Este capítulo oferece recomendações com relação a chamadas, chats, rastreamento e proteção física da informação contida em dispositivos móveis.

Quando você realiza uma chamada tradicional a partir de um telefone fixo ou de um celular, a chamada não é criptografada de ponta a ponta. Se estiver usando um telefone celular, a chamada pode ser fracamente criptografada entre o telefone, as torres de telefonia celular e o resto da rede telefônica.

À medida que a conversa viaja através da rede, ela é vulnerável a interceptação por parte da companhia telefônica e, por extensão, de qualquer governo ou qualquer outra organização que tenha poder sobre ela. Também existem técnicas que outras pessoas podem usar para escutar este tipo de chamada se estão perto do seu telefone.

É muito recomendável que você abandone o hábito de realizar chamadas usando um telefone fixo com linha cabeada ou um celular com linha móvel e comece a chamar unicamente a partir de aplicativos que criptografem as chamadas de ponta a ponta, como Whatsapp ou Signal.

Em caso de que seja indispensável fazer uma chamada através de linhas telefônicas tradicionais, evite falar de temas sensíveis que coloquem em risco sua segurança.

Não é recomendável se comunicar através de mensagens de texto (SMS) já que o provedor de serviço, ou até as pessoas próximas ao seu telefone, podem facilmente ter acesso a elas.

Quando dizemos que um aplicativo de chat é seguro estamos nos referindo a que ele atende a várias características, entre elas destacamos: criptografia em trânsito, criptografia de ponta a onta, documentação dos processos, auditorias independentes, transparência da operação (incluindo a comunicação das falhas do programa aos usuários), entre outras.

Nem todos os aplicativos que encontramos no mercado possuem essas características de segurança. Recomendamos que, de agora em diante, quando você quiser usar um novo aplicativo de ensageria, verifique quais dessas características ele possui e, assim, avalie se vale a pena usá-lo.

A seguir, mostraremos as características do Whatsapp, por se tratar do aplicativo de mensageria mais utilizado, e do Signal, que é a alternativa que consideramos mais segura e que melhor respeita a sua privacidade

Entre as características positivas mais evidentes que o Whatsapp possui para nossa segurança temos:

  • Criptografia em trânsito
  • Criptografia de ponta a ponta
  • Possibilidade de ativação de um código de duplo fator de autenticação.

No entanto, o aplicativo possui outras características que podem representar uma ameaça para nossa segurança, como por exemplo:

  • Compartilha informações com Facebook.
  • Armazena uma quantidade importante de metadatos.
  • IIncentiva a criação de backups das conversas na nuvem, que podem ser comprometidos através de técnicas conhecidas.
  • Em alguns dispositivos Android, ele armazena automaticamente imagens, vídeos e mensagens de áudio em diversas áreas do telefone, fazendo com que essa informação permaneça acessível mesmo depois de que a conversa tenha sido apagada.
  • Seu código fonte é fechado, o que faz com que não seja possível conhecer com exatidão como seus algoritmos funcionam nem suas possíveis vulnerabilidades.

O Signal conta com um conjunto de características positivas para nossa segurança. Elas são:

  • Criptografia em trânsito.
  • Criptografia de ponta a ponta.
  • Possibilidade de ativação de um código de duplo fator de autenticação.
  • Possibilidade de ativação de mensagens efêmeras para todos os membros de uma conversa.
  • Armazena somente os metadados necessários para o seu funcionamento.
  • Não compartilha informações com outras companhias.
  • Apesar de ter a opção de fazer backups na nuvem, não incentiva seu uso.
  • Seu código fonte se encontra disponível, o que torna possível sempre ser auditado por terceiros.

 

Baixe o Signal e comece a usá-lo para suas conversas mais sensíveis, incluindo em grupos, de forma segura.

Além disso, recomendamos ativar a opção de mensagens efêmeras para cada conversa: essa funcionalidade apaga automaticamente os chats para todas as pessoas envolvidas após uma determinada quantidade de tempo (de 5 segundos até uma semana, dependendo do que você escolher).

  1. Ative o bloqueio de registro: é o equivalente à verificação de duas etapas do Whatsapp. Consiste em um PIN que o app solicitará no momento de registrar seu número de telefone em um novo celular.
  2. Desative os backups (habilitados somente no Android).
  3. Confira se os “dispositivos vinculados” são unicamente aqueles que você autorizou.
  1. Ative a verificação em duas etapas.
  2. Ative a funcionalidade “Mostrar notificações de segurança”.
  3. Desative os backups e apague aqueles que você já tiver realizado anteriormente.
  4. Confira em “Whatsapp Web/Desktop” se os dispositivos vinculados são unicamente aqueles que você autorizou

Tanto seu aparelho celular quanto o chip são rastreáveis e estão continuamente transmitindo informações para as antenas de telefonia móvel, fazendo com que seja possível determinar sua localização. Desligar o telefone após ter chegado a um lugar não é uma boa prática se você deseja esconder onde se encontra.

Se deseja ter uma reunião com uma pessoa e você não quer que sua localização seja conhecida, o recomendável é combinar a data e hora do encontro por um meio seguro (como o Signal), deixar o telefone ligado onde normalmente você estaria e ir à reunião sem o celular ou outro dispositivo passível de rastreamento

Para a proteção física do seu celular e da informação contida nele, recomendamos as seguintes práticas:

Senha de acesso: adicione uma senha de acesso ao seu telefone que seja alfanumérica (que faça uso de todo o teclado). Não se recomenda o uso de padrões, PINs de 4 ou 6 dígitos ou reconhecimento de voz ou facial como forma de acesso ao celular.

Criptografe o dispositivo: ter uma senha de acesso não é suficiente parar proteger a informação contida no seu dispositivo móvel. A única forma que evitará que alguém possa ter acesso à sua informação em caso de roubo ou perda é a ativação da criptografia de disco. Os smartphones mais recentes ativam automaticamente a criptografia ao colocar uma senha de acesso. Porém, em dispositivos mais antigos é conveniente verificar se essa funcionalidade está ativada nas configurações de segurança

Ative a opção Find My Device (Android) ou Find My iPhone (iOS): recomendamos ativar antecipadamente a funcionalidade Find My Device, se você usa Android, ou Find My iPhone se você usa iOS. Com ela, você poderá rastrear, recuperar, bloquear ou inclusive restabelecer a configuração de fábrica do seu telefone perdido ou roubado acessando sua conta Google ou Apple, dependendo do caso. Quando você marca seu dispositivo como perdido, nenhuma pessoa, a não ser você, poderá desbloqueá-lo.

Na maioria dos casos, nos telefones celulares um malware tem a forma de um aplicativo. Para evitá-lo, recomendamos:

  • Baixar aplicativos somente das lojas oficiais (AppStore ou PlayStore).
  • Baixar somente os aplicativos necessários.
  • Revisar frequentemente quais permissões (como acesso à câmera ou ao microfone) cada aplicativo possui.
  • Evitar carregar o telefone usando cabos ou portas USB em dispositivos desconhecidos.
  • Atualizar o sistema operacional, assim como os aplicativos, assim que exista uma nova versão disponível.
  • Fazer backup frequentemente das informações mais importantes na nuvem ou em outros dispositivos.