Porquê o cuidado
O smartphone tornou-se num objeto nuclear para o uso do ciberespaço, na medida em que é um dispositivo que não é apenas um telemóvel, mas um autêntico computador de bolso onde se encontram múltiplas funcionalidades. Esta importância nem sempre é acompanhada pela correspondente preocupação com a cibersegurança. Por exemplo, um smartphone que não tenha nenhum mecanismo de bloqueio e autenticação deixa expostos a terceiros todos os ficheiros guardados, como fotografias e documentos, e as aplicações instaladas, como as de email, do banco online ou das redes sociais.
Sendo um objeto móvel, o smartphone acompanha de muito perto a vida de cada indivíduo, guardando vestígios do quotidiano como poucos dispositivos: as imagens partilhadas; as deslocações feitas com ajuda do GPS; a corrida acompanhada por uma aplicação; o histórico de mensagens e telefonemas; entre muitos outros aspetos. Quando o email profissional ou outras aplicações usadas para interações profissionais estão disponíveis no smartphone, também os dados do contexto de trabalho ficam em risco no caso de não se terem todos os cuidados. Quando se protege o smartphone, protege-se o acesso a toda esta informação.
Sabia que?
O comprometimento de um
smartphone através de furto ou de um simples extravio pode colocar em causa muita informação que interessa proteger, sobretudo se não tiver ativado nenhum mecanismo de boqueio do dispositivo. Acresce que um programa malicioso instalado no
smartphone que permita espiar a atividade do utilizador através da câmara de filmar, por exemplo, pode ter consequências extremamente invasivas da privacidade. Além disso, muitas vezes o
smartphone é utilizado como segundo fator de autenticação através de um SMS, de um
token ou de um
email. Por isso, o comprometimento deste dispositivo pode ajudar um agente malicioso a contornar a camada extra de segurança que o
múltiplo fator de autenticação permite.
Muitas das fraudes realizadas através da chamada “
engenharia social” são feitas utilizando telefonemas para capturar
dados pessoais ou conduzir as pessoas a fazer transferências bancárias. A essas chamadas telefónicas chama-se
vishing, palavra que resulta da contração da palavra “voz” com a palavra
“phishing”. Portanto, trata-se de um
phishing através de voz em vez de
email. Esta técnica também é muito utilizada através de SMS, o chamado
smishing (contração de “SMS” com
“phishing”), onde frequentemente é partilhado um
link que pode conduzir a
websites fraudulentos ou à instalação de
software malicioso.
Também é muito importante manter o sistema e as aplicações atualizadas. Tal como em relação a qualquer computador, estas atualizações permitem corrigir vulnerabilidades de segurança que vão sendo descobertas ao longo do tempo. Também como num computador, o acesso a
Wi-Fi públicas deve ser feito através de uma VPN, evitando-se assim as vulnerabilidades de segurança que se encontram numa rede pública, as quais podem permitir o acesso de um estranho com os conhecimentos adequados. Em alternativa, nesses casos, é preferível utilizar os dados da operadora.
Considerando que o
smartphone é um dispositivo onde facilmente se instalam novas aplicações, muitas delas “aparentemente” gratuitas, é preciso ter algum cuidado com os critérios que são utilizados para fazer estas instalações e com as autorizações de acesso a funcionalidades que são atribuídas. As aplicações disponibilizadas fora das plataformas reconhecidas para o efeito são menos sujeitas a verificação e crítica. É mais provável encontrar uma aplicação maliciosa nesse contexto, a qual pode trazer consigo
software que, por exemplo, espie os utilizadores e viole os seus
dados pessoais (spyware). Além disso, mesmo aplicações que não instalam
software malicioso podem ser abusivas relativamente aos utilizadores, acedendo sem necessidade à câmara de filmar, a fotografias ou à lista de contactos, existindo a possibilidade desses dados serem usados para fins comerciais não autorizados. Uma aplicação pela qual não se paga através de dinheiro é geralmente uma aplicação que se paga através dos dados do utilizador.