Por algum tempo, não ficar atento ao seu celular parecia ser a maior ameaça à segurança dele. Mas um acontecimento recente foi um lembrete de que há maneiras mais espertas que alguém pode usar para violar o seu aparelho – sem tocar um dedo nele.

O News of the World, tablóide inglês que já foi o jornal em língua inglesa mais vendido do mundo, se envolveu em um escândalo que acabou por causar o seu encerramento. O escândalo envolvia a prática dos seus repórteres de simplesmente “hackear” os telefones de algumas pessoas, ouvindo as suas mensagens de voz particulares, a fim de obter mais dados para as suas matérias. Os detalhes sobre como, exatamente, ainda estão emergindo, mas o fato é que os repórteres do News of the World entraram nos celulares de muita gente. A seguir, estão listadas as técnicas de hackeamento de celular mais comuns – e surpreendentemente simples –, que provavelmente foram utilizadas.

O hack de correio de voz, segundo especialistas em segurança, não é a pior das coisas que pode acontecer com o seu celular cheio de segredos. Atualmente, na verdade, é o menos intrusivo dos métodos, já que o uso do correio de voz como ferramenta de comunicação tem caído. Ainda assim, porém, é uma grande invasão de privacidade – mesmo que as únicas mensagens expostas sejam as da sua mãe.

Para que você acesse estas mensagens, as operadoras de telefonia geralmente disponibilizam um número externo para o qual você pode ligar para ouvir as mensagens. O serviço reconhece qual número está ligando através do identificador de discagem (“caller ID”), o que é conveniente para todo mundo – inclusive para quem estiver tentando entrar sem permissão na sua caixa de mensagens. Os números de telefone, aquela identidade numérica sequencial que imaginamos pertencer apenas ao objeto no nosso bolso e a mais nada, podem ser “clonados” usando VoIP e alguns softwares open source. “O identificador de discagem é fluxo de dados que é enviado antes do sinal que manda o telefone tocar”, explica Chester Wisniewski, um Conselheiro Sênior de Segurança na Sophos. “Se você não está usando um provedor de serviços comercial, pode configurar o seu identificador de mensagem para qualquer número”. Isso significa que aquele número para o qual você liga para ouvir as suas mensagens pode interpretar um número falsificado como se fosse o seu e agir de acordo.

Tipicamente, o número externo do provedor do serviço (a sua operadora) ainda exige uma senha, mesmo que você não tenha configurado uma. Bônus! Mas para se equipar com algo único, cada empresa ter um padrão bem conhecido, que permita ao usuário acessar o serviço pela primeira vez (por exemplo, os quatro últimos números do seu telefone). A questão é: quantos de nós se dão o trabalho de alterar essa senha padrão? Oh-oh. Clone um número, use os quatro últimos dígitos dele como senha e pronto: lá estarão as mensagens de quem você quiser.

Números clonados também permitem outro ponto de acesso. Já tentou ligar para o seu próprio número? “Você cai automaticamente no correio de voz e ouve as suas mensagens”, diz Wisniewski. Você já deve ter adivinhado onde eu quero chegar com isso: os bisbilhoteiros também podem usar o seu número desta forma. Para ser passado para o correio de voz, alguém pode pedir para outra pessoa ocupar a sua linha enquanto ele, com o seu número, também te liga. Bam: correio de voz. Se ele não ganhar acesso direto imediatamente, apertar * durante a mensagem é uma maneira confiável de entrar.

Senhas seriam de grande ajuda aqui, mas mesmo senhas fortes não são 100% seguras contra bisbilhoteiros determinados, que já se deram o trabalho de ligar para as operadoras solicitando uma reconfiguração de senha para a conta do alvo. Especialistas em segurança esperam que este tipo de engenharia social seja ao menos parte do escândalo do News of the World. Em resumo, isso é quando alguém engana um funcionário de uma operadora para que ele lhe dê acesso. É necessário obter algumas informações importantes sobre a vítima para que isso dê certo, obviamente, mas os especialistas em segurança praticamente dão isso como uma certeza.

O interessante sobre a maioria das invasões de correio de voz é que não há maneira real de saber se elas realmente aconteceram. Se você já ouviu uma mensagem, ela ser ouvida novamente por outra pessoa não ativa nenhum tipo de registro. Steven Rambam, um investigador e diretor da Pallorium, Inc, explica que a coisa pode ir ainda além. “Eu posso marcá-las como novas depois de ouvir cada uma delas, assim, ninguém descobre”. É no mínimo preocupante.

Mais preocupante é a variedade de violações que Rambam diz ser possível. As transgressões incluem acessar o histórico de chamadas e rastrear celulares, além de enviar um email que infecta o seu telefone com algo que identifica senhas.

Mas 90% dos problemas específicos relacionados a correio de voz listados acima pode ser evitado com senhas fortes, segundo Rambam. Isso significa que não se deve usar padrões de teclado, como 2580 (uma linha reta), ou qualquer uma das 10 senhas mais usadas. Outras coisas que você pode fazer para se proteger incluem ter um passo intermediário entre o seu telefone e quem quiser acessá-lo, como o Skype, configurar alertas de acesso e de tentativas frustradas de acesso ao seu correio de voz, e até mesmo bloquear o seu identificador de chamada. “Há um equilíbrio entre conveniência e segurança, e você precisa decidir se vale a pena para você”. Em outras palavras: vá colocar senhas em tudo. Agora.