Vulnerabilidade de celulares torna-se preocupação maior

Spencer E. Ante, The Wall Street Journal
16/06/2010

O recente vazamento de endereços de e-mail e de números de identificação dos aparelhos de proeminentes usuários do iPad nos Estados Unidos deixou em evidência como a segurança está se tornando uma preocupação maior em aparelhos portáteis.

Os consumidores estão adotando aparelhos como celulares sofisticados e o computador tipo tablet da Apple Inc., e a indústria de celulares está contando com eles para estimular o crescimento. Enquanto isso, a lista de brechas que os pesquisadores de informática encontram nos aparelhos e nos seus softwares é crescente.

Em 2009, especialistas em segurança identificaram 30 falhas nos sistemas operacionais e programas de telefones inteligentes fabricados por empresas como a Apple, a Nokia Corp. e a Research in Motion Ltd., que faz o BlackBerry, em comparação com um total de 16 no ano anterior, conforme uma análise de arquivos do Banco de Dados de Vulnerabilidade dos EUA, criado em 2005 por uma agência do Departamento de Comércio do país. Os dados submetidos são checados e classificados de acordo com sua gravidade.

"À medida que os aparelhos móveis se tornam mais comuns, existe mais interesse em tirar vantagem disso", disse Eugene H. Spafford, professor de ciência da computação da Universidade Purdue. "Os fabricantes não estão necessariamente pensando em abusos e vulnerabilidades. Em vez disso, estão pensando nas oportunidades e em como aumentar a adoção."

Nenhuma das companhias contatadas se dispôs a discutir vulnerabilidades específicas, mas todas afirmaram levar a segurança muito a sério. E até agora existem poucas evidências de que os hackers tenham explorado esses buracos em grande escala.

Ainda assim, um incidente na semana passada em que um grupo de programadores aproveitou uma falha no site da telefônica americana AT&T Inc. para tornar pública uma vulnerabilidade mostra que a subcultura da pirataria está começando a olhar para os aparelhos portáteis.

A Apple, que tem uma reputação sólida quando se trata de segurança, está cada vez mais chamando a atenção de pesquisadores e hackers, já que está ganhando mais importância na computação móvel. A empresa já vendeu mais de 50 milhões de iPhones.

Em março, Vincenzo Iozzo, da universidade Politécnica de Milão, e Ralf-Philipp Weinmann, da Universidade de Luxemburgo, extraíram um banco de dados completo de mensagens de texto de um iPhone, incluindo aquelas que tinham sido apagadas, usando um site corrompido que eles controlavam.

A experiência lhes rendeu US$ 15.000 em um concurso de pirataria. Eles não revelaram os detalhes do ataque, mas disseram que conseguiram acessar os bancos de dados de mensagens de texto e do arquivo de endereços, entre outros.

A Apple tapou aquele buraco e outros numa atualização da seu navegador Safari, quase três meses depois da divulgação da experiência, conforme dados do site da Apple.

"A Apple leva a segurança muito a sério", disse um porta-voz, que se recusou a falar de vulnerabilidades específicas.

Um número crescente de vulnerabilidades também foi descoberto na rede e em aplicativos usados em aparelhos móveis.

No ano passado, os pesquisadores da área de segurança encontraram 22 vulnerabilidades na versão móvel do Safari, ante 5 identificadas em 2008, de acordo com uma análise do Banco de Dados de Vulnerabilidade.

Por exemplo, um pesquisador divulgou ter descoberto em setembro que um componente do browser Safari usado em iPhones com sistema operacional mais antigo que o 3.1 não removia os nomes e as senhas dos usuários de mensagens enviadas pelo aparelho a websites.

A Apple, como outras empresas, tenta consertar os buracos enviando atualizações de segurança. Em setembro passado, a empresa rapidamente arrumou a falha da senha e outras, de acordo com dados do site da Apple.

É um jogo de gato e rato, e algumas brechas permanecem abertas por meses, ou mais.

"O verdadeiro desafio aqui é o tempo de resposta", disse John Hering, diretor-presidente da Lookout, empresa de segurança em aparelhos móveis. "Se as empresas não agirem rapidamente, vai ser mais difícil lidar com isso."

Uma forma que os fabricantes de telefones inteligentes usam para tentar segurar os hackers é através do mecanismo de segurança chamado sandboxing, que evita que aplicativos de terceiros se vejam ou acessem um dado específico.

Nicolas Seriot, um engenheiro suíço de software, publicou um artigo em fevereiro sobre o iPhone, durante uma conferência de segurança da computação, mostrando que a cerca criada pelo sandbox não é sempre perfeita.

Para expor as falhas, Seriot criou um software, batizado de SpyPhone, que lhe permitiu acessar dados privativos no iPhone, incluindo as 20 buscas mais recentes na versão móvel do browser Safari, o número de identificação e endereço de e-mail de um usuário do iPhone, e a história de conexões a um servidor móvel, que revela dados sobre a localização do usuário.