Quantas vezes no último ano você se cadastrou em um aplicativo que pediu seu número telefônico como método de autenticação? Há vários anos, esse se tornou um mecanismo bastante popular de verificação de identidade; para alguns serviços, é a forma principal, superando até mesmo o e-mail.
Isso traz alguns problemas, exemplificados por um relato do leitor Edenilton Soares, especializado em segurança da informação. Ele conta que conseguiu acessar a conta de outro usuário do Facebook devido a uma fragilidade neste sistema de autenticação.
O “ataque” foi acidental. Bastou adquirir um chip da operadora TIM e começar a usar o novo número. Quando foi tentar cadastrá-lo no Facebook, a rede social detectou que aquele telefone já estava vinculado a uma conta e ofereceu os mecanismos para resetar a senha e retomar o acesso.
Ou seja: o número telefônico do usuário original da conta expirou e foi reciclado pela operadora. Quando ele foi repassado para outra pessoa, serviços que utilizam o celular como ferramenta de autenticação passaram a ficar expostos, permitindo que as contas ficassem vulneráveis e acessíveis ao novo dono do número.
Telefone não é feito para ser seguro
Soares relatou o problema para o Facebook por meio do programa de Bug Bounty, que oferece recompensas em dinheiro para quem reporta vulnerabilidades à empresa, para que ela possa solucioná-los e proteger a base de usuário.
A resposta do Facebook, neste caso, foi que este tipo de vulnerabilidade é uma preocupação da empresa, mas não é algo que está sob seu controle. O Olhar Digital apurou que, de fato, a rede social não considerou a falha apontada como válida para o programa de Bug Bounty.
A rede social diz que não há como acompanhar operadoras que reemitem cartões SIM ou se um usuário perdeu acesso ao número de telefone vinculado ao seu perfil. A única forma de se manter seguro, segundo as recomendações do próprio Facebook, é manter as informações de contato atualizadas e tomar outras precauções, como ativar autenticação de dois fatores e alertas de login.
A própria Anatel defende que a prática de reciclagem de números telefônicos é permitida no Brasil e regulamentada na Resolução nº 709/2019, então é importante para o usuário se precaver contra essa questão, com a utilização de autenticação em duas etapas.
Essas recomendações funcionam para lembrar usuários que o sistema telefônico não foi criado para ser seguro, e não conta com proteções para garantir que mensagens de SMS e ligações não sejam interceptadas. O simples fato de que um mecanismo de autenticação pode ser tirado da mão de um usuário porque ele não fez uma recarga do seu plano pré-pago dentro de um prazo determinado é um sinal de que ele não é confiável o bastante.
Neste caso específico do Facebook, o acesso ao perfil alheio foi feito de forma acidental, mas já é amplamente demonstrado que o protocolo telefônico é frágil, especialmente com um sistema chamado SS7, usado no mundo inteiro desde os anos 1970. Suas vulnerabilidades já são conhecidas, e os métodos de ataque podem, por exemplo, possibilitar tomar controle total de uma linha telefônica temporariamente. Isso permite, por exemplo, desviar códigos de recuperação de senhas ou de autenticação em duas etapas.
O vídeo abaixo demonstra um ataque bem-sucedido em que um especialista consegue tomar o controle de uma conta do WhatsApp interceptando a mensagem SMS utilizada para validar o acesso.
Empresas têm recomendado evitar
A vulnerabilidade do sistema telefônico é inclusive conhecida pela indústria de tecnologia, apesar de muitos ainda permitirem o uso de SMS para validar identidade. Não é à toa que recentemente a Microsoft recomendou que os usuários evitem o uso do seu próprio número como método de autenticação.
Em artigo publicado na semana passada, diretor de Segurança de Identidade da empresa, Alex Weinert, descreve como é fácil não só manipular o sistema telefônico a favor de um ciberataque, como também é um tipo de autenticação que facilita a engenharia social, enganando o usuário para que ele entregue informações a um criminoso sem que a vítima perceba que está sob ataque.
Para piorar, além da fragilidade em termos de segurança, existe o fato de que as redes telefônicas não são necessariamente estáveis, o que pode afetar o recebimento de códigos de autenticação. Em algumas regiões, esses problemas podem afetar a entrega de até 50% das mensagens, o que torna o SMS um mecanismo inviável de autenticação.
Esse acumulado de problemas faz com que hoje não se recomende mais receber códigos de autenticação por SMS. A opção mais recomendada, no caso da autenticação em duas etapas, é o uso de um aplicativo gerador de códigos, como Authy, Google Authenticator, Microsoft Authenticator, e outros. Eles geram cifras localmente, sem depender de internet ou da rede telefônica.
Já para recuperar uma senha perdida, existem outros métodos mais seguros que não dependem da linha telefônica. O uso do endereço de e-mail conta com um nível de proteção mais alto, com potencialmente duas camadas de autenticação.