus especialistas, na próxima parte do estudo, os pesquisadores começaram a examinar o que de fato acontece com um aparelho depois que ele é entregue para conserto. Para fazer isso, eles compraram seis novos laptops e simularam um problema básico com o driver de áudio. Eles simplesmente desligaram. Portanto, o “conserto” precisava apenas de diagnósticos superficiais e correção rápida do problema com a devida ativação. Esse mau funcionamento específico foi escolhido porque, ao contrário de outros serviços (como a remoção de vírus do sistema), o “conserto” do driver de áudio não requer acesso aos arquivos do usuário.

Os pesquisadores criaram identidades de usuários fictícios nos laptops (usuários do sexo masculino na primeira metade do experimento e usuários do sexo feminino na segunda metade). Eles criaram um histórico do navegador, contas de e-mail e jogos e adicionaram vários arquivos – incluindo fotos dos responsáveis pelo estudo. Também foi adicionada a primeira “isca”: um arquivo com as credenciais de uma carteira de criptomoedas. A segunda isca era uma pasta separada contendo imagens levemente explícitas. Os pesquisadores usaram imagens reais codificadas por mulheres de usuários do Reddit para o experimento (depois de obter consentimento prévio, é claro).

Finalmente, e mais importante, antes que os laptops fossem entregues ao serviço, os pesquisadores ativaram o utilitário Windows Problem Steps Recorder, que registra todas as ações executadas no dispositivo. Depois disso, os laptops foram repassados ​​”para conserto” a 16 centros de serviço. Mais uma vez, para obter uma visão completa, os pesquisadores visitaram pequenos serviços locais e grandes provedores regionais ou nacionais. Os gêneros dos “clientes” foram distribuídos uniformemente: em oito casos, os dispositivos foram configurados com uma persona feminina fictícia e, nos outros oito, com uma masculina.

As descobertas dos pesquisadores foram as seguintes:

• Apesar de sua simplicidade, o problema com o driver de áudio foi resolvido na presença do “cliente” após uma pequena espera em apenas dois casos. Em todos os outros experimentos, os laptops tiveram que ser deixados pelo menos até o dia seguinte. E os centros de serviço dos provedores de serviços nacionais os mantiveram para “conserto” por pelo menos dois dias.
• Para dois serviços locais, não foi possível recolher os registos das ações do reparador. Em um caso, não foi possível encontrar uma razão plausível para isso. No outro, os pesquisadores foram informados de que os técnicos de manutenção precisavam executar um software antivírus no dispositivo e limpar seu disco devido a vários vírus (os pesquisadores tinham certeza de que, no momento da entrega, o laptop não poderia estar infectado).

Nos outros casos, os pesquisadores puderam explorar os registros; eis suas descobertas:

• Entre os registros restantes, os pesquisadores encontraram seis casos em que os reparadores obtiveram acesso a arquivos pessoais ou histórico do navegador. Em quatro casos, isso foi registrado nos laptops das “mulheres”; os outros dois – nos “masculinos”.
• Em metade dos incidentes, funcionários curiosos do centro de serviço tentaram ocultar rastros de suas ações limpando a lista dos arquivos do Windows abertos mais recentemente.
• A equipe de reparos estava mais interessada em pastas de imagens. Seus conteúdos (incluindo fotos explícitas) foram vistos em cinco casos. Quatro dos laptops nesses casos “pertenciam a” mulheres, o outro – a um homen.
• O histórico do navegador foi alvo de interesse de dois laptops – ambos “pertencentes a” homens.
• Os dados financeiros foram visualizados uma vez – em um dispositivo “masculino”.
• Em dois casos, os arquivos do usuário foram copiados pelos técnicos de manutenção para um dispositivo externo. Nas duas ocorrências, eram fotos explícitas e, em um caso, os dados financeiros mencionados acima foram adicionados.

Em cerca de metade de todos os casos, os funcionários do centro de serviços obtiveram acesso aos arquivos do usuário. Eles estavam quase sempre interessados ​​em fotos – incluindo as explícitas

Como se proteger de técnicos de manutenção intrometidos

Claro, deve-se ter em mente que este é um estudo canadense. Não seria correto projetar seus resultados em todos os países. No entanto, de alguma forma duvido que a situação em geral em todo o mundo seja muito melhor. É provável que os centros de serviço na maioria dos países, assim como no Canadá, não tenham mecanismos convincentes para impedir que seus funcionários violem a privacidade do cliente. Também é provável que esses funcionários aproveitem a falta de restrições impostas por seus empregadores para bisbilhotar os dados pessoais dos clientes – especialmente os das mulheres.

Portanto, antes de levar seu aparelho à assistência técnica, vale a pena se preparar um pouco:

• Certifique-se de fazer um backup completo de todos os dados contidos no dispositivo para um dispositivo de armazenamento externo ou para a nuvem (se possível, é claro). É uma prática padrão para os centros de serviço não dar garantias quanto à segurança dos dados do cliente, então você pode perder arquivos valiosos durante este tipo de procedimento.
• O ideal é que seu dispositivo seja completamente limpo de todos os dados e redefinido para as configurações de fábrica antes de levá-lo para reparo. Por exemplo, isso é exatamente o que a Apple recomenda fazer.
• Proprietários de smartphones Android devem usar o recurso de bloqueio de aplicativos do Kaspersky Premium for Android. Ele permite bloquear todos os seus aplicativos usando um código PIN separado que não tem nada a ver com aquele usado para desbloquear seu smartphone.
• Se não for possível limpar e preparar o dispositivo para serviço (por exemplo, a tela do smartphone está quebrada), tente encontrar um serviço que fará tudo de forma rápida e direta na sua frente. Centros menores costumam ser mais flexíveis nesse aspecto.

Quanto aos laptops, pode ser suficiente ocultar todas as informações confidenciais em um contêiner criptográfico (por exemplo, usando uma Kaspersky Premium) ou, pelo menos, em um arquivo protegido por senha.