11. Como usar smartphones da forma mais segura possível

Índice

...Loading Table of Contents...

    No Capítulo 10: Como usar telefones celulares da forma mais segura possível, discutimos os desafios de segurança ao usar telefones celulares básicos, incluindo questões relacionadas à comunicação por serviços de voz e de mensagens de texto (SMS/MMS). Tais aparelhos usam principalmente, senão de forma exclusiva, as redes de telefonia para transferir chamadas e dados.

    Os avanços na tecnologia significam que agora os celulares podem oferecer serviços e funções similares às dos computadores desktop e laptop - são os chamados smartphones. Tais aparelhos fornecem várias novas formas de comunicar, capturar e disseminar conteúdo. Para tanto, usam não somente as redes de telefonia, mas a internet, à qual podem se conectar tanto por redes sem fio (como um laptop em um Internet Café) como por conexões de dados via operadora da rede de telefonia.

    Desta forma, embora seja obviamente possível fazer ligações com um smartphone, é melhor vê-lo como um pequeno computador. Isso significa que os outros capítulos deste Kit de Ferramentas são tão relevantes para tais aparelhos como o são para computadores pessoais.

    Os smartphones costumam ser capazes de executar várias funções – navegar na internet, ver e-mails, acessar serviços de voz e de mensagens instantâneas por internet, capturar, armazenar e transmitir áudios, vídeos e fotos, habilitar serviços de rede social, participar de jogos com várias pessoas ao mesmo tempo, usar bancos online, além de diversas outras. Porém, várias dessas novas ferramentas e funções introduzem novos riscos de segurança ou aumentam os existentes.

    Por exemplo, alguns smartphones têm funções de geolocalização (GPS) embutidas. Isso significa que expõem por padrão e de modo bastante preciso sua localização física à sua operadora de telefonia e aos vários aplicativos que você usar no aparelho (como os de rede social, mapas, navegação na internet e outros). Como mencionado antes, os celulares já transmitem informações de localização às operadoras como parte de seu funcionamento normal como telefone. Entretanto, a funcionalidade adicional GPS não só aumenta a precisão desses dados como também aumenta os locais para onde tais dados podem ser distribuídos.

    Vale a pena rever os riscos associados aos telefones celulares discutidos no Capítulo 10: Como usar telefones celulares da forma mais segura possível, já que todos também são relevantes ao uso de smartphones. O Capítulo 10 aborda as questões da escuta, da interceptação de mensagens SMS ou de chamadas telefônicas, do cartão SIM e fala sobre as melhores práticas ao usar tais dispositivos.

    Neste capítulo, veremos os desafios extras encontrados pelos smartphones.

    Bolsas, carteiras e smartphones

    Temos um entendimento intuitivo do valor de manter nossas bolsas e carteiras protegidas, pois elas guardam várias informações sensíveis e perdê-las poderia comprometer nossa privacidade e segurança. Mas as pessoas são menos conscientes sobre a quantidade de dados pessoais que estão sendo carregados dentro de seus smartphones, e por isso consideram perdê-lo mais um incômodo do que um risco. Pensar que smartphones são computadores portáteis, sempre conectados à rede, também ressalta uma diferença relevante entre algo que abriga informações de forma passiva e discreta, como uma carteira, e algo que o faz de forma ativa e interativa, como um smartphone.

    Um exercício simples ajuda a ilustrar esse ponto:

    Esvazie o conteúdo de sua carteira ou bolsa e contabilize os itens mais sensíveis. Tipicamente, você encontrará:

    • Fotografias de pessoas amadas (~5 fotos)
    • Carteiras de identificação (carteira de motorista, RG, CPF, carteiras de clubes e academias)
    • Informações sobre seguros de saúde e seguros em geral (~2 cartões)
    • Dinheiro (~5 notas)
    • Cartões de crédito e débito (~3 cartões)

    Agora, examine o conteúdo de seu smartphone. Tipicamente, haverá alguns dos itens acima em maior quantidade e, em alguns casos, itens bem mais valiosos:

    • Fotos de pessoas amadas (~100 fotos)
    • Aplicativos de e-mail e suas senhas
    • Correio eletrônico (~500 e-mails)
    • Vídeos (~50 vídeos)
    • Aplicativos de rede social e suas senhas
    • Aplicativos de bancos online (com acesso às contas bancárias)
    • Documentos sensíveis
    • Registros de comunicações sensíveis
    • Uma conexão ativa às suas informações sensíveis

    Quanto mais você usa smartphones, mais precisa saber sobre os riscos associados e tomar as medidas de precaução necessárias. Smartphones são potentes amplificadores e distribuidores de dados pessoais; por padrão, são projetados para fornecer o máximo de conectividade e ligações a serviços de rede social. Isso porque as informações particulares das pessoas são valiosas: elas podem ser agregadas, catalogadas, analisadas e vendidas.

    No Capítulo 5: Como se recuperar da perda de informações, discutimos a importância de fazer cópias de reserva (backup) dos dados. Isso se aplica especialmente aos smartphones. Pode ser desastroso perder um aparelho sem ter cópias das informações mais importantes, como a relacionada a contatos, em um local seguro. Ao fazer o backup, tenha certeza de saber como restaurar as informações. Mantenha uma anotação impressa dos passos necessários caso tenha de fazê-lo em uma situação de emergência.

    Neste capítulo, começaremos pelo básico sobre smartphones – uma descrição das várias plataformas e alguns procedimentos de configuração para proteger seus dados e comunicação. As outras seções abordarão precauções específicas relacionadas aos usos mais comuns dos aparelhos.

    Plataformas, configuração e instalação

    Plataformas e sistemas operacionais

    No momento em que este texto foi escrito, os smartphones mais usados são o Android, do Google, e o iPhone, da Apple, seguidos pelo Blackberry e Windows Phone. A principal diferença entre o Android e os outros sistemas operacionais é que ele é, em sua maioria, um sistema livre e de código aberto (FOSS). Isso permite auditá-lo e verificar de forma independente quão bem o sistema protege as informações e comunicações de quem o usa, além de facilitar o desenvolvimento de aplicativos de segurança específicos. Muitos programadores conscientes sobre o tema desenvolvem os programas para Android tendo em mente a proteção e segurança das pessoas; falaremos sobre alguns deles mais adiante.

    Independentemente de qual o sistema de seu smartphone, há questões sobre as quais você deve atentar ao usar um aparelho com conexão à internet e com funcionalidades como GPS ou de rede sem fio. Neste capítulo, focaremos nos dispositivos de plataforma Android. Como mencionado antes, é o sistema no qual proteger a comunicação e os dados é mais fácil. Ainda assim, há os guias de configuração básica e alguns aplicativos para outros sistemas operacionais.

    Os celulares Blackberry foram apresentados como dispositivos "seguros" para mensagens e e-mail. Isso porque ambos são canalizados pelos servidores da empresa de forma segura, fora do alcance de potenciais escutas. Infelizmente, mais e mais governos estão demandando o acesso a tais comunicações, usando como justificativa a necessidade de se resguardar contra o terrorismo potencial e o crime organizado. Índia, Emirados Árabes Unidos, Arábia Saudita, Indonésia e Líbano são exemplos de Estados que já inspecionaram o uso dos dispositivos Blackberry e exigiram averiguar as informações de clientes em seus países.

    Feature phones

    Outra categoria de celulares são os chamados feature phones: aparelhos intermediários em termos de funções entre os telefones mais básicos, os quais só permitem fazer ligações e enviar/receber mensagens de texto, e os smartphones. Em geral, possuem alguma funcionalidade multimídia, conexão 3G à internet e tela sensível ao toque. Porém, possuem sistemas operacionais fechados e pouco acessíveis, deixando pouca margem para a instalação de aplicativos de segurança ou melhorias. Não falamos especificamente de tais aparelhos aqui, embora várias das medidas apresentadas nestes capítulos façam sentido para eles também.

    Smartphones bloqueados ou adaptados por empresas

    Smartphones costumam ser vendidos adaptados pelas empresas ou bloqueados. Bloquear um smartphone significa que você só poderá usar o chip, ou cartão SIM, de uma operadora. As empresas de telefonia móvel também costumam adaptar (brand) os aparelhos instalando seus próprios firmware ou software. Também podem desabilitar algumas funções ou adicionar outras. O chamado branding é uma forma de aumentarem os lucros ao canalizar o uso que você faz de seu smartphone, normalmente coletando informações sobre como o utiliza ou habilitando o acesso remoto a ele.

    Por essas razões, recomendamos comprar um smartphone não alterado, se possível. Um telefone bloqueado apresenta um risco maior, já que todos os seus dados são roteados por uma única operadora, sendo impossível mudar de chip para usar outra. Se seu telefone é bloqueado, peça a alguém de confiança para desbloqueá-lo.

    Configuração geral

    Existem várias configurações que controlam a segurança dos smartphones e é importante prestar atenção nelas. No Guia Prático abaixo, alertaremos sobre algumas funções de segurança disponíveis mas não ativas por padrão, assim como outras que vêm ativas de fábrica mas que deixam o telefone vulnerável.

    Guia Prático - veja as Configurações básicas do Android

    Instalando e atualizando aplicativos

    A forma mais usual de instalar novos programas nos smartphones é usar a Appstore (em iPhones) ou a Google Play (em Androids), fazer login usando suas credenciais de conta, baixar e instalar o aplicativo desejado. Ao se registrar em uma loja virtual, você associa o uso que faz dela à conta, e os registros do seu histórico de navegação e de suas escolhas de software são guardados.

    Os aplicativos oferecidos nas lojas online oficiais são supostamente verificados por seus donos (Google ou Apple), mas na realidade isso oferece pouca proteção contra o que tais programas farão após serem instalados - por exemplo, alguns podem copiar e enviar seu registro de contatos e endereços. Em celulares Android, cada programa deve pedir autorização, durante o processo de instalação, sobre o que lhe será permitido fazer quando estiver em uso. Preste bastante atenção neste momento e veja se as requisições fazem sentido para a funcionalidade do software. Por exemplo, se estiver considerando usar um "leitor de notícias" mas ele pede o direito de enviar seus contatos a terceiros, talvez deva procurar um programa alternativo.

    Aplicativos para Android também ficam disponíveis em outros locais além dos canais oficiais do Google. Basta habilitar a opção Fontes desconhecidas nas Configurações de segurança para poder usá-los. Algumas pessoas podem querer considerar usar tais sites para minimizar o contato com o Google. Uma das lojas alternativas é o F-Droid ('Free Droid'), que fornece apenas programas livres e de código aberto (FOSS). Lembre-se, porém, que você deve confiar em determinado site antes de baixar quaisquer software de lá. Para quem tem menos experiência de uso, recomendamos usar a Google Play.

    Se você não quer ou não pode entrar online para ter acesso aos aplicativos, pode pegá-los do telefone de outra pessoa ao transferir os arquivos .apk (a extensão significa 'android application package') por bluetooth. Também é possível baixar o arquivo .apk e salvá-lo em um cartão Micro SD ou usar um cabo USB para transferi-lo de um computador para o aparelho. Ao receber o arquivo, dê um clique longo sobre ele e o sistema perguntará se você quer instalá-lo. Observação: tenha um cuidado especial ao usar bluetooth - leia mais sobre isso na seção Funções além de texto e mensagens, do Capítulo 10.

    Como se comunicar por voz e mensagens via smartphone

    Como falar de forma segura

    Telefonia básica

    Na seção sobre Funções básicas, rastreabilidade e anonimato do Capítulo 10: Como usar telefones celulares da forma mais segura possível, discutimos as diferentes medidas que devem ser consideradas para diminuir o risco de interceptação fazer chamadas por voz usando a rede telefônica de sua operadora.

    Uma forma mais segura de se comunicar com as pessoas é conectar o smartphone à internet, em conexões de dados ou WiFi, e usar um serviço de voz sobre IP (VoIP) aliado a técnicas de proteção do canal onde ocorre a conversa. Alguns aplicativos de smartphone também conseguem extender algo dessa proteção para além do VoIP, incluindo ligações entre telefones celulares (veja mais sobre o Redphone abaixo).

    Aqui, listamos algumas ferramentas com seus prós e contras:

    Skype

    O Skype é o programa comercial mais popular de voz sobre IP (VoIP). Está disponível para todas as plataformas de smartphone e funciona bem caso sua conexão sem fio seja confiável e não tão bem caso a conexão seja de dados (por exemplo, 3G ou 4G).

    Na seção Como tornar seguras outras ferramentas de comunicação pela internet do Capítulo 7: Como manter sua comunicação por internet segura, discutimos os riscos de usar o Skype e o porquê, se possível, deve ser evitado. Em suma, o Skype é um programa que tem o código fechado, o que torna muito difícil confirmar de forma independente seu nível de proteção. Além disso, pertence à Microsoft, que possui um interesse comercial em saber quando e de onde alguém o está usando. O Skype também pode permitir a agências governamentais ou policiais um acesso retrospectivo a todo histórico de comunicações.

    Outros programas de VoIP

    Usar VoIP costuma ser grátis ou bem mais barato do que fazer uma ligação de telefone celular, e deixa poucos rastros de dados. Na verdade, uma chamada VoIP protegida pode ser a forma mais segura de se comunicar.

    O CSipSimple é um cliente poderoso de VoIP para telefones Android. Bem mantido, vem com várias funções de ajuda à configuração para diferentes serviços de VoIP.

    A Open Secure Telephony Network (OSTN) e o servidor fornecido pelo projeto Guardian, o ostel.co, oferecem atualmente uma das formas mais seguras de se comunicar por voz. Conhecer e confiar na organização que opera o servidor das suas chamadas de VoIP é um fator importante, que deve ser considerado.

    Ao usar o CSipSimple, você nunca se comunica diretamente com seu contato. Em vez disso, todos os dados são desviados para passarem pelo servidor Ostel. Isso faz com que rastrear suas informações e descobrir com quem você está falando seja bem mais difícil. Além disso, o Ostel não guarda nenhum dado, exceto os relacionados à conta usada para fazer o login. Todos os sinais de voz são criptografados de forma segura e mesmo os metadados, que costumam ser muito difíceis de disfarçar, são borrados, uma vez que o tráfego usa o servidor ostel.co como proxy. Se você baixar o CSipSimple do endereço ostel.co, o programa já vem pré-configurado para ser usado com o ostel, tornando-o muito fácil de instalar e usar.

    O RedPhone é um aplicativo livre e de código aberto que criptografa os dados de comunicação por voz enviados entre dois dispositivos que o tem instalados. É fácil de instalar e muito fácil de usar, pois se integra bem às funções comuns de discar para um contato e encontrá-lo na agenda. As pessoas com quem você quiser conversar também devem instalar o aplicativo. Para ser mais fácil de usar, o RedPhone utiliza o número do seu celular como identificador (como outros serviços de VoIP usariam o login). Porém, isso também torna mais fácil analisar o tráfego produzido por ele e rastreá-lo de volta a você, via o seu número de telefone. O RedPhone usa um servidor central, o que o coloca em uma posição de poder ao ter o controle de algumas dessas informações.

    Guias Práticos para o CSipSimple, Ostel e Redphone estão sendo produzidos. Enquanto não ficam prontos, mais informações podem ser vistas nos links acima.

    Como enviar mensagens de forma segura

    É preciso tomar precauções ao enviar mensagens SMS e ao usar programas de mensagens instantâneas ou de bate papo no seu smartphone.

    SMS

    Como descrito no Capítulo 10, na seção sobre Comunicações baseadas em texto, a comunicação por SMS é insegura por padrão. Qualquer pessoa com acesso à rede de telefonia móvel pode interceptar tais mensagens facilmente e isso é uma ocorrência diária em várias situações. Não dependa de enviar mensagens SMS sem proteção em situações críticas. Também não há como autenticar mensagens SMS, então é impossível saber se o conteúdo passou por modificações entre os processos de envio e entrega ou se a mensagem realmente veio de quem parece ter vindo.

    Protegendo as mensagens SMS

    O TextSecure é uma ferramenta livre e de código aberto (FOSS) para enviar e receber SMS protegidos em celulares Android. Funciona tanto para mensagens criptografadas como não criptografadas, então pode ser usado como o aplicativo padrão para envios de SMS. Para haver criptografia na troca de mensagens, o programa deve ser instalado em ambos os telefones - de quem envia e de quem recebe. Então, é melhor que todas as pessoas com quem você se comunica regularmente o tenham. O TextSecure detecta automaticamente quando uma mensagem criptografada é recebida, vindo de outro aparelho com TextSecure. Também é possível enviar textos criptografados para mais de uma pessoa. As mensagens são assinadas automaticamente, sendo quase impossível de serem alteradas. Em nosso Guia Prático, explicamos em detalhes suas funções e como usá-lo.

    Guia Prático - saiba usar o TextSecure

    Bate papo protegido

    A troca de mensagens instantâneas e os bate papos por telefone podem produzir muita informação que corre o risco de ser interceptada. Tais conversas podem ser usadas por adversários contra você posteriormente, portanto, tenha bastante cuidado sobre o que revela nessas conversas.

    Há formas seguras de usar bate papos e os serviços de mensagem instantânea. A melhor é usar criptografia ponta-a-ponta, pois isso permitirá ter certeza de que a pessoa do outro lado é quem parece ser.

    Recomendamos o Gibberbot como aplicativo para conversas de texto em telefones Android. O Gibberbot oferece criptografia fácil e robusta para suas conversas com o protocolo de mensagens Off-the-Record. Este tipo de criptografia permite tanto a autenticação (você pode verificar se está falando com a pessoa certa) como a proteção independente para cada sessão. Assim, mesmo que a criptografia de uma conversa seja comprometida, outras sessões no passado ou no futuro continuarão seguras.

    O Gibberbot foi projetado para trabalhar junto com o Orbot, de forma que seus bate papos sejam roteados pela rede de anonimato Tor. Isso faz com que seja muito difícil rastreá-los ou mesmo descobrir que aconteceram.

    Guia Prático - saiba usar o Gibberbot

    Para iPhones, o cliente ChatSecure fornece as mesmas funcionalidades, embora não seja fácil usá-lo junto à rede Tor.

    Um Guia Prático para o ChatSecure está sendo produzido. Enquanto não fica pronto, mais informações podem ser encontradas em seu site.

    Seja qual for o aplicativo que você prefira usar, considere sempre a partir de qual conta fará a conversa. Por exemplo, ao usar o Google Talk/Hangout, suas credenciais e o tempo de sua conversa tornam-se conhecidos para o Google. Combine também com as pessoas com quem conversar não guardar históricos das sessões, em especial das que não estavam criptografadas.

    • [22/01/2014] O Gibberbot agora é conhecido como ChatSecure. Uma versão atualizada do Guia Prático está sendo produzida.

    Como guardar informações no seu smartphone

    Os smartphones vêm com grandes capacidades de armazenamento de dados. Infelizmente, as informações guardadas no aparelho podem ser facilmente acessadas por outras pessoas, seja de forma remota ou por alcance físico do celular. Algumas precauções básicas para reduzir o acesso impróprio são abordadas na seção Configurações básicas do Android. Além disso, você pode criptografar as informações sensíveis usando ferramentas específicas.

    Ferramentas de criptografia de dados

    O Android Privacy Guard (APG) habilita a criptografia OpenGPG para arquivos e e-mails. Pode ser usado para manter arquivos e documentos protegidos no celular, assim como ao serem enviados por e-mail.

    Guia Prático - saiba usar o APG

    O Cryptonite é outra ferramenta livre e de código aberto (FOSS) de criptografia de dados. Possui funcionalidades mais avançadas em celulares Android que tenham root desbloqueado (rooted) e firmware personalizado. Veja a seção Uso avançado de Smartphones para mais informações.

    Como manter as senhas protegidas

    É possível manter todas as suas senhas em um único arquivo, protegido e criptografado, usando o KeePass. Você só terá de lembrar de uma senha mestre para poder acessar todas as outras. Com o KeePass, fica fácil usar segredos bastante robustos para todas as contas, já que o programa os lembrará por você. Ele também vem com um gerador de senhas para criar novas combinações.

    Você pode sincronizar os bancos de dados de senhas do KeePass entre celular e computador. Recomendamos sincronizar apenas as combinações que efetivamente serão usadas no telefone. Para isso, crie um banco de dados menor separado no computador e sincronize-o, em vez de copiar o banco maior, integral. Além disso, como todos os segredos estão protegidos pela senha mestre, é vital usar uma combinação bastante forte como proteção à base de dados do KeePass. Veja o Capítulo 3: Como criar e manter senhas seguras.

    Guia Prático - saiba usar o KeePassDroid

    Como enviar e-mails de smartphones

    Discutiremos brevemente aqui o uso de e-mails em smartphones. Encorajamos você a ver as seções Como aumentar a segurança em e-mails e Dicas sobre como agir no caso de suspeita de monitoramento de e-mails, do Capítulo 7: Como manter sua comunicação por internet segura, nas quais discorremos sobre o básico de segurança voltada para correio eletrônico.

    Antes de tudo, considere se realmente é necessário usar o smartphone para acessar e-mail. Proteger um computador e seu conteúdo costuma ser mais simples do que fazê-lo em um dispositivo móvel como um smartphone, já que estes são mais suscetíveis a roubo, monitoramento e invasão.

    Caso seja absolutamente vital ver o correio eletrônico pelo smartphone, há algumas ações que podem ser feitas de modo a minimizar os riscos.

    • Não confie no smartphone como o meio principal para acesso a e-mail. Baixar e remover o correio eletrônico de um servidor, para armazená-lo apenas no aparelho não é recomendável. Você pode configurar o aplicativo de e-mails para usar apenas cópias das mensagens.

    • Caso use criptografia para se comunicar com alguns contatos, considere instalá-la também no smartphone. O benefício adicional é que as mensagens criptografadas continuarão secretas caso o telefone caia nas mãos de outras pessoas.

    Guardar a chave privada de criptografia no celular pode parecer arriscado. Mas o benefício de poder enviar e armazenar e-mails de forma segura no aparelho pode compensar os riscos. Considere criar um par de chaves de criptografia apenas para ser usado no celular (usando o APG), para que não tenha de copiar sua chave privada do computador para o smartphone. Observe que isso requer pedir às pessoas com quem você troca e-mails codificados criptografá-los usando a sua chave exclusiva de celular.

    Guia Prático - saiba usar o K9 com o APG

    Como gravar mídia com smartphones

    Capturar imagens, vídeos ou áudios com o smartphone pode ser uma forma poderosa de documentar e compartilhar acontecimentos relevantes. Porém, é importante ter cuidado e respeitar a privacidade e a segurança das pessoas retratadas ou gravadas. Por exemplo, caso tire fotos, faça vídeos ou grave o áudio de um evento, a possibilidade de seu celular cair em mãos erradas pode representar uma ameaça a você e a quem aparece nos registros. Nesse caso, estas sugestões podem ser úteis:

    • Tenha uma forma segura de fazer upload dos arquivos de mídia a um local online protegido. Remova-os do telefone imediatamente (ou assim que possível) após as gravações.

    • Use ferramentas que borrem os rostos de quem aparece nas imagens ou vídeos e distorçam as vozes nas gravações de áudio e vídeo. Mantenha apenas as cópias já modificadas no aparelho.

    • Proteja ou remova as informações de metadados relativas a horário e local dos arquivos de mídia.

    O Guardian Project criou um aplicativo livre e de código aberto (FOSS) chamado ObscuraCam para detectar rostos em fotografias e borrá-los. É possível escolher o modo como isso é feito e o que borrar. O obscuracam também apaga as fotos originais e, caso esteja configurado, possibilita o upload fácil dos arquivos de mídia em um servidor.

    Guia Prático - saiba usar o Obscuracam

    No momento que este texto foi escrito, a organização para a defesa dos direitos humanos Witness está trabalhando com o Guardian project em uma solução para os três pontos mencionados acima.

    Como acessar a internet de forma segura com smartphones

    Conforme discutido no Capítulo 7: Como manter sua comunicação por internet segura e no Capítulo 8: Como manter o anonimato e contornar a censura na internet, o acesso a conteúdos da internet, ou a publicação de material online como fotos e vídeos, deixa muitos rastros sobre quem é você, onde estava e o que estava fazendo. Isso pode te colocar em risco. Usar um smartphone para entrar na internet aumenta este risco.

    Acesso por WiFi ou conexão de dados

    Os smartphones permitem escolher a forma de entrar na internet. Pode ser via uma conexão sem fio (WiFi) fornecida por um ponto de acesso, como acontece em um Internet Café; ou via uma conexão de dados, como GPRS, EDGE ou UMTS, fornecida pela operadora de telefonia celular.

    Usar o WiFi reduz os rastros de dados que você deixará para a operadora de telefonia móvel ao não relacionar sua conexão a uma conta de telefone. Entretanto, às vezes a única forma de entrar online é uma conexão de dados. Infelizmente, os protocolos de conexão de dados para celulares (como o EDGE ou o UMTS) não são abertos, o que significa que desenvolvedores independentes e engenheiros de segurança não podem examiná-los para ver como são implementados pelas operadoras.

    Em alguns países, as operadoras de telefonia móvel operam sob uma legislação diferente da dos provedores de internet, o que pode resultar em uma vigilância mais direta por governos ou das próprias empresas.

    Mas seja qual for o caminho escolhido para sua comunicação digital com smartphones, os riscos de exposição de dados podem ser reduzidos pelo uso de ferramentas de anonimato e criptografia.

    Anonimato

    Para acessar conteúdo online de forma anônima, é possível usar um aplicativo de Android chamado Orbot, que canaliza a comunicação por internet pela rede de anonimato Tor.

    Guia Prático - saiba usar o Orbot

    Proxies

    A versão para smartphones do Firefox, o Firefox mobile, pode ser equipada com complementos de proxy. O tráfego é direcionado para um servidor intermediário e, de lá, segue para o site que você quer acessar. Isso é útil em locais onde haja censura, mas ainda pode revelar as requisições de endereço - a menos que a conexão de seu cliente para o proxy seja criptografada. Recomendamos o complemento chamado Proxy Mobile (também do Guardian Project), que facilita todo o processo. Esta também é a única forma de canalizar as comunicações do Firefox mobile para o Orbot e usar a rede de anonimato Tor.

    Segurança avançada para smartphones

    Obtenha acesso integral ao seu smartphone

    A maioria dos smartphones é capaz de fazer mais coisas do que os sistemas operacionais que vêm instalados, firmware de fabricantes e programas feitos pelas operadoras de telefonia permitem. Além disso, algumas funcionalidades vêm 'travadas', de modo a não poderem ser controladas ou alteradas, permanecendo fora de alcance.

    Em muitos casos, tais funcionalidades são desnecessárias às pessoas que usam o smartphone. Entretanto, há aplicativos e funções que podem aumentar a segurança dos dados e das comunicações em um aparelho. Também há outras, existentes, que podem ser removidas para evitar riscos de segurança.

    Por esses e outros motivos, algumas pessoas preferem manipular os diversos software e firmware que rodam em seus smartphones, de modo a ganhar os devidos privilégios de acesso que as permitem instalar determinadas funcionalidades ou remover/reduzir outras.

    O processo de sobrepujar os limites impostos pelas operadoras de telefonia móvel ou fabricantes dos sistemas operacionais de um smartphone é chamado de rooting, em dispositivos Android, e jailbreaking, no caso de aparelhos iOS como o iPhone ou o iPad. Um processo bem sucedido de rooting ou jailbreaking resultará em obter todos os privilégios necessários para a instalação e uso de aplicações extras, modificação de configurações bloqueadas e controle total sobre o armazenamento de dados e memória do aparelho.

    AVISO: O processo de rooting ou jailbreaking pode não ser reversível e requer experiência com a instalação e configuração de software. Considere o seguinte:

    • Existe o risco de tornar seu smartphone inoperante de forma permanente, ou de transformá-lo em um peso morto;
    • A garantia fornecida pelo fabricante ou operadora de telefonia pode ser invalidada;
    • Em alguns lugares, o processo pode ser ilegal.

    Mas se você tiver cuidado, esta é uma forma direta de obter mais controle sobre o seu smartphone para deixá-lo mais seguro.

    Firmware alternativo

    O termo 'firmware' refere-se a programas intimamente ligados a um dispositivo particular. Cooperam com o sistema operacional e são responsáveis por operações básicas de hardware, como o funcionamento de alto falantes, microfone, câmera, tela sensível ao toque, memória, antenas etc.

    Se você tem um celular Android, pode considerar instalar firmware alternativos para ganhar mais controle sobre o aparelho. Observe que para instalá-los, é preciso fazer o processo de rooting do telefone.

    Um exemplo de firmware alternativo para um celular Android é o Cyanogenmod, que permite, por exemplo, desinstalar aplicativos de sistema do telefone, como é o caso dos instalados pelo fabricante ou pela operadora. Ao fazê-lo, é possível reduzir as formas pelas quais o dispositivo pode ser monitorado, como os dados enviados à operadora sem o seu conhecimento.

    Além disso, o Cyanogenmod vêm por padrão com um aplicativo de OpenVPN, o que pode ser tedioso de instalar manualmente. As Redes Virtuais Privadas, ou VPN, são uma das formas seguras de desviar sua comunicação de internet por proxies (veja abaixo).

    O Cyanogenmod também oferece a possibilidade de navegação no modo incógnito, na qual o histórico não fica registrado no smartphone, além de várias outras funcionalidades. Porém, não pode ser instalado em todos os aparelhos Android. Antes de experimentá-lo, veja a lista de dispositivos suportados.

    Criptografia de volumes inteiros

    Caso o seu telefone tenha passado pelo processo de rooting, você pode considerar criptografar todo o armazenamento de dados ou mesmo criar um volume criptografado no smartphone para proteger algumas informações.

    O Luks Manager possibilita a criptografia fácil e robusta de volumes com uma interface de uso amigável. Também recomendamos fortemente instalar esta ferramenta antes de começar a guardar dados importantes no aparelho Android, e usar o Encrypted Volumes, fornecido pelo Luks Manager, para armazenar todas as suas informações.

    Rede Privada Virtual (Virtual Private Network - VPN)

    Uma Rede Privada Virtual (VPN) fornece um túnel criptografado pela internet entre o seu dispositivo e um servidor de VPN. O meio é chamado de túnel pois, diferentemente de outros tipos de tráfego criptografado (como o https), esconde todos os serviços, protocolos e conteúdo. Uma conexão de VPN é configurada apenas uma vez e termina apenas quando você quiser.

    Note que uma vez que todo o tráfego é direcionado a um proxy ou servidor de VPN, uma determinada pessoa precisa apenas ter acesso ao proxy para analisar suas atividades. Portanto, é importante escolher com muito cuidado qual serviço de proxy ou VPN usar. Também é aconselhável variar entre proxies e/ou VPNs diferentes, pois distribuir os fluxos de dados reduz o impacto em casos de serviços comprometidos.

    Recomendamos usar o servidor RiseUp VPN. É possível usar o RiseUp VPN em sistemas operacionais Android após instalar o Cyanogenmod (veja acima). Também é fácil configurar uma conexão para o RiseUp VPN em aparelhos iPhone - leia mais sobre isso aqui.