Descrição de chapéu The New York Times

É possível hackear celulares com ondas sonoras, mostra estudo

JOHN MARKOFF
DO "NEW YORK TIMES", EM SAN FRANCISCO

Um hack que permitiria que outra pessoa aumentasse a contagem do número de passos de um usuário da pulseira Fitbit pode parecer inofensivo. Mas pesquisadores dizem que isso revela riscos mais amplos gerados pela incorporação da tecnologia a todos os cantos de nossas vidas.

Nesta terça-feira (14), um grupo de pesquisadores de segurança na computação da Universidade do Michigan e da Universidade da Carolina do Sul demonstrará ter encontrado uma vulnerabilidade que permite que invasores tomem o controle de aparelhos, ou influenciem clandestinamente seu funcionamento, por meio dos minúsculos acelerômetros que são componente padrão em produtos eletrônicos de consumo como smartphones, monitores de fitness e até mesmo automóveis.

Em seu estudo, os pesquisadores descrevem como conseguiram elevar falsamente a contagem de passos de uma Fitbit, e como executaram um arquivo musical infectado no alto-falante de um smartphone, para tomar o controle do celular. Isso permitiu que eles interferissem com diversos softwares que dependem do smartphone, como um app usado para pilotar um carrinho de controle remoto.

"É como um cantor de ópera que atinge uma determinada nota para quebrar uma taça, mas no nosso caso podemos digitar palavras" e inserir comandos, e fazer coisas que vão bem além de travar o celular, disse um dos autores do estudo, Kevin Fu, professor de engenharia elétrica e ciência da computação na Universidade do Michigan e presidente-executivo da Virta Labs, uma empresa que se especializa em segurança cibernética na área de saúde. "Basta imaginar um vírus musical".

O ponto vulnerável, que os pesquisadores identificaram em mais de 20 marcas comerciais de cinco fabricantes de acelerômetros que testaram, ilustra os desafios de segurança que surgiram com a chegada de robôs e outros tipos de aparelhos digitais ao mundo cotidiano.

Com dezenas de start-ups e de grandes empresas de transportes batalhando para desenvolver carros e caminhões autônomos, vulnerabilidades não detectadas que poderiam permitir a alguém assumir controle de veículos remotamente representam uma possibilidade preocupante.

Ainda assim, os pesquisadores afirmam que sua descoberta não deve ser vista como um defeito fatal, mas como uma revelação sobre os desafios de segurança digital inerentes a sistemas complexos nos quais componentes digitais e analógicos podem interagir de maneiras inesperadas.

"Todo o mundo da segurança gira em torno de interações inesperadas", disse Paul Kocher, especialista em criptografia e antigo executivo da fabricante de chips Rambus.

Acelerômetros são instrumentos que medem a aceleração, e são frequentemente fabricados em forma de componentes semelhantes a chips, conhecidos como sistemas microeletromecânicos, ou Mems. Acelerômetros são usados para orientação, para determinar o posicionamento de um tablet e para medir distâncias percorridas, em monitores de fitness como a Fitbit.

No caso do carrinho radiocontrolado, os pesquisadores não comprometeram o microprocessador do carro, mas tomaram o controle do brinquedo ao forçar o acelerômetro a registrar leituras incorretas. Eles exploraram o fato de que um aplicativo usado em smartphones depende do acelerômetro para controlar o carro.

Embora carrinhos de brinquedo possam parecer exemplos triviais, existem possibilidade maiores e mais sombrias. Se um acelerômetro é usado para controlar a dosagem de insulina de um paciente diabético, por exemplo, a vulnerabilidade permitiria interferir com o sistema de controle da dosagem correta.

Fu pesquisou os riscos de segurança cibernética de aparelhos médicos, o que incluiu uma demonstração do potencial de induzir ritmos cardíacos fatais em um marca-passo.

Ele disse que as pesquisas atuais foram inspiradas por uma discussão em seu grupo sobre um estudo anterior, no qual aeronaves de pilotagem remota (drones) foram desabilitadas com o uso de música. Ele acrescentou que pesquisas anteriores haviam demonstrado que ataques de negação de serviço tinham usado som para desabilitar acelerômetros.

Em 2014, pesquisadores de segurança da Universidade Stanford demonstraram como um acelerômetro poderia ser usado clandestinamente como microfone rudimentar, por exemplo. E em 2011, um grupo do Instituto de Tecnologia de Massachusetts (MIT) e do Instituto de Tecnologia da Geórgia demonstrou o uso de um acelerômetro em um smartphone para decodificar cerca de 80% das palavras que estavam sendo digitadas em um teclado de computador próximo, pela captura das vibrações do teclado.

No caso da pesquisa da Universidade do Michigan e da Universidade da Carolina do Sul, os cientistas impediram o funcionamento do acelerômetro ou alteraram seu comportamento.

Ao testar 20 modelos de acelerômetros, de cinco fabricantes, eles afetaram as informações ou operação de 75% dos aparelhos testados, e controlaram a operação de 65% dos aparelhos envolvidos.

O Departamento de Segurança Interna (DSI) dos Estados Unidos deve divulgar um alerta de segurança na terça-feira sobre os acelerômetros produzidos pelas empresas de semicondutores documentadas no estudo, disse Fu. As cinco empresas envolvidas são Analog Devices, Bosch, InvenSense, Murata Manufacturing e STMicroelectronics.

O estudo, que será apresentado no Simpósio Europeu de Segurança e Privacidade organizado pelo Instituto de Engenheiros Elétricos e Eletrônicos dos Estados Unidos, em Paris no mês que vem, também documenta mudanças de hardware e software que os fabricantes poderiam adotar para proteger seus produtos contra as falhas detectadas pelos pesquisadores.

Tradução de PAULO MIGLIACCI

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.