Tenha cuidado da próxima vez que ligar seu telefone habilitado para Bluetooth: você pode, sem saber, estar abrindo a porta para um intruso que pode roubar informações confidenciais, como seu catálogo de endereços ou até mesmo usar seu telefone para fazer transações caras chamadas.
Especialistas em segurança no Reino Unido descobriram falhas graves em alguns telefones habilitados para Bluetooth, levando um fornecedor de telefones vulneráveis, a Nokia Corp., a recomendar medidas de precaução.
“Desenvolvemos uma ferramenta que nos permite conectar a vários telefones habilitados para Bluetooth e baixar todo tipo de informação confidencial, como catálogos de endereços, calendários e outros anexos sem passar pelo processo normal de emparelhamento ou aperto de mão entre os dispositivos”, disse Adam Laurie, diretor técnico e cofundador da A.L. Digital Ltda. em Londres. “Na verdade, conseguimos obter esses dados confidenciais sem dar aos usuários qualquer indicação de que uma invasão está ocorrendo.”
A.L. Digital descobriu falhas de segurança em quatro modelos de telefone Nokia: 6310, 6310(i), 8910 e 8910(i).
Janne Ahlberg, gerente de plataformas de tecnologia da Nokia, confirmou na quarta-feira que esses modelos são suscetíveis a possíveis ataques. Os usuários desses telefones em locais públicos, ele recomendou, devem mudar o telefone para o modo “não detectável” ou oculto, tornando-os invisíveis para outras pessoas, ou desligue a funcionalidade Bluetooth completamente. Os usuários também devem verificar se seus “pares” de Bluetooth ou conexões aprovadas com parceiros confiáveis estão corretos.
A empresa de segurança do Reino Unido detectou falhas semelhantes em telefones fabricados pela Sony Ericsson Mobile Communications AB. Os modelos Sony Ericsson incluem o R520, T68i, T610 e Z1010.
A Sony não estava disponível para comentários imediatos.
A tecnologia Bluetooth permite que os usuários troquem dados entre telefones celulares, PDAs (assistentes digitais pessoais), notebooks e uma série de outros dispositivos a poucos metros uns dos outros. Está se tornando um recurso padrão de muitos dispositivos de última geração.
Até agora, a única falha de segurança conhecida do Bluetooth era o “bluejacking”, um meio cada vez mais popular de trocar mensagens curtas de três ou quatro palavras na área de exibição designada para o nome do dispositivo iniciador, de acordo com Laurie. O processo, essencialmente, permite que a comunicação ocorra sem pareamento, o que exige que os parceiros troquem um PIN (número de identificação pessoal) para estabelecer a conexão.
Mas Laurie disse que ele e seus colegas da A.L. Digital descobriram não uma, mas duas novas falhas de segurança. Ele se referiu a um como “bluesnarf” e ao outro como um ataque “backdoor”.
“O Bluesnarf é uma ferramenta que escrevi que permite que você ignore o processo de emparelhamento para se conectar a um telefone habilitado para Bluetooth e, essencialmente, invadir o dispositivo para roubar ou manipular dados”, disse ele.
O ataque backdoor, de acordo com Laurie, envolve o estabelecimento de uma relação de confiança por meio do mecanismo de emparelhamento, mas posteriormente, tornando as informações de emparelhamento invisíveis no registro de dispositivos emparelhados do alvo para permitir uma conexão anônima conexão. O processo exige que os usuários participantes primeiro criem um PIN (número de identificação pessoal) e depois insiram esse número em cada dispositivo, a fim de iniciar uma conexão, disse ele.
O problema surge, disse Laurie, quando uma das pessoas “confiáveis” decide usar o método de hacking backdoor para ocultar os dados de identificação e obter acesso não autorizado ao dispositivo dessa pessoa. “A menos que você esteja olhando para o seu telefone e veja um pequeno ícone indicando uma conexão, você não saberá que alguém obteve acesso ao seu telefone”, disse ele.
A Nokia disse que não está ciente de nenhum ataque contra telefones habilitados para Bluetooth e acredita que é "altamente improvável" que esses telefones sejam amplamente expostos a ataques de segurança.
“Do ponto de vista da segurança, o Bluetooth é realmente muito forte”, disse Ahlberg. “Houve apenas algumas falhas de implementação que tornaram essas falhas de segurança possíveis em alguns modelos.”
Informações adicionais sobre as falhas de segurança detectadas pela A.L. Digital estão disponíveis em: www.bluestumbler.org.