Sistema biométrico do Galaxy S5 não é seguro e pode ser burlado, diz estudo

Os sistemas biométricos chegaram para oferecer mais segurança e praticidade aos usuáros. Em vez de digitar sequências numéricas ou ter de procurar o cartão de crédito na bolsa, agora é possível efetuar transações financeiras ou desbloquear o celular usando o dedo indicador. No entanto, esses mecanismos, que supostamente deveriam ser mais eficazes que os métodos tradicionais, começam a apresentar as primeiras falhas de segurança.

Essa é a constatação de uma pesquisa da empresa FireEye, que aponta uma situação nada animadora para aparelhos com sistema operacional Android que possuem suporte a sensores biométricos, entre eles o Galaxy S4. De acordo com a companhia, criminosos conseguem burlar a segurança das informações captadas pela biometria e roubar dados dos usuários — no caso, a impressão digital escaneada pelos dispositivos.

Funciona assim: ao colocar o dedo no sensor biométrico, o telefone coleta a leitura da impressão digital e a guarda em uma zona segura dentro do celular. Para furar esse bloqueio, os invadores conseguem explorar uma vulnerabilidade no sistema de proteção de dados do Android que permite interceptar as informações vindas do sensor antes que elas cheguem até essa zona segura. Na prática, isso significa que os crackers podem reconstruir a impressão digital do dono do aparelho para utilizá-la em outros lugares.

O estudo afirma que o grande diferencial dessa brecha é que ela é direcionada especificamente ao sensor biométrico, e não aos dados protegidos na zona segura. "Se o invasor pode violar o kernel (núcleo do Android), apesar de ele não poder acessar as informações registradas na zona segura, ele pode ler diretamente o sensor biométrico a qualquer momento. Toda vez que o usuário toca no sensor, o invasor pode roubar a digital", explica Yulong Zhang, um dos pesquisadores da FireEye.

• Desenvolvedores poderão usar sensor biométrico do Samsung Galaxy S5
• Leitor biométrico do Galaxy S5 já apresenta problemas de segurança

Segundo Zhang, é possível "captar os dados [do sensor] e, a partir dele, gerar a imagem da sua impressão digital", para então fazer o que quiser com ela. Além disso, a empresa alega que não é preciso utilizar programas em modo root, nem recorrer a mecanismos mais complexos: basta ter acesso às autorizações de usuário comum para efetuar o ataque com sucesso.

A FireEye lembra que a falha de segurança foi corrigida em aparelhos com sistema operacional Android 5.0 Lollipop. Dispositivos que usam versões anteriores da plataforma estão vulneráveis ao problema, mas não foram revelados quais smartphones ou tablets foram impactados pelo erro. O único citado no relatório é o Galaxy S5, que de fábrica vem com o Android KitKat instalado.

Em comunicado oficial, um porta-voz da Samsung disse que a empresa "leva muito a sério a privacidade e a segurança dos dados do consumidor", e que está investigando as alegações feitas pelos especialistas da FireEye.

Fontes: FireEye, Forbes