Mas como confiamos em nossos telefones mais do que nunca, a segurança móvel se tornou essencial para proteger nossa privacidade.

Neste guia, entraremos em detalhes sobre dicas, truques e práticas recomendadas de segurança móvel. Continue lendo para proteger seu telefone contra os hackers mais determinados.

Parte 1: dicas essenciais de segurança móvel

Os iPhones, iPads e dispositivos Android de hoje são tão poderosos e avançados que possuir um é como ter um mini PC disponível. Embora isso tenha possibilitado maior conectividade, produtividade e rede social, também significa que uma grande quantidade de dados é armazenada em nossos bolsos, suscetíveis a hackers e outras vulnerabilidades de segurança.

Telefones e tablets são expostos a redes Wi-Fi inseguras e sempre conectados a uma antena de celular distante. Eles também podem ser roubados fisicamente. É por isso que é tão importante seguir as práticas recomendadas de segurança. Aqui estão os que recomendamos.

Ative um bloqueio de tela

Dado que seu dispositivo móvel possui suas conversas privadas, contatos, detalhes de cartão de crédito e e-mails, é uma boa ideia torná-lo o mais impenetrável possível.

A primeira camada de segurança é geralmente um bloqueio de tela. Um bloqueio de tela precisa de uma senha ou padrão para desbloquear para se qualificar como uma medida de segurança. Ele também deve ser ativado automaticamente após um período de inatividade. A configuração padrão para a maioria dos telefones é de 30 segundos, mas o período de tempo pode ser personalizado de acordo com sua preferência.

Sugerimos que você mantenha o menor tempo possível antes que o bloqueio de tela seja ativado para minimizar a chance de o conteúdo do telefone ser acessível se você, digamos, se afastar de sua mesa.

Sempre bloqueie o telefone manualmente quando estiver longe de você ou quando alguém suspeito estiver se aproximando.

Muitos dispositivos também possuem scanners de impressão digital e recursos de reconhecimento facial. Tenha cuidado com a biometria como uma opção de segurança. Embora sejam mais convenientes do que as senhas, eles podem ser enganados com o equipamento certo. E se sua impressão digital se tornar informação pública, você não poderá alterá-la.

Criptografe seus dados

As redes Wi-Fi públicas não podem ser criptografadas e podem coletar suas informações pessoais para fins lucrativos . Navegue para sites usando seus favoritos em vez de hiperlinks, certifique-se de que a conexão está protegida com TLS (conforme indicado por um ícone de cadeado na janela do navegador) e use Tor ou VPN.

Tenha cuidado com os aplicativos que podem acessar seus dados

Use aplicativos confiáveis ​​e analise suas permissões regularmente para garantir que eles tenham acesso apenas aos dados que você espera que tenham.

Como regra básica, baixe apenas aplicativos de fontes confiáveis, como Google Play, F-Droid ou iOS App Store. Os telefones Android podem ser carregados com aplicativos de terceiros por meio de kits SDK, mas recomendamos que você tenha muito cuidado ao realizar esta etapa. Esses aplicativos de terceiros não foram examinados pelo Google. Sempre verifique se o arquivo do aplicativo vem de uma fonte confiável e não foi adulterado.

Ao mesmo tempo, certifique-se de examinar cuidadosamente as permissões de cada aplicativo que você baixar. Um aplicativo antivírus não precisa de acesso às suas fotos ou microfone, por exemplo. Se você acredita que pode ter esquecido as permissões do aplicativo no passado, certifique-se de voltar às configurações do aplicativo e conduzir uma auditoria forense.

Com frequência, também vale a pena fazer uma limpeza geral em seus aplicativos. Nossos telefones tendem a ficar confusos devido à propensão de baixar aplicativos que raramente usamos. Recomendamos que você exclua aqueles que não são abertos há algum tempo.

Proteger contra malware

Malware, ou software malicioso que visa danificar ou roubar seus dados para ganho pessoal ou político, sempre fez parte da Internet. O malware móvel costuma vir disfarçado de clones de aplicativos populares e confiáveis. Ele pode então roubar credenciais da conta, instalar outros aplicativos sem permissão ou realizar alguma outra ação indesejada.

Com 230.000 novos tipos de malware aparecendo todos os dias, é impossível fazer uma lista abrangente de todos os tipos de malware.

Tenha cuidado com os aplicativos que você instala e quem tem acesso ao seu telefone. Se você estiver em dúvida, execute uma redefinição de fábrica para que o sistema operacional do telefone volte ao estado original.

No mínimo, procure os aplicativos que não têm uma massa crítica de classificações no aplicativo ou na Play Store. Pode ser uma indicação de que eles foram carregados recentemente e não têm os mesmos recursos de segurança de aplicativos bem estabelecidos. Você também pode visitar os sites oficiais dos desenvolvedores do aplicativo que procura e seguir os links a partir daí.

Não deixe o Bluetooth ligado

Bluetooth é um vetor de ataque frequentemente esquecido para telefones e tablets. É uma falha de segurança potencial, pois permite conexões remotas com o seu telefone. Também pode permitir que outras pessoas o rastreiem, por exemplo, enquanto você vagueia por um shopping ou escritório. Ligue o Bluetooth apenas quando for necessário. Isso também ajuda a economizar bateria!

Não faça root no seu dispositivo

O enraizamento ou desbloqueio do telefone remove recursos de segurança padrão, que podem permitir que os aplicativos acessem dados privados, como os detalhes do cartão SIM e as antenas às quais você se conecta.

Embora seja tentador fazer o root em seu telefone para obter acesso a aplicativos fora das lojas oficiais e brincar com seu dispositivo como um desenvolvedor faria, não recomendamos isso para usuários comuns. Se você precisar fazer o root em um dispositivo por qualquer motivo, não mantenha nenhum dado pessoal no dispositivo.

Use software antivírus

Em qualquer dispositivo de computação moderno, você deve instalar um software antivírus . Manter seus telefones atualizados o tempo todo também é uma prática recomendada de segurança importante que corrige bugs, protege contra exploits de dia zero e protege suas informações pessoais. Na verdade, acreditamos que você deve configurar seus dispositivos para atualizarem automaticamente para que seus aplicativos sejam sempre corrigidos e os sistemas funcionem normalmente.

Cuidado com backups automáticos

A maioria dos telefones vem com uma função de backup incluída, fornecida pelo fabricante ou por um provedor externo. Isso é conveniente, mas também pode abrir você para questões adicionais de privacidade e segurança.

Seja seletivo com o que você faz backup. Alguns dados, como mensagens pessoais, dados de aplicativos e postagens em mídias sociais, podem já existir na nuvem e não precisam ser armazenados em backup separadamente. Ao fazer backup de mensagens criptografadas, esteja ciente de que elas não serão criptografadas em seu backup automático. Isso pode comprometer a sua segurança ou de seus contatos.

Backups offline, como usando seu computador pessoal ou software como o iTunes, podem ser criptografados. Certifique-se de escolher uma senha de criptografia adequada. Somente se você tiver certeza de que o backup está criptografado corretamente, você poderá fazer o upload para o armazenamento em nuvem.

Como se costuma dizer, é melhor prevenir do que remediar.

Um pouco de limpeza pode salvá-lo da ameaça real de perda ou furto de dados. Temos certeza de que é a última coisa que você deseja.

Parte 2: As ameaças de segurança das redes Wi-Fi móveis

O Wi-Fi público é muito bom, mas está longe de ser seguro e raramente é privado . Entender quais informações você compartilha com quem ajuda a usar o Wi-Fi com mais eficiência, reduz o risco de ataques cibernéticos e permite que você configure seu dispositivo de acordo com suas preferências.

Os endereços MAC podem ser usados ​​para identificar o seu dispositivo

Sempre que você se conecta a um ponto de acesso Wi-Fi, o telefone informa seu endereço MAC (controle de acesso à mídia). Esses endereços são incluídos em cada interface de rede, tornando possível identificá-lo como um convidado recorrente, mesmo em redes separadas.

A partir do iOS 8, os dispositivos da Apple começaram a transmitir um endereço MAC falso e aleatório que torna a prática de rastrear usuários mais difícil. Isso, no entanto, ainda identifica seu dispositivo como um dispositivo iOS , e a prática só é aplicada ao procurar novas redes. Quando você se conecta à rede conhecida, seu endereço MAC real é transmitido.

O sistema operacional TAILS randomiza endereços MAC por padrão. Um software como este torna possível conectar-se a vários pontos de acesso Wi-Fi repetidamente sem ser rastreado.

Os endereços MAC também podem ser usados ​​para aumentar a segurança do Wi-Fi de sua casa ou escritório. Você começa identificando os dispositivos que permite em sua rede por seu endereço MAC e, em seguida, lista esses dispositivos, essencialmente bloqueando todos os dispositivos desconhecidos de sua rede.

Outro método para garantir a privacidade é alterar o nome do telefone abrindo o menu de configurações. Isso porque seu dispositivo provavelmente transmitirá seu nome ao ponto de acesso Wi-Fi ao qual está conectado. Por padrão, geralmente é uma descrição do telefone, o nome que você inseriu ao configurá-lo ou uma combinação dos dois, como “iPhone de Patricia”.

Os roteadores Wi-Fi podem ler seus dados à medida que eles passam

Depois de se conectar a uma rede Wi-Fi, é importante lembrar que o roteador pode ler todos os dados transmitidos por meio dele. Isso sempre inclui o IP de destino de todo o seu tráfego, permitindo que os administradores de sistema tenham uma visão abrangente de quais serviços cada dispositivo está usando e quais sites todos na rede estão visitando.

Conexões não criptografadas (aquelas que não têm um ícone de cadeado na barra de endereço) permitem que as operadoras de rede vejam tudo o que você está vendo neste site e todas as informações que você transmite a ele, seja fazendo upload de fotos ou preenchendo formulários.

Isso inclui e-mails, bate-papos, senhas e outras informações pessoais. É importante sempre verificar a segurança da camada de transporte (TLS) e sempre se abster de transmitir informações confidenciais por meio de uma conexão não criptografada.

Usar uma VPN ou Tor elimina a capacidade do provedor de rede de visualizar o conteúdo do seu tráfego (ou seja, os sites que você visita ou os aplicativos que você usa), mas eles ainda podem estimar a quantidade de dados consumidos.

Uma VPN é mais robusta porque criptografa todo o tráfego que entra e sai do seu dispositivo, incluindo aplicativos de terceiros. O Tor, entretanto, criptografa apenas o tráfego do seu navegador.

Redes Wi-Fi não criptografadas expõem seu tráfego a todos

As redes Wi-Fi utilizam vários protocolos para criptografar o tráfego que flui de e para seus dispositivos. Infelizmente, nem todos são seguros e muitos nem usam criptografia.

Por exemplo, lembra-se de quando você se conectou a um ponto de acesso Wi-Fi sem a necessidade de uma senha? Embora isso possa ter economizado algum tempo, a desvantagem é que esses pontos de acesso não são criptografados.

Isso significa que suas atividades online podem ser interceptadas por entidades maliciosas por meio de ataques man-in-the-middle e outras estratégias. Redes inseguras são o maior risco de segurança que você pode enfrentar em uma configuração de Wi-Fi pública, pois expõe você a ataques não apenas do roteador, mas também de dispositivos próximos. As redes Wi-Fi que apresentam uma tela de login depois que você se conecta ao roteador também correm risco.

Este risco é particularmente aplicável a pontos de acesso Wi-Fi públicos e gratuitos, como parques, aeroportos ou cafés. Ao configurar seu próprio Wi-Fi – não importa se você está em casa ou em um local público – lembre-se sempre de definir uma senha e escolher um protocolo seguro, de preferência WPA2.

Usar uma VPN irá protegê-lo contra essa ameaça e, em redes Wi-Fi não criptografadas, torna-se especialmente importante usá-las.

As redes Wi-Fi podem adivinhar sua localização dentro de um edifício

Os administradores do sistema podem usar a intensidade do sinal de seu dispositivo junto com vários pontos de acesso em relação a outros dispositivos na rede para chegar a uma estimativa precisa de onde você pode estar localizado.

Os dados não só podem ser usados ​​para rastrear seus movimentos dentro de um edifício ou em um espaço público, mas essas informações também podem ser combinadas com outros dados que os administradores podem obter de sua conexão, como registros de compras em lojas ou feeds de CFTV, fornecendo-lhes um perfil preciso do seu comportamento.

Com acesso às informações certas, mentes treinadas podem conectar um IP a um número de cartão de crédito ou até mesmo a um rosto. É difícil se defender disso, especialmente se você passa muito tempo na rede.

O ideal é que você sempre tente se misturar à multidão. Não seja o último a sair de um café e tente sentar-se em uma mesa que esteja no meio de todos os outros. Também é do seu interesse encontrar locais que não estejam sob vigilância por vídeo, mas isso não é fácil.

Conectar-se automaticamente a uma rede pode ser perigoso

Se o seu Wi-Fi estiver configurado para se conectar automaticamente, você está forçando o seu telefone a monitorar constantemente as ondas de rádio para encontrar as redes às quais ele se conectou antes e fazer uma nova conexão. Mas o mecanismo que seu telefone usa para identificar essas redes é o nome da rede, e isso pode ser facilmente falsificado.

Não há garantia de que uma rede Wi-Fi chamada “Starbucks” seja realmente operada pela Starbucks. Na verdade, qualquer pessoa pode facilmente configurar uma rede maliciosa com esse nome, fazendo com que todos os dispositivos que normalmente se conectam ao Starbucks Wi-Fi se conectem automaticamente quando estiverem dentro do alcance.

Depois de conectado, o dispositivo revela seu nome ao roteador e alguns dos serviços que você usa podem ser ativados automaticamente. Se não criptografadas, essas informações podem ser lidas pela operadora da rede Wi-Fi e outras pessoas ao seu redor.

Recomendamos que você mantenha a configuração de Wi-Fi desativada e conecte-se apenas quando estiver ativamente procurando por um.

Parte 3: Como proteger seus aplicativos móveis e evitar roubo de dados

Quando se trata de seus dispositivos, as informações armazenadas neles são tão seguras quanto os aplicativos instalados.

Conforme explicado acima, faça questão de baixar apenas aplicativos de suas fontes oficiais. Idealmente, são F-Droid, Google Play e Apple App Store e qualquer outra fonte que você tenha verificado cuidadosamente.

Como alternativa, os usuários avançados podem construir os próprios aplicativos se o código for de código aberto ou se você puder encontrar e verificar os pacotes de instalação diretamente dos desenvolvedores.

Permissões de aplicativos

Tanto o iOS quanto o Android oferecem a opção de ser seletivo sobre as permissões concedidas aos seus aplicativos . Portanto, você pode restringir o acesso a itens como GPS, câmera, microfone e rolo de fotos.

Faça bom uso disso! Seja cético quanto às permissões que os aplicativos solicitam e conceda apenas aquelas que você acha que são absolutamente necessárias. Por exemplo, um aplicativo de mensagens nem sempre precisa saber sua localização, e um aplicativo de pagamento nem sempre precisa de acesso às suas fotos. Um aplicativo de lanterna não precisa pedir acesso a nada.

Lembre-se de que a maioria das startups e seus aplicativos são incrivelmente ávidos por dados, e a venda de dados do usuário pode ser a única ou mais promissora estratégia de monetização para um aplicativo ou serviço gratuito. Portanto, tenha cuidado com os aplicativos que você baixa, pois eles podem tentar lucrar com você.

É de seu interesse passar ocasionalmente pelas configurações de seu telefone para revisar quais aplicativos você instalou e quais permissões eles possuem. Se achar que alguns deles são excessivos, você pode retirar essas permissões ou excluir o aplicativo completamente.

Sinais de aviso que seus aplicativos podem estar espionando você

Os principais sinais de alerta incluem drenagem excessiva da bateria, congestionamento da rede ou uso de memória. Embora isso não signifique necessariamente que você está sendo espionado, certamente são efeitos colaterais dos aplicativos espiões.

Use sua intuição e os recursos integrados de seu telefone para monitorar esses indicadores. Os aplicativos que prometem ajudá-lo a otimizar a bateria, a rede ou o uso da memória raramente são confiáveis ​​e aumentam o risco de roubo de dados ao sistema.

Seu aplicativo criptografa seus dados?

Não é fácil determinar como os aplicativos lidam com seus dados em segundo plano sem acesso a ferramentas analíticas avançadas. Ao lidar com qualquer aplicativo, especialmente um sem muita reputação, tome cuidado com qualquer informação que você inserir, especialmente detalhes pessoais, como seu número de seguro social ou detalhes de pagamento.

Mesmo se você tomar todas as precauções necessárias, sempre existe o risco de que os desenvolvedores de aplicativos não armazenem seus dados na nuvem de maneira adequada. Leia atentamente os Termos de Serviço dos fornecedores e dê preferência a serviços e aplicativos que prometem explicitamente manter sua privacidade. Escolha uma boa senha, de preferência por meio de um gerenciador de senhas (também dê uma olhada no Gerador de senha aleatória do Strong The One).

É extremamente importante certificar-se de que sua senha seja armazenada em forma de hash no servidor. Um bom indicador para um aplicativo que não segue este procedimento básico é se você está limitado no comprimento de sua senha ou impedido de usar caracteres especiais.

Outra coisa a verificar é se os dados em trânsito são criptografados por HTTPS . Mas, ao contrário do seu navegador , pode não ser possível verificar manualmente se a conexão está criptografada ou se os certificados foram verificados corretamente. Em vez disso, temos que confiar nas promessas dos desenvolvedores de aplicativos, nas políticas de suas plataformas (a loja de aplicativos da Apple, por exemplo, exige que novos aplicativos usem HTTPS por padrão) e na competência de seus desenvolvedores.

Para julgar a confiabilidade de um aplicativo, dê uma olhada em seu site e como ele é apresentado na App Store. O aplicativo é atualizado regularmente? É bem documentado, com registros de alterações disponíveis?

Autenticação de dois fatores

Além de sua senha, você também pode usar a autenticação de dois fatores (2FA) para proteger seu dispositivo. Esta é uma segunda senha válida por um curto período de tempo. Ele pode ser gerado em seu telefone, um dispositivo externo ou enviado a você por mensagem de texto ou e-mail.

É mais seguro quando o código é gerado no telefone ou em um dispositivo externo, embora isso possa causar dores de cabeça quando esses dispositivos são perdidos.

Quando o código é enviado a você por mensagem de texto, é importante observar que essas informações podem ser interceptadas, possivelmente por alguém próximo ou por outro aplicativo em seu telefone. É por isso que a melhor maneira de usar a autenticação de dois fatores é por meio de um dispositivo de hardware usando o padrão FIDO U2F. Se você não tiver esse dispositivo, pode usar um aplicativo como o Google Authenticator ou Duo.

Parte 4: Como carregar seu telefone celular o expõe a riscos

Os smartphones usam a mesma porta física para carregar as baterias e também para fazer download de dados. Isso ajuda os usuários, pois menos cabos são necessários para realizar mais tarefas, mas aumenta ligeiramente o risco de segurança.

Por exemplo, não pensamos duas vezes antes de conectar nossos cabos USB nas tomadas encontradas em shoppings, estações de trem, ônibus e aviões. É possível que possamos conectar inadvertidamente nosso telefone a um computador em que não confiamos, que por sua vez pode tentar acessar nosso dispositivo sem nosso consentimento.

Aviões, por exemplo, permitem que você carregue seus dispositivos a bordo, mas o computador de bordo do avião frequentemente tentará acessar seu dispositivo. Isso é ótimo se você deseja reproduzir mídia na tela do assento à sua frente, mas podemos realmente confiar nesses computadores?

Para se proteger, leve seu próprio carregador com você e conecte-o a uma tomada elétrica normal em vez de uma tomada USB. Você também pode encontrar um cabo que transporta apenas eletricidade, mas nenhum dado. Você também pode aproveitar os “ preservativos USB ” , que garantem que não haja transmissão de dados durante o ciclo de carregamento.

Os riscos ocultos do seu cartão SIM e mensagens SMS

O cartão do Módulo de identidade do assinante (SIM) abre algumas vulnerabilidades de segurança desconhecidas no telefone.

O que é ainda mais devastador é que o cartão SIM torna muito fácil para você ser rastreado em todo o mundo. Vamos dar uma olhada em como isso acontece:

Rastreamento de telefone

Contanto que seu telefone tenha um cartão SIM válido inserido, ele sempre tentará se conectar a uma estação base. Depois de conectado, ele continuará a enviar sinais para as estações base próximas a você para garantir uma conexão estável caso você receba uma mensagem ou chamada telefônica. Remover o cartão SIM do telefone não garante o anonimato. A maioria dos telefones mantém uma conexão mesmo sem um cartão SIM, por exemplo, para fazer chamadas de emergência. Ativar o modo avião pode ajudar, mas apenas remover fisicamente a bateria pode garantir que você não possa ser rastreado pelo dispositivo.

As empresas de telefonia móvel podem rastrear a estação base à qual você está conectado e comparar isso com a intensidade do sinal para triangular sua localização com um grau razoável de precisão. Basta ter o telefone ligado e um cartão SIM inserido. Eles também podem usar indicadores como sua velocidade e localização para deduzir se você está, digamos, em um veículo em movimento ou no alto de um arranha-céu.

Não presuma que as informações coletadas são mantidas em sigilo por empresas de telecomunicações. Vários provedores não conseguem proteger seus sistemas contra intrusos, tornando a localização geográfica quase de conhecimento público. Na verdade, alguns provedores chegaram ao ponto de vender a localização de seus usuários aos anunciantes.

Além do mais, eles podem compartilhar essas informações com as autoridades policiais, e geralmente o fazem. Mas, para rastreá-lo com mais precisão, a polícia precisará de um dispositivo semelhante a um Stingray.

O que são arraias?

As arraias são um tipo popular de IMSI-catcher (International Mobile Subscriber Identity). Esses dispositivos têm o tamanho aproximado de uma caixa de sapatos e podem ser fixados em qualquer veículo, como um carro ou avião, ou mesmo carregados em uma mochila.

As arraias funcionam para todos os dispositivos conectados à rede GSM. Embora as arraias não sejam tão eficazes em redes 3G ou 4G, elas sempre podem recuperar o número do celular e a localização de uma pessoa. Ao enganar o sujeito para que ele se conecte a uma conexão 2G menos segura, ele também poderá interceptar chamadas ou SMS.

Embora cada telefone precise se autenticar na estação base do provedor de telefonia celular, esse não é o caso para o contrário. Como resultado dessa vulnerabilidade comumente conhecida na rede GSM, qualquer pessoa com os recursos (Stingrays custam cerca de 16.000 a 125.000 dólares por unidade) pode imitar uma estação base, com o resultado de que todos os telefones próximos se conectarão a ela sem saber.

Isso permite que a operadora de um Stingray obtenha uma lista de todos os identificadores de telefones celulares próximos. Em alguns casos, também pode permitir que eles ouçam todas as conversas telefônicas e mensagens de texto feitas pela vítima, no que é chamado de ataque man-in-the-middle.

Não sabemos se agências de espionagem ou órgãos de aplicação da lei podem facilmente aplicar funcionalidade semelhante para ler e interceptar dados móveis também, mas certamente está dentro do reino da possibilidade.

É muito difícil decifrar a criptografia em tempo real, mas é razoável acreditar que uma agência de espionagem grande o suficiente já roubou as chaves ou as solicitou por meio de uma carta de segurança nacional.

As arraias são usadas secretamente e seu uso é tão secreto que muitas vezes nem mesmo é descoberto no tribunal. Esses dispositivos são ferramentas de vigilância em massa e, como tal, raramente são autorizados pelos tribunais nas investigações. Mas, à medida que seu uso se tornou mais difundido, o público tornou-se cada vez mais ciente das arraias e de como elas funcionam.

Quando uma agência de aplicação da lei, criminoso ou espião tem vários dispositivos à sua disposição, eles podem usá-los simultaneamente para calcular a localização dos telefones de seus suspeitos. Um resultado semelhante pode ser alcançado movendo os dispositivos, como em um pequeno avião.

Parte 5: como evitar o rastreamento de localização através do seu SIM

Embora o modo de vôo possa ajudar, a única maneira de escapar completamente do rastreamento é removendo a bateria do seu telefone. Para usuários avançados, existe a possibilidade de executar um software especial em seu telefone que detecta Stingrays e desliga seu telefone, se você escolher.

No entanto, este software é experimental e não foi totalmente testado. Usar serviços públicos de Wi-Fi , VPNs e VoIP pagos com Bitcoin são boas alternativas para chamadas de saída. As chamadas recebidas por VoIP são menos privadas devido à necessidade de assinatura, mas ainda podem ser uma ferramenta eficaz se o objetivo principal for ocultar sua localização. É importante acrescentar que essas chamadas nunca são criptografadas e, portanto, podem ser facilmente interceptadas.

Chamadas criptografadas são possíveis com softwares como Signal e FaceTime, mas para funcionar é necessário que ambas as partes usem o software.

Outra abordagem é trocar de cartão SIM com frequência. Embora isso não torne o rastreamento impossível, reduz a quantidade de informações que os bisbilhoteiros são capazes de reunir. É importante, no entanto, que os cartões SIM não sejam trocados muito rapidamente. Pode ser possível ligar dois números simplesmente observando que eles nunca são ativados ao mesmo tempo.

Outro obstáculo com essa estratégia é que os cartões SIM precisam ser comprados independentemente uns dos outros, em lojas separadas, e pagos em dinheiro. Se eles forem inseridos no mesmo telefone, pode haver outros números de série e identificadores que permitem que a empresa de telefonia móvel ou agência de espionagem os conecte.

Para ter a melhor chance de escapar do rastreamento de localização por meio de cartões SIM, certifique-se de que ambos os cartões SIM foram comprados de fornecedores diferentes com dinheiro, não estão registrados ou estão registrados com nomes falsos separados e são usados ​​com dispositivos separados. Eles nunca devem ser usados ​​na mesma área e você deve certificar-se de que ambos os dispositivos estejam desligados ao viajar entre os locais.

Hackear um cartão SIM

Infelizmente, o maior pesadelo da segurança não são os rastreadores de localização, mas o próprio cartão SIM. Essencialmente, seu módulo é um pequeno computador que sai da caixa, pode ser executado e responder a um código estrangeiro e pode ser acessado remotamente.

O maior hack conhecido que explorava essa arquitetura problemática foi descoberto em 2013, quando analistas de TI descobriram que 750 milhões de telefones celulares estavam usando cifras obsoletas que poderiam ser facilmente descobertas por um invasor.

Com essa chave, o invasor pode baixar um novo software para o módulo SIM, enviar mensagens de texto para contatos na lista de contatos ou alterar a senha do correio de voz do usuário.

Se você tiver um cartão SIM emitido antes de 2013, há cerca de 10% de chance de ele ainda ser afetado por esse problema.

Mas essas chaves de criptografia também podem ser comprometidas de outras maneiras, especialmente por atores estatais bem financiados.

Como parte das revelações de Snowden, o The Intercept revelou como agências de inteligência americanas e britânicas roubaram as chaves de criptografia de bilhões de cartões SIM produzidos pela Gemalto, uma empresa holandesa que fabrica cartões SIM para mais de 450 empresas de telecomunicações em todo o mundo. Essas chaves teriam permitido às agências de inteligência descriptografar o tráfego interceptado por meio de uma versão mais avançada e indetectável de um Stingray.

Mensagens SMS e contatos

Mesmo que você tenha a criptografia de disco completa configurada, seu telefone ainda pode armazenar mensagens de texto e detalhes de contato no próprio cartão SIM, deixando suas informações descriptografadas e acessíveis a qualquer pessoa que tenha acesso a elas.

Clonagem de SIM / troca de cartão SIM

É difícil clonar seu cartão SIM, mas não impossível. Se um invasor tiver acesso físico ao seu cartão SIM, ele poderá extrair a chave privada dele. Usando um leitor entre o cartão SIM e o telefone, eles também podem executar um ataque man-in-the-middle, por exemplo.

A maneira mais fácil de clonar seu cartão SIM seria se passar pelo usuário e se aproximar do provedor de serviços diretamente, pedindo uma cópia. Alguns provedores de serviço fornecem facilmente SIMs secundários ou de substituição no local ou via correio com pouca identificação.

Isso significa que você confia muito na sua operadora de celular. Se alguém conseguir se passar por você para seu provedor de serviços e obter acesso a um SIM secundário, eles poderão receber mensagens de texto e chamadas destinadas a você e fazer chamadas e mensagens de texto em seu nome (e na sua conta).

Isso pode ter ramificações de segurança importantes, especialmente se sua solução de autenticação de dois fatores entregar esses códigos por mensagem de texto.

Essa técnica também é conhecida como troca de cartão SIM e virou manchete depois que a conta pessoal do CEO do Twitter, Jack Dorsey, foi hackeada em agosto de 2019.

As ramificações da troca de cartão SIM são graves – especialmente quando você considera que há pouco que você pode fazer para impedi-la. No entanto, a melhor maneira de detectá-lo é se você perder misteriosamente todos os serviços do celular e ele teimosamente se recusar a voltar, mesmo depois de reiniciar o dispositivo. Isso mostra que algo está errado e não é do seu lado.

Simjacking

Uma nova vulnerabilidade de segurança do cartão SIM descoberta em setembro de 2019 veio como resultado de mensagens de texto maliciosas que incorporaram código de spyware. Assim que um usuário clica no texto, o código entra em ação e permite que os hackers espionem suas ligações, mensagens e dados de localização.

A vulnerabilidade usava um software chamado navegador S @ T, parte do kit de ferramentas do aplicativo SIM. Embora esse navegador não seja comumente usado no mundo desenvolvido, ele ainda está ativo em países do Oriente Médio, Norte da África e Europa Oriental.

As operadoras de telefonia móvel foram o alvo desse ataque, que foi atribuído a uma empresa privada que operava sob o comando de agências governamentais.

Parte 6: Por que é essencial bloquear seu dispositivo

Definir uma senha suficientemente segura para sua tela de bloqueio é a primeira camada de segurança e deve ser levada muito a sério. Isso dificultará o acesso de outras pessoas ao seu telefone sem o seu consentimento.

Ao contrário da percepção popular, usar sua impressão digital para desbloquear o dispositivo faz pouco para aumentar sua segurança. Uma impressão digital pode ser facilmente clonada a partir de uma foto do seu polegar e usada para desbloquear o telefone. E embora você não possa ser legalmente forçado a revelar sua senha na maioria das jurisdições, tirar sua impressão digital para desbloquear o telefone sem o seu consentimento é perfeitamente legal nas democracias liberais ocidentais.

Criptografe sua unidade

A Apple começou a criptografar discos rígidos por padrão desde o iOS 8. Isso melhora muito a proteção para o proprietário de pesquisas arbitrárias e de ter seus dados pessoais abusados ​​após perder o dispositivo.

O Android também oferece um recurso para o usuário criptografar sua unidade; no entanto, isso deve ser ativado e não é ativado por padrão.

Você pode encontrar a opção de criptografar seu dispositivo nas configurações.

Embora não seja particularmente fácil, é possível extrair suas informações pessoais de seu telefone sem o seu consentimento, se você não criptografar sua unidade. Empresas de tecnologia também foram apanhadas ajudando agências de aplicação da lei a desbloquear dispositivos.

Escolha uma boa senha

Embora a Apple e o Google tomem medidas para proteger seus dados criptografados de hackers, limitando o número de vezes que uma senha errada pode ser inserida ou apagando a unidade após algumas tentativas fracassadas, a melhor forma de proteção continua sendo uma senha forte.

Escolha uma senha de pelo menos 12 caracteres ou use nosso gerador de senha aleatória . Além disso, certifique-se de adicionar uma combinação de números, bem como caracteres maiúsculos e minúsculos. Como alternativa, use Diceware para gerar uma senha que consiste de quatro a cinco palavras.

Resumo do Tl; dr

Parte 1: dicas essenciais de segurança móvel

Com uma grande quantidade de dados armazenados em seus telefones, qualquer vulnerabilidade pode ser devastadora. As recomendações nesta seção cobrem o mínimo quando se trata de higiene de segurança, como ativação de bloqueios de tela, criptografia de dados e proteção contra malware.

Parte 2: As ameaças de segurança das redes Wi-Fi móveis

Em sua pressa para se conectar à rede Wi-Fi pública gratuita que não pede uma senha, você pode acabar inadvertidamente esquecendo alguns de seus detalhes mais íntimos. Esta seção cobre todos os riscos inerentes à segurança do Wi-Fi e maneiras de se manter protegido.

Parte 3: Como proteger seus aplicativos móveis e evitar roubo de dados

Não instale aplicativos apenas à toa. Certifique-se de fazer isso de uma fonte confiável, como uma app store oficial. Depois de baixado, não permita que eles tenham acesso a todos os cantos do seu dispositivo. Esta seção discute as permissões de aplicativos, espionagem de aplicativos e maneiras de proteger seu dispositivo.

Parte 4: Como carregar seu telefone celular o expõe a riscos

Os pontos de carregamento públicos não são tão benignos quanto você pode supor que sejam. As práticas recomendadas de segurança dizem que você deve tratá-los com cautela. Esta seção contém todos os detalhes.

Parte 5: os riscos ocultos do seu cartão SIM e mensagens SMS

A antena do seu telefone é como um farol de rastreamento do qual você não consegue se livrar. Se abusado, pode ser usado para rastrear todos os seus movimentos. Mostraremos como ficar seguro e protegido.

Parte 6: Por que é essencial bloquear seu dispositivo

Um resumo sucinto de algumas de nossas melhores práticas e por que você deve sempre definir uma senha para a tela de bloqueio, criptografar sua unidade e escolher uma senha alfanumérica forte para se proteger.