O Google não está preparado para manter a sua conta segura

Sistema de recuperação de conta da Big Tech apresenta falhas em alguns smartphones e podem gerar problemas graves para os usuários, como golpes, roubos e stalking

Felipe Freitas
Por

Imagine que você tem o seu celular roubado. Provavelmente, a sua primeira preocupação será com o seu aplicativo de banco — ainda mais se a tela estiver desbloqueada. Porém, a sua conta do Gmail também pode estar em risco quando o seu dispositivo é furtado e o assaltante tem todo acesso liberado ao smartphone.

Logotipo do Google
Google (Imagem: Vitor Pádua / Tecnoblog)

Sem colocar uma autenticação de dois fatores (ou no meu teste, até com 2FA) e usando o próprio telefone como modo de recuperação, você pode perder acesso a sua conta Google. Para muitos casos, perder esse acesso tem o mesmo peso que ter a conta bancária acessada pelo smartphone. O motivo disso é que a conta Google é usada por muitas pessoas como login em diversos serviços.

Método é fácil e riscos não ficam restritos aos furtos

A falha foi apresentada ao Tecnoblog por um leitor, que divulgou também o passo a passo de como realizar a mudança de senha. Porém, discutimos que seria melhor não mostrar as etapas necessárias para essa mudança. Além de casos de furtos e roubos, esse processo de troca de senha pode ser usado contra vítimas de relacionamentos tóxicos e abusivos.

Em um momento de desatenção, a vítima pode perder a senha e não se dar conta disso, já que o abusador pode refazer rapidamente o login nas contas Google do smartphone e computador. Em outros casos, criminosos mais “experientes” podem usar esses celulares para aplicar golpes. Por exemplo, um golpista pode, após remover o acesso da vítima ao Gmail em outros dispositivos, trocar as senhas de redes sociais e pedir dinheiro.

No total, foram realizados quatro testes por conta própria: dois deles com uma conta no iOS 15 e dois com a conta da minha própria mãe (já falecida). O método mais demorado envolveu usar o navegador e o celular desbloqueado. Já o mais rápido foi no aparelho da minha mãe, um Android 12. Na prática, também nem precisamos mostrar como fazer isso porque é muito fácil de descobrir por conta própria.

Fizemos mais dois testes no iOS 16 e Android 13. Esses métodos pareceram mais seguros e deram um prazo de recuperação de 72 horas para enviar o código. Em comum, todos eles foram com contas com 2FA.

Gmail
“Cadê o meu Gmail que estava aqui?” (Imagem: Vitor Pádua/Tecnoblog)

Claro, se você tem um bom conhecimento de tecnologia, deve utilizar autenticação de dois fatores. Eu também uso no meu e-mail pessoal, mas ainda assim eu consegui me “auto-hackear”. Se para quem é geek o caso já traz riscos, para o usuário comum, a situação é pior.

Relembrando a época de faculdade, um professor sempre pegava no pé de quem usava um termo mais “rebuscado” nos textos. Ele dizia que deveríamos pensar se nossas mães, pais ou avós entenderiam a palavra. É possível fazer um paralelo desse caso com o uso de medidas de cibersegurança.

Além da autenticação de dois fatores na conta Google, o meu celular tem uma barreira de proteção com o acesso por biometria. Mas fica pergunta: a sua mãe sabe ativar isso? O seu pai utiliza biometria ou apenas arrasta a tela para liberar o aparelho?

Além disso, o Android 12 e o iOS 15 possuem uma presença considerável no Brasil. É preciso bater nessa tecla repetidamente: quem sofre o maior risco com essas falhas são as pessoas mais simples, com pouca instrução sobre tecnologia, usando um celular de entrada ou intermediário e que provavelmente só atualizarão o dispositivo quando um parente mais jovem fizer isso — ou quando comprar um smartphone novo.

E tem mais, o smartphone pode ser a única forma de acesso à internet, com a vítima sem computador em casa.

No caso do Android 12, esse SO superou o número de instalações do Android 11 em dezembro. No StatCounter, o pódio dos Androids mais usados no Brasil é: Android 12 (29,27%), Android 11 (28,18%) e Android 10 (20,28%). Claro, o Android 13 mal chegou no Brasil. Todavia, os usuários do SO têm o hábito de demorar para atualizar o sistema operacional.

Como descobrir senhas salvas no Android
Somente em dezembro de 2022 o Android 12 virou o Android mais popular do Brasil (Imagem: Guilherme Reis/ Tecnoblog)

Já o iOS 15, somando as versões 15.7, 15.6 e 15.5, está presente em 25,64% dos iPhones no país. Um quarto dos usuários utilizam o mesmo SO que eu usei para me “auto-hackear”. Além disso, há uma fatia ainda no iOS 14. O iOS 16 representa 64,28%.

A facilidade em conseguir trocar as senhas das contas Google é assustadora. E juro que não quero ser alarmista aqui e o fato de ser eu mesmo mudando não é um fator que facilitou.

“Ah, mas quando você é roubado tem que bloquear logo o celular por outros meios”.

Essa afirmação está correta, porém o rato está sempre na frente do gato. Até você chegar em casa, conseguir um telefone emprestado ou ir até a loja da sua operadora, a sua senha pode ter sido trocada, todos os seus acessos removidos e o smartphoner desligado — impedindo o rastreio.

Por ser uma das empresas liderando (em parceria com Apple e Microsoft) os esforços pelo desenvolvimento das tecnologias passwordless, era esperado que o Google tivesse uma proteção melhor para as suas contas. O Tecnoblog entrou em contato com a empresa e, até o fechamento da notícia, não tivemos respostas aos nossos questionamentos.

O fato de um serviço utilizado por milhões de pessoas permitir a alteração de dados para acesso à conta com facilidade acende uma grande luz de alerta sobre como se proteger quando uma empresa falha com os seus dados.

Empresas podem ser processadas por usuários afetados

App Store, Facebook e Google (imagem: Emerson Alecrim/Tecnoblog)
App Store, Facebook e Google (imagem: Emerson Alecrim/Tecnoblog)

Se o sistema não protege o usuário contra roubo de contas, a legislação brasileira pode assumir esse papel. Para isso, existem a Lei Geral de Proteção de Dados (LGDP) e o Marco Civil da Internet.

Como aponta Pedro Saliba, pesquisador do Privacy Research, em entrevista para o Tecnoblog, “a LGPD define a segurança e prevenção (art. 6º, VII e VIII) como princípios a serem seguidos por agentes de tratamento de dados pessoais, dedicando o capítulo VII da lei a regras de segurança e boas práticas”.

Saliba destacou o texto do art. 46, que abre o capítulo VII, que possui a seguinte afirmação: “agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

“Na prática, isso significa que as empresas devem se atentar para o tratamento de dados pessoais em todas as funcionalidades de um produto, especialmente quando há risco de alteração do acesso à aplicação. Para isso são adotadas camadas lógicas de proteção, como autenticação de dois fatores”, explicou Pedro Saliba.

O pesquisador também explicou que empresas que falhem com a proteção dos dados dos consumidores podem ser processadas, seja a vítima pessoa física ou jurídica.

“Há possibilidade de danos também a empresas que porventura utilizem o Gmail e tenham esse tipo de problema. Em todas as situações, de pessoas físicas e jurídicas, é importante procurar assistência jurídica para analisar a extensão dos danos e instrumentos jurídicos adequados para resolução do conflito”, disse o pesquisador.

Saliba ainda pontua que o Google e outras companhias que lidam com dados devem ser fiscalizadas e multadas ao apresentar falhas. “Isso é especialmente importante devido aos recorrentes golpes aplicados envolvendo celulares desbloqueados, tendo como alvo aplicativos de bancos, redes sociais, carteiras digitais, entre outros”, concluiu o pesquisador ao Tecnoblog.

Como aumentar a segurança do meu dispositivo?

Como aumentar a segurança do meu dispositivo? (Imagem: Vitor Pádua/Tecnoblog)
Como aumentar a segurança do meu dispositivo? (Imagem: Vitor Pádua/Tecnoblog)

O Tecnoblog entrou em contato com Leonardo Carissimi, diretor de segurança e privacidade na Capgemini, para saber mais sobre medidas de segurança que as empresas, não apenas o Google, poderia tomar para um futuro em que a tecnologia passwordless seja mais segura.

O especialista aponta que a validação biométrica é o grande caminho para garantir o balanço entre conveniência e segurança. Como explicado por Carissimi, destacando um cenário geral das empresas, todo desenvolvedor em algum momento, entra no dilema de criar um método mais conveniente ou seguro.

A conveniência é o que vemos nessas falhas encontradas no Google. Falando como usuário, é prático que eu consiga recuperar o meu acesso sem muita dor de cabeça — ainda mais que a situação de esquecer ou perder o acesso pode ser estressante.

Já a segurança pode soar exagerada ou “chata”. Por exemplo, quando o app do banco pede novamente o reconhecimento facial para garantir que é você. Pode ser um “saco” ter que tirar duas selfies quando você só quer abrir o aplicativo para ver a fatura? Pode, mas também é uma proteção contra um ladrão.

O Google, assim como outras grandes companhias, não ativa a autenticação de dois fatores (2FA) por padrão. Este método é uma das barreiras de proteção para que você mantenha o seu smartphone mais seguro. Entretanto, eu tenho a 2FA do Google ativada e foi fácil mudar a minha senha somente pelo smartphone.

Apesar da falha que debatemos aqui não ser resolvida, é altamente recomendável que você ative a autenticação de dois fatores. A 2FA pode te proteger em casos de pessoas tentando invadir a sua conta de dispositivos desconhecidos. Essa barreira de segurança é recomendada não só para a conta do Google. Redes sociais também ficam mais protegidas com o 2FA.

Biometria é um caminho e foi barateada para os celulares (Imagem: Vitor Pádua/Tecnoblog)
Biometria é um caminho e foi barateada para os celulares (Imagem: Vitor Pádua/Tecnoblog)

Infelizmente, o Google, Meta e Twitter não utilizam a biometria do aparelho como um segundo fator de autenticação ou de recuperação de senha. Veja o exemplo: ao invés de pedir o PIN do celular (que um ladrão pode criar) ou validar o dispositivo, as empresas poderiam adotar a biometria como etapa de segurança.

Carissimi destaca que essa tecnologia barateou muito nos últimos anos. Fazendo uma breve pesquisa, podemos notar que até mesmo modelos de entrada contam com sensores de biometria — seja reconhecimento facial ou leitura de impressão digital.

O reconhecimento facial ainda traz riscos, já que há casos em que o sistema pode ser enganado com fotos. Porém, em caso de ter o smartphone roubado, fica difícil imaginar por que motivos o criminoso teria uma foto sua para desbloquear o celular. Esse “drible” com imagens é mais perigoso naquele exemplo de pessoas em relacionamentos abusivos — ou outras situações na qual algum conhecido usa da confiança para enganar alguém.

Leonardo Carissimi falou ao Tecnoblog sobre o hábito de usar um segundo smartphone, uma prática já comum em quem mora em grandes cidades. No exemplo, o especialista em cibersegurança usou o caso de aplicativos de banco. Logo, podemos traçar um paralelo sobre usar o Gmail somente no aparelho mais velhinho. Contudo, esse hábito também é um reflexo triste da segurança pública no país — e nem todos podem ter um segundo celular. Fora que um dispositivo velho pode não estar recebendo updates de segurança.

Outro ponto levantado por Carissimi é a conscientização — algo que o Tecnoblog faz com essa e outras notícias sobre cibersegurança. Então, se você é mais geek, fã de tech ou o “sobrinho que manja de computador”, utilize a sua voz e tente instruir os seus parentes e conhecidos com pouco ou nenhum conhecimento de cibersegurança a usar a 2FA e manter o smartphone sempre atualizado.

Relacionados

Relacionados