Algoritmo descobre a senha de desbloqueio do celular vendo apenas os movimentos. |
Se você tem um celular Android e pouca paciência, é provável que você use um padrão geométrico em vez de uma senha alfanumérica para desbloquear o aparelho.
Esse é o método favorito de 40% dos usuários, mas acaba de ser vítima da própria praticidade: um grupo de programadores da Universidade do Nordeste da China usou uma câmera e um software de detecção de movimento para liberar qualquer celular em no máximo cinco tentativas. E não há nada que impeça um hacker de fazer a mesma coisa.
A situação ideal é um lugar cheio, como um café ou livraria. De longe — a distância ideal é 2,5 metros —, o invasor filma o movimento das mãos da vítima.
Não é necessário captar a tela do aparelho. Em segundos, um algoritmo calcula um pequeno número de probabilidades possíveis para o padrão de desbloqueio.
Quanto mais complexo for o desenho, mais as mãos precisam se movimentar, o que alimenta o computador com mais informações e facilita o trabalho do hacker em vez de complicar.
“Ao contrário da percepção das pessoas de que padrões mais complexos dão mais proteção, esse ataque funciona melhor com senhas difíceis”, explicou ao Phys.org Guixin Ye, líder do grupo de pesquisa.
Os pesquisadores usaram 120 padrões de desbloqueio reais, fornecidos por voluntários. 95% deles caíram antes da quinta tentativa. Só 60% dos desenhos considerados simples cederam, contra 87,5% dos de dificuldade média.
Outras variáveis, como o tamanho da tela do aparelho, não fizeram diferença: Até tablets foram submetidos ao teste. Para evitar maiores problemas, os pesquisadores deram sugestões simples, como ocultar uma mão com a outra quando pegar o celular em locais públicos.
Uma pesquisa anterior já havia revelado que, apesar das mais de 300 mil combinações possíveis que o sistema de bloqueio do Android oferece, mais da metade dos usuários usavam desenhos de apenas quatro “bolinhas”, e que 44% deles começavam a senha pelo lado superior esquerdo da tela. Segundo os pesquisadores, essa é uma versão visual da prática de usar senhas como “12345” ou a própria data de nascimento e deve ser evitada.