Quando as fotos de Scarlett Johansson caíram na internet, você deveria ter prestado bastante atenção — mas não pelo motivo que você está imaginando.

Se a onda de outras possíveis fotos vazadas obtidas por meio de “celulares hackeados” é algum indicativo — Jessica Alba, Vanessa Hudgens e Blake Lively são alguns dos casos — Scarlett não é a única que está usando seu celular para capturar momentos privados (agora públicos). Mas como exatamente um celular é “hackeado”, com cada um de seus bits invadidos e escarrados pela web?

Ainda não está claro como as fotos de Scarlett Johansson foram roubadas de seu telefone, mas isso só deixa o cenário pior, já que há existem vários modos de atacar um telefone. Vários mesmo.

Por exemplo, se Scarlett clicou em um link malicioso em seu celular, isso pode ser a causa da dor de cabeça, explica Gabriel Landal, um analista da Independent Security Evaluators. Obviamente não é uma boa ideia clicar em links de pessoas que você não conhece, mas é particularmente difícil de saber que trata-se de algo ruim quando o e-mail é aparentemente de um amigo — principalmente com a praticidade dos encurtadores de URL, que acabam mascarando o endereço real. Digamos que alguém clonou o cabeçalho do e-mail e Scarlett pensou que a mensagem era de Charlie Sheen — a chance de esse link conseguir levá-la ao lugar errado é bem maior. Ok, talvez não vindo do Charlie Sheen, mas você entendeu.

Assim que ela é direcionada ao site malicioso, o navegador do celular e o sistema operacional podem ficar comprometidos de forma silenciosa. Imagine algo como o jailbreakme.com, que liberta com facilidade seu iPhone das restrições da Apple. A diferença é que ao invés de convidar um programa para seu celular que o ajudará a ser mais livre, você na verdade convidou um cavalo de Tróia lotado de coisas ruins. Um arquivo malicioso que pula de um site para seu celular pode adicionar códigos ao navegador e ao sistema operacional. Essas linhas de código podem persuadir o aparelho a fazer coisas que ele normalmente não faz, como enviar suas fotos para pessoas que você não conhece.

Este programa entregue pelo site também pode ficar apenas quietinho em seu celular, esperando para fazer coisas mais assustadoras do que simplesmente observar sua vida documentada em fotos. “Uma vez que o malware está rodando”, explica Landau, “ele pode monitorar sua localização e até gravar o que é feito pelo microfone ou câmera do aparelho”. Medo. O lado bom: esse ataque é menos comum por que o processo é muito mais complexo do que apenas mandar um e-mail comprometido. E nós, pessoas comuns, também não somos tão interessantes para os outros como as celebridades, então é difícil sermos alvo desse tipo de ataque.

No entanto, segundo os especialistas em segurança, é mais comum — e mais aplicável para mim e para você — que alguém invada um serviço online que armazena fotos, e não o aparelho em si. (Em outras palavras, nada de personagens do filme Swordfish aqui. Seus iPhones e Androids estão protegidos!) Se ela enviou as imagens para alguém que ela queria agradar, ou usou um serviço de sincronia de dados para mandar as fotos para a nuvem e depois compartilhar, uma simples senha quebrada ou uma pergunta de segurança tosca são o necessário para o acesso do hacker. Que é exatamente como os prováveis hackers do caso, do Hollywood Leaks, hackearam cerca de 50 celebridades.

Serviços de sincronização de dados e fotos apenas expandem o montante de informação que pode ser acessada por um invasor com uma senha quebrada. “Por cima, tudo parece ser a melhor ideia de todas, mas a nuvem é uma faca de dois gumes. A quantidade de informações enviadas — em quantos lugares você ouve suas músicas, por exemplo — faz com que nossas vidas sejam mais fáceis, porém mais fáceis também para outros terem acesso”, diz Chester Wisniewski, assessor-sênior de segurança da Sophos.

É só lembrarmos da invasão aos e-mails de Sarah Palin em 2008, em sua conta do Yahoo, em que entrar nas correspondências pessoais de uma candidata à vice-presidência foi extremamente simples, com um acerto na hora da pergunta de segurança para trocar a senha. “O reset de uma senha é basicamente uma senha com pouca segurança”, explica Landau. “Se você tem uma senha ótima mas na hora de colocar uma pergunta para troca de senha, você usa o nome de seu cachorro…” Suas fotos privadas, de uma hora para outra, não são mais tão privadas assim.

Vulnerabilidades nos próprios serviços de nuvem também podem permitir a entrada de intrusos. Lembra quando um hacker baixou meio milhão de fotos do MySpace por meio de uma falha de acesso aos perfis privados? O cidadão disse à Kevin Poulsen, do Threat Level, que ele fez aquilo “simplesmente para provar que poderia ser feito”. E ainda afirmo que “é ridículo pensar que há privacidade em sites públicos”. Se as pessoas que roubam as fotos não acreditam que os serviços online podem proteger nossa privacidade, talvez nós devessemos pensar assim também.

Rachel Swaby é jornalista freelancer e vive em San Francisco. Confira seu Twitter.
Foto original por Cheon Fong Liew.