Pacotão do blog Segurança Digital também responde dúvida sobre alerta de uso da câmera.

Imagem de alerta do monitor de permissões incluído em celulares Samsung. — Foto: Reprodução

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Golpe do WhatsApp também rouba dados do telefone?

Gostaria de uma ajuda quanto a este golpe [do WhatsApp], eles roubaram apenas a conta de WhatsApp, isso? Neste golpe não são roubadas as senhas do telefone, bancárias, aplicativos, etc.? Estou com medo de acessar minhas contas pelos aplicativos do telefone. – Gabriel Pereira

Pode ficar tranquilo, Gabriel. Esse ataque ao WhatsApp tem por base apenas o SMS de autorização que você informou ao golpista. Isso significa que ele não tem acesso ao seu telefone para aprofundar a invasão.

Se você quiser testar para ver como funciona, pegue um segundo telefone e tente ativar o seu WhatsApp nele (digitando o código que será recebido no seu telefone). Você terá a mesma "visão" que o criminoso. Importante: ative em um telefone em que sua conta do Gmail não está cadastrada.

Se, no entanto, esse mesmo tipo de fraude for utilizado para concretizar uma invasão mais grave (à sua conta de e-mail, por exemplo), o criminoso poderia utilizar seu e-mail para "recuperar" sua conta em outros sites e aprofundar a invasão em sua vida digital (o "esqueci minha senha" de muitos serviços recorre ao e-mail para trocar a senha). Mas, nesse caso, o código SMS informado aos criminosos teria que ser o referente ao seu e-mail, não ao WhatsApp.

A mesma regra vale para os casos de "troca de chip", quando a linha inteira é ativada em outro chip controlado pelo bandido. Nesse caso, você perde totalmente o controle da linha, e o golpista pode solicitar vários SMS. Como há serviços que redefinem a senha pelo número de celular via SMS, o criminoso pode conseguir acesso a esses serviços.

No caso do aplicativo bancário, a dificuldade para o invasor deve ser ainda maior. Em geral, os bancos cadastram o token no seu telefone celular e o invasor não teria como invadir sua conta bancária, a não ser que você forneça o código do token para ele.

Vale a pena saber: Diferente do WhatsApp, o Telegram guarda todas as mensagens em nuvem. Se o aplicativo for autorizado em outro celular, o invasor terá acesso a todas as suas conversas. Isso vale para Skype, Facebook, e etc – mas, entre eles, apenas o Telegram permite acesso sem senha. Ativando a autenticação em duas etapas, o Telegram também vai exigir senha como os demais serviços.

Alerta de WhatsApp usando a câmera

Vez por outra recebo uma alerta no meu Android (Samsung A7): "o WhatsApp foi detectado usando a câmera". O que isso significa? Estou sendo espionado? A minha privacidade foi quebrada? - João Victor Torres

Essa mensagem que você está recebendo provavelmente é do recurso de monitoramento de permissões que a Samsung inclui no aparelho. Você pode fazer um ajuste fino nesses avisos na configuração do telefone:

Clique em "Tela de bloqueio e segurança";
Em seguida "monitoramento de permissão".

Você pode escolher quais aplicativos vai monitorar e quais permissões serão monitoradas para cada um deles.

Embora a intenção da Samsung com essa opção seja nobre — avisar quando algum aplicativo utiliza determinada função —, trata-se de uma função opcional. Na prática, isso quer dizer que os aplicativos podem se comportar de certas maneiras totalmente legítimas e benignas que mesmo assim resultam na geração do alerta e os criadores dos programas podem não saber disso.

Em outras palavras, como os aplicativos não são testados para funcionarem sob esse monitoramento, pode ser que você receba vários alertas que não representam risco nenhum.

O WhatsApp com certeza utiliza a câmera. Ela é necessária para você tirar fotos durante as conversas e em chamadas de vídeo. Portanto, não há nada de anormal nessa permissão em si.

Por causa do elevado risco de alertas alarmantes como este, desativar o monitoramento de permissão é uma escolha válida. No entanto, você pode desativar os alertas para aplicativos específicos que você utiliza com frequência, como o WhatsApp.

Assim, você pode ignorar os aplicativos que gerarem esses alertas incômodos, mantendo ainda a função em funcionamento para os demais programas de uso mais raro.

Vale a pena saber: Os aplicativos no Android utilizam um armazenamento privativo que não pode ser acessado por outros programas no telefone. Isso significa que é menos provável que um invasor "sequestre" um programa legítimo (como o WhatsApp ou o Gmail) para fazer roubo de dados, acionar a câmera sem permissão e assim por diante. O mais provável é que o invasor instale um programa espião dedicado a essa tarefa. Em alguns casos, o programa espião pode ter um nome semelhante a um aplicativo legítimo para que seja mais difícil identificá-lo na lista de programas instalados e em alertas como este, o que acaba prejudicando a eficácia desse recurso.

Mais informações sobre 'reCaptcha'

O pacotão do blog Segurança Digital recentemente comentou sobre apossibilidade do teste reCaptcha, que tenta descobrir se quem está navegando é um humano ou uma interação programada, ser validado com um único clique. Esses testes ajudam a impedir spam (mensagens automatizadas), ataques de tentativa e erro em senhas e outras atividades nocivas.

Um leitor anônimo enviou a seguinte informação:

"ReCaptcha de um único clique é um teste, ele detecta a maneira como um humano mexe o mouse. Se usar [a tecla] Tab [para selecionar o botão] ou software de clique, ele pedirá verificação de imagem, se desenhar software que se movimente igual a uma mão passará pelo teste".

Como informado na coluna anteriormente, o reCaptcha leva em conta diversas informações sobre o computador, a navegação do usuário no site e o histórico de navegação. Analisar a movimentação do mouse — como sugere o leitor — não seria uma má ideia. Porém, não há nenhuma documentação oficial do Google sobre isso.

A fórmula completa do reCaptcha (não só o que é analisado, mas o peso de cada fator) pertence ao Google. O importante é saber que ser autorizado em um único clique não indica que o reCaptcha está com algum problema. Detectar robôs sem prejudicar a navegação humana é justamente o objetivo do reCaptcha e qualquer método é válido para esse fim. Pode ser até que os métodos de hoje e amanhã não sejam os mesmos — vai depender do que os hackers inventarem para driblar as medidas existentes.

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para g1seguranca@globomail.com. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!