Mesmo que você não tenha o Google como “depósito central” da sua vida online, é bem provável que sua conta da empresa contenha, no mínimo, algumas informações sensíveis — e, para a maioria dos usuários, a perda do controle dessa conta pode ser desastrosa.
O que dizer, então, de um app que permite a mudança fácil da senha que protege as suas informações, bastando que uma pessoa mal-intencionada tenha acesso ao seu smartphone desbloqueado?
Foi exatamente o que mostrou o jornalista Gabriel Justo – e não, não estamos falando de um app obscuro e presente em poucos smartphones, e sim de um dos aplicativos mais populares e usados do Google: o Gmail.
Como mostrou o jornalista, o aplicativo do Gmail para iOS traz uma falha de segurança que permite a qualquer pessoa alterar rapidamente a senha da sua conta do Google — basta ter o seu smartphone desbloqueado em mãos. Isso acontece porque o app entende que, como é o seu próprio aparelho que está solicitando a troca, não há necessidade de fazer uma verificação adicional, como uma confirmação de código (autenticação de dois fatores) ou autenticação biométrica via Face ID/Touch ID.
De acordo com Justo, criminosos têm utilizado esse buraco de segurança a seu favor. Como já tratamos por aqui, as modalidades de roubo recentes, especialmente em cidades maiores, têm focado bastante em pessoas que utilizam o celular na rua (trocando mensagens, esperando um carro de aplicativo ou usando um app de navegação, por exemplo); desta forma, os bandidos pegam o celular desbloqueado e podem acessar mais facilmente apps de banco e outras informações sensíveis. Ao trocar a senha da conta do Google e “trancar o usuário do lado de fora”, por assim dizer, o roubo de dados fica ainda mais fácil.
A equipe do Tecnoblog verificou a denúncia e confirmou que, em contas sem a autenticação de dois fatores, o comportamento de fato existe. Caso a autenticação dupla esteja ativada, o processo é um pouco mais complicado: o invasor precisa “confirmar” sua identidade por meio de um método alternativo, como o código de desbloqueio do celular ou o envio de um código a um email secundário — que, se também estiver cadastrado no aparelho, pode representar uma forma alternativa de alterar a senha da conta.
Ou seja: ao menos até o Google implementar uma solução mais robusta para impedir a troca de senha, a medida mais fácil e segura de impedir (ou tentar impedir) a mudança é ativar a autenticação de dois fatores na sua conta — caso você não saiba como fazê-lo, basta seguir os passos desse guia — e usar um aplicativo como o 1Password (o qual exige uma senha, Touch ID ou Face ID) para armazenar essa senha de uso único.
NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos comprando pelos nossos links de afiliado.
