Prévia da CNH Digital pode abrir portas para outros golpes

O governo federal tirou do ar, nesta sexta-feira (01), a versão preliminar da CNH Digital, que estava disponível para download e instalação a partir do site do Serpro (Serviço Federal de Processamento de Dados). A remoção do aplicativo para o sistema operacional Android foi feita, nas palavras do órgão, “para evitar dúvidas” e garantir a segurança dos usuários.

Como estava disponível no site da instituição, e não na loja oficial da plataforma, a Google Play, a utilização do software exigia uma autorização que não é nada indicada pelos especialistas. Para realizar o processo, o usuário precisava habilitar a instalação de apps a partir de fontes externas, o que permite a obtenção de softwares também a partir de um cartão SD.

O problema é que esse método também pode abrir uma brecha para a instalação de soluções maliciosas, que podem resultar em roubo de dados pessoais e outras atividades criminosas. É o que aponta Quintiliano Andrade, gerente de segurança da Soluti, empresa especializada em certificações digitais. Ele afirma que ataques no sistema operacional Android utilizando instalações a partir de fontes não confiáveis são bastante comuns.

“A forma como [a versão preliminar da CNH Digital] foi liberada é muito estranha, pois o Serpro já possui uma conta de desenvolvedor na Play Store”, continua. Segundo o especialista, o órgão poderia ter lançado a mesma edição do aplicativo por meio da loja oficial, poupando os usuários do risco de segurança associado à liberação exigida. “Todos esses problemas poderiam ser evitados, assim como a exposição da imagem [da organização] e os questionamentos relacionados”.

Andrade aponta, por exemplo, a existência de medidas de segurança presentes na loja oficial de aplicativos como a principal barreira para evitar golpes, com a Google realizando checagens automáticas em busca de brechas de segurança ou outros elementos que possam indicar perigo. “No caso dessa versão da CNH Digital, a única garantia que o usuário possui é a palavra do próprio Serpro. Apenas isso não é suficiente”, explica.

Quando se fala em soluções lançadas pelo governo, então, o perigo pode ser ainda maior. A remoção da versão prévia da CNH Digital pode levar a novos golpes, com criminosos criando aplicativos falsos que tentam se passar como os originais, na tentativa de pegar usuários incautos que possam estar procurando por eles. Por enquanto, porém, não foram identificadas instâncias de golpes desse tipo.

Os riscos continuam existindo até mesmo depois do lançamento da CNH Digital, que está marcado para fevereiro do ano que vem. “O Serpro é responsável pelo processamento de dados do Governo Federal e lida com informações bastante sensíveis”, aponta Andrade. “Quem fornece esse tipo de aplicação tem a responsabilidade de adotar medidas de segurança maiores do que o normal, de forma a proteger os usuários.”

A posse de dados de identificação e informações pessoais por criminosos permite, por exemplo, que eles abram contas bancárias ou façam compras em nome das vítimas, o que torna softwares desse tipo bastante visados por quem está interessado em praticar golpes. Segundo o especialista, não existem dúvidas de que tentativas de golpe serão realizadas de forma a se aproveitarem do método pouco usual utilizado pelo Serpro.

Porta aberta

Andrade afirma que todos os usuários que liberaram a instalação de apps a partir de fontes que não a loja oficial, seja para utilização da versão Beta da CNH Digital ou qualquer outro uso, estão vulneráveis. Ele ainda alega que esse é o método mais utilizado pelos hackers para obterem acesso aos smartphones das vítimas, pelo fato de que suas soluções maliciosas são baixadas a partir de servidores não ligados à Google.

Ele cita os dois exemplos mais comuns que podem levar a esse tipo de infecção: as propagandas que prometem segurança ou velocidade adicional para o aparelho ou as mensagens falsas enviadas por mensageiros como o WhatsApp. No segundo caso, o link para download do malware pode vir até mesmo de contatos conhecidos, que também podem estar infectados.

“Quem ativou essa opção e não tem uma justifica a não ser utilizar o aplicativo do Serpro deve desligá-la assim que possível”, aponta Andrade, indicando outras medidas para quem não quer se ver alvo de golpes desse tipo. “Baixar aplicativos apenas de fontes confiáveis, nesse caso, a Play Store, é o primeiro passo para garantir a segurança”.

Alguns cuidados também podem ser tomados mesmo no uso da loja oficial. O especialista indica aos usuários a conferência dos responsáveis pelas soluções disponíveis, de forma a evitar aplicativos que se passem pelos originais. Basta prestar atenção em pequenas alterações no título do app ou na identidade do desenvolvedor – as discrepâncias sempre aparecem em tais quesitos e são suficientes para flagrar a presença de softwares falsos, que tentam se passar como os verdadeiros.

Outra boa dica é nunca clicar em anúncios online ou mensagens suspeitas recebidas por mensageiros, principalmente quando oferecerem o download de soluções fora da Play Store. Para Andrade, ainda, esperar alguns dias antes de realizar a instalação também pode ser uma boa, dando tempo suficiente para que a comunidade de segurança avalie a solução e garanta sua confiabilidade.

Habilitação virtual busca simplificar

Uma iniciativa do Denatran para reduzir a burocratização, a CNH Digital deve ser lançada no início de 2018. Por meio de um aplicativo, os motoristas poderão apresentar a carteira de habilitação em qualquer situação em que um documento original seja solicitado.

De acordo com o órgão, quem esquecer a versão de papel da CNH em casa, por exemplo, não estará mais sujeito a multa, pontos ou outras punições, caso esteja em posse da contraparte digital. O mesmo vale para situações em que uma identidade com foto seja exigida, com a edição por aplicativo tendo a mesma validade que sua edição física.

A emissão da versão digital da CNH não tem custo e vai exigir apenas um cadastro no site do Denatran, para que a conta possa ser ativada no aplicativo. Uma senha de acesso será exigida todas as vezes que o documento precisar ser utilizado e o software pode ser desativado à distância no caso de perda ou roubo do smartphone.

Além disso, o Governo Federal promete estar de acordo com todas as normas técnicas de segurança, utilizando protocolos de proteção, códigos QR e certificações para garantir a autenticidade das informações.