Se algum participante do Mobile World Congress, que ocorre nesta semana em Barcelona, não souber o quanto é fácil hackear smartphones e tablets, Filip Chytry e sua equipe têm um plano para convencê-lo: hackear o aparelho dele.

A empresa da Chytry, a Avast Software s.r.o., de Praga, está armando um ponto de acesso wireless falso e fraudulento em seu stand para que funcionários da empresa e espectadores possam acompanhar as atividades virtuais de qualquer aparelho que se conectar.

Isso vai possibilitar que a Avast obtenha senhas, mensagens e outras informações que as pessoas digitarem em sites e a Chytry poderá até criar réplicas exatas da página de acesso do Gmail e do Facebook — inclusive com o ícone do cadeado verde que indica uma conexão segura — para que as pessoas tenham uma sensação enganosa de segurança.

Os dados não serão armazenados, disse a Chytry, mas a experiência vai demonstrar o quanto os aparelhos portáteis são vulneráveis aos ataques dos criminosos virtuais.

“As pessoas verão o que pode acontecer se usarem redes gratuitas em bares, restaurantes ou outros lugares”, disse a Chytry, unidade de pesquisa de segurança da Avast que ajudou a criar o experimento. “Isso mostrará a elas que esse problema é real”.

Há muito tempo os aparelhos portáteis substituíram os computadores pessoais como a principal porta de acesso à internet, mas poucos consumidores, ou mesmo empresas, se empenharam em protegê-los. Eles estão sempre ligados, constantemente em uso e pouco protegidos, o que leva os hackers a encontrarem modos de explorar esses pontos fracos.

Informações confidenciais

A adoção de medidas de defesa para os aparelhos móveis sofreu porque os usuários tendem a valorizar mais a praticidade do que a segurança.

E, à medida que as máquinas se tornam mais centrais na vida das pessoas, elas lidam com informações mais confidenciais, como calendários, informações bancárias e feeds de redes sociais.

Quase um quarto dos aparelhos móveis está exposto a pelo menos uma ameaça à segurança após 30 dias on-line, de acordo com a SkyCure Ltd., uma empresa israelense de segurança wireless.

A proporção aumenta para mais de dois quintos após quatro meses. Cerca de 7 por cento dos usuários Android dos EUA foram atacados por malware no ano passado, frente a 4 por cento em 2013, de acordo com uma pesquisa realizada pela Lookout Inc.

O Mobile World Congress, a maior exibição wireless do mundo, é um lugar especialmente arriscado. As exposições comerciais dão aos criminosos as condições ideais para descobrir o que os participantes dizem, escrevem ou fazem atrás de portas fechadas, de acordo com pessoas contratadas para expor as falhas de segurança.

Quando estão se misturando para apresentar seus produtos ou transferindo dados para facilitar um acordo, os participantes podem se sentir tentados a contornar o escudo de proteção da empresa em que trabalham.

Fraude ‘quarto escuro’

A empresa russa de segurança Kaspersky Labs expôs em novembro uma fraude que chamou de “quarto escuro”. Durante pelo menos dois anos, criminosos levaram hóspedes de hotéis asiáticos de luxo a acreditarem que estavam se conectando à rede oficial do lugar.

Os criminosos utilizaram esse acesso para carregar malwares, disfarçados de atualizações benignas, que lhes permitiram roubar senhas e outras informações confidenciais.

É extremamente provável que esse tipo de ataque seja utilizado em Barcelona, disse Jayson Street, verificador de segurança da Pwnie Express, empresa de Boston que vende aparelhos que detectam equipamentos de rede ilícitos.

Street disse que os responsáveis pelos ataques costumam montar seus equipamentos antes do início de uma conferência e visam tanto a área de exposição quanto lugares de distração depois do trabalho, como bares e boates.

“A segurança virtual é tratada como a segurança nos primórdios do carro”, disse Karsten Nohl, fundador da SR Security Research Labs GmbH, em Berlim.

“Ninguém pensava em cintos de segurança ou airbags, só em que cada geração de carros fosse mais rápida e legal do que a anterior”.