Use smartphones da forma mais segura possível

Atualizado4 de junho de 2018

Índice

...Loading Table of Contents...

    Todos os celulares suportam comunicação de voz e texto. Atualmente, a maioria deles faz muito mais. Os celulares são um componente essencial em nossa vida cotidiana, em parte por seu pequeno tamanho, versatilidade e pelo custo relativamente baixo. Estas mesmas qualidades os tornam objetos de valor inestimável para defensores de direitos humanos, que frequentemente dependem deles para trocar e armazenar dados sensíveis de formas que antes exigiam o acesso a um computador confiável.

    Este guia é principalmente sobre smartphones: os dispositivos Android e iOS com acesso a uma rede de telefonia móvel que suporta comunicação de voz, mensagens de texto e (muitas vezes) conexão à Internet. Além de uma lista cada vez mais ampla, os smartphones tendem a incorporar câmeras, capacidade de armazenamento digital, sensores de detecção de movimento, hardware de sistema de posicionamento global (GPS), Wi-Fi e acesso direto a uma variada coleção de software. Muitos dos conselhos deste guia são relevantes também para outros dispositivos móveis. Alguns deles se aplicam a telefones (celulares básicos ou antigos) e alguns se aplicam aos tablets, que frequentemente são apenas smartphones maiores e mais poderosos que carecem de acesso a redes de telefonia móvel.

    O que você pode aprender com este guia

    • Como lidar com os riscos que surgem ao tornar dados sensíveis extremamente portáteis
    • Por que a comunicação de voz móvel e as mensagens de texto são particularmente vulneráveis à vigilância
    • Medidas que você pode tomar para melhorar sua segurança quando você está usando smartphones para se comunicar, armazenar dados, tirar fotos e visitar websites, entre outras atividades
    • Como melhorar suas possibilidades de permanecer no anonimato enquanto utiliza seu celular, se houver necessidade

    Introdução aos celulares

    Os smartphones estão entre as tecnologias mais empoderadoras e às quais mais pessoas têm acesso. Ao mesmo tempo, eles estão repletos de sensores e praticamente sempre ao alcance da mão e conectados a uma ou outra rede. Em poucas palavras, eles enfrentam a maioria dos desafios de segurança associados aos computadores, mais uma série de ameaças adicionais relacionadas à portabilidade, presença universal, arquitetura de rede insegura, rastreamento de localização, captação de mídia e outros aspectos.

    Sistemas operacionais

    A maioria dos smartphones utiliza um dos seguintes sistemas operativos: o Android do Google ou o iOS da Apple. Dispositivos Android são vendidos por muitas companhias diferentes. Seu software é frequentemente modificado pelos fabricantes e provedores, que esperam – e muitas vezes precisam – que os donos contem com as redes de telefonia móvel deles (e peguem por elas). Por outro lado, o iOS opera só em dispositivos Apple e dificulta muito a execução de aplicativos que não foram aprovados pela Apple.

    A confiabilidade da atualização dos sistemas operacionais é uma das considerações mais importantes quando se compra um smartphone Android. Alguns modelos baratos não proporcionam o acesso às atualizações necessárias para consertar falhas de segurança. Isso pode deixar você vulnerável a malware ou outros ataques.

    Smartphones bloqueados e de marca

    Os smartphones são frequentemente vendidos bloqueados, ou seja, atrelados a uma operadora específica de telecomunicações ou rede móvel. Isso significa que eles só funcionarão com um cartão SIM específico dessa empresa. As operadoras de redes móveis muitas vezes personalizam o sistema operacional e instalam software adicionais em smartphones bloqueados, desativando também algumas funcionalidades. Isso pode deixar aplicativos em seu smartphone que não podem ser desinstalados ou que evitam que você acesse suas informações, incluindo seus contatos e armazenagem.

    Por essas razões, geralmente é mais seguro comprar um smartphone desbloqueado, que não esteja atrelado a um provedor móvel específico. Infelizmente, esses são muitas vezes os mais caros.

    Instalação de segurança básica

    Os smartphones têm um grande número de configurações que podem ajudar você a administrar a segurança do seu dispositivo. É importante prestar atenção à forma como seu smartphone está configurado. O guia de ferramentas abaixo sugere algumas configurações e aplicativos específicos para Android:

    Maos à obra: comecemos com o Guia Básico de Configuração de Segurança para Android

    Instalando, avaliando e atualizando aplicativos

    A maneira mais fácil – e tipicamente a mais segura — de instalar um software novo em seu smartphone é usando a Play Store do Google para dispositivos Android e a App Store da Apple para dispositivos iOS. Inicie uma sessão em seu dispositivo e para que você possa baixar e instalar aplicativos.

    Você pode encontrar aplicativos para Android em vários lugares online, mas, no geral, você deve evitar instalá-los. Alguns desses aplicativos contêm malware. Você pode aprender mais sobre malware no Guia de Táticas sobre como proteger seu dispositivo de malware e ataques de phishing. Instale só software proveniente de fontes nas quais que você confia, e tenha em mente que pessoas confiáveis podem inadvertidamente espalhar malware sem percebê-lo. Os aplicativos na Play Store e App Store usufruem de uma revisão limitada do Google e da Apple, respectivamente. Isso oferece alguma proteção contra software abertamente malicioso.

    Para pessoas que fazem uso avançado de Android e pessoas que estão impossibilitadas ou relutantes em contar com a Play Store do Google, a F-Droid é uma possível excepção à regra. Ela é um centro alternativo que só distribui aplicativos FOSS. Se você precisar acessar a F-Droid, pode instalá-la por meio de uma fonte segura, e depois usá-la para instalar outros aplicativos. Você também pode instalar Pacotes de Aplicativos Android (arquivos .apk) diretamente se você habilitar seu dispositivo a Instalar Aplicativos Desconhecidos. Novamente, isso é arriscado, mas se você não tem outra forma de instalar o aplicativo do qual precisa, você pode pedir a alguém em quem você confia o arquivo .apk em um cartão de memória flash.

    Mesmo aplicativos “oficiais” às vezes se comportam mal. Em dispositivos Android, cada aplicativo deve pedir sua autorização antes de poder fazer certas coisas. Você deve prestar muita atenção às permissões que são solicitadas. Se elas não fazem nenhum sentido para o aplicativo em questão, leia os motivos e considere recusar e desinstalar o aplicativo. Por exemplo, se você está testando um aplicativo de notícias, e se ele lhe pede uma permissão para enviar seus contatos a terceiros por meio de uma conexão de dados móveis, você deveria desconfiar (alguns desenvolvedores de aplicativos coletam listas de contatos e vendem-nos ou usam-nos para marketing).

    Lembre-se de manter todos os seus aplicativos atualizados e desinstalar os aplicativos que você já não usa. Programadores por vezes vendem seus aplicativos para outras pessoas. O novo dono pode alterar um aplicativo que você já instalou e enviar uma atualização maliciosa.

    Mobilidade e a vulnerabilidade da informação

    Os celulares que carregamos conosco frequentemente contêm informação confidencial. Registros de chamadas, histórico do navegador, mensagens de voz e texto, contatos, calendários, fotos e outras funções úteis podem se converter em riscos se o dispositivo no qual eles estão armazenados for perdido ou roubado. É importante estar ciente da informação confidencial em seu celular, assim como dos dados online aos quais ele concede acesso automático. Esses dados têm o potencial de colocar em perigo não só a pessoa que é dona dispositivo, mas também qualquer pessoa que apareça nos contatos, caixa de entrada ou álbum de fotos.

    Uma vez que você pensar sobre os possíveis riscos e se familiarizar com as funcionalidades de privacidade e segurança de seu dispositivo, você pode começar a estabelecer formas de se proteger.

    Armazenando informações em seu smartphone

    Os smartphones modernos têm grande capacidade de armazenamento de dados. Contudo, dependendo do dispositivo, pode ser bastante fácil para qualquer pessoa com acesso fisico extrair essas informações.

    Criptografia dos dados e do dispositivo

    Dispositivos iOS recentes vêm com uma forte criptografia ativada por default, desde que você defina uma senha forte. Android também suporta a criptografia de dispositivo e, se puder, você deve habilitá-la. Lembre-se de fazer uma cópia de segurança dos conteúdos do seu smartphone antes de realizar a criptografia total do disco, no caso de haver algum problema enquanto o celular criptografa a si mesmo.

    O Android também lhe permite criptografar os dados em qualquer cartão de memória flash (como cartões MicroSD), se você utilizá-los.

    Quando você liga um celular criptografado e introduz a senha, você pode acessá-lo e modificar seu conteúdo. Isso significa que alguém com acesso físico a seu smartphone criptografado pode acessar seus dados enquanto ele estiver ativado e desbloqueado. Para a maior proteção possível — ao atravessar uma fronteira ou passar pela segurança do aeroporto, por exemplo — você deve desligar seu dispositivo completamente.

    Como sempre, existem vantagens e desvantagens. Por exemplo, se você acha que pode precisar fazer uma chamada de emergência no curto prazo, vale a pena assumir o risco de deixar seu telefone ligado e somente com a tela bloqueada.

    Se você não puder ativar a criptografia no disco completo, ou se precisar de segurança extra para arquivos específicos, você pode instalar algumas ferramentas adicionais para Android. Alguns aplicativos criptografam seus próprios dados, e o aplicativo OpenKeychain lhe permite criptografar outros arquivos. Se você utilizá-lo junto ao K-9 Mail, você pode também enviar e receber e-mails criptografados (não existem ferramentas gratuitas equivalentes para iOS). Aplicativos como estes podem ajudar você a proteger seus dados sensíveis mas, ainda assim, você deve ativar a criptografia de seu dispositivo, se possível.

    Também é importante minimizar a quantidade de informação confidencial que você armazena em seu telefone, especialmente se a criptografia do dispositivo não for uma opção. Alguns celulares, por exemplo, têm a funcionalidade de desativação do registro de chamadas e mensagens de texto. Você pode também adotar uma política de deletar as entradas sensíveis de seu histórico de chamadas e mensagens.

    Gravando senhas com segurança

    Você pode armazenar suas senhas em um só arquivo criptografado em um dispositivo Android instalando uma ferramenta FOSS chamada KeePassDroid. Esse aplicativo lhe permite lembrar de uma senha mestra única e forte e usá-la para procurar suas outras senhas. Isso, por sua vez, faz com que seja possível escolher senhas únicas e fortes para todas as suas contas sem ter que memorizá-las. KeePassDroid também oferece um gerador de senhas aleatório que pode ser utilizado para criar novas contas.

    Se você utiliza KeePassXC ou KeePassX no seu computador, como explicado no Guia de Ferramentas sobre como Criar e manter senhas seguras, você pode copiar sua base de dados criptografada (.kdbx) para seu dispositivo móvel.

    Existe também uma ferramenta similar para os dispositivos iOS chamada MiniKeePass.

    ## Boas práticas de segurança física de celulares

    Restringir o acesso físico ao seu celular é a primeira linha de defesa para a informação que ele contém. Você deve mantê-lo sempre com você, exceto quando isso trouxer um risco especifico de segurança. Isso se aplica também a cartões de memória SIM e flash. Mesmo que você tenha preocupações com malware ou vigilância avançada, pode ser mais seguro tirar a bateria e manter o dispositivo com você em vez de deixá-lo desacompanhado.

    Além de ativar a criptografia e manter seu celular por perto, abaixo há alguns passos adicionais que você pode seguir para manter a segurança física do seu dispositivo móvel e limitar os prejuízos caso ele seja perdido ou roubado.

    Passos gerais

    • Sempre defina uma senha forte de bloqueio de tela e evite compartilhá-la com outras pessoas. Se você estiver usando um telefone básico que vem com uma senha por default, troque-a.

    • Evite armazenar informação sensível, incluindo números de telefone, em seu cartão SIM, pois ele não pode ser criptografado.

    • Faça cópias de segurança periódicas dos dados importantes do seu celular em seu computador ou em um dispositivo de armazenamento externo. Guarde essas cópias de segurança de forma segura, como descrito em Proteja os arquivos sensíveis em seu computador. Ter uma cópia de segurança ajudará você a lembrar quais informações estão no seu telefone e facilitar a restauração das configurações de fábrica em uma emergência.

    • Os números de telefone muitas vezes estão ligados a contas importantes, e em alguns casos é possível que um atacante se apodere de seu número de celular para acessar essas contas ou fazer-se passar por você. Algumas redes de provedores móveis lhe permitem definir um PIN ou senha para evitar que pessoas não autorizadas façam mudanças em sua conta ou roubem seu número de telefone. Você deve utilizar essa configuração se estiver disponível.

    • Se você tem preocupações com malware, considere colocar um pequeno adesivo removível sobre a câmera do seu celular.

    Passos relacionados à perda e roubo

    • Os celulares têm um número de Identidade Internacional de Equipamento Móvel (em inglês, International Mobile Equipment Identity ou IMEI), de 15 dígitos, que permite identificá-los nas redes móveis. Trocar seu cartão SIM não modifica seu IMEI. Este número muitas vezes é impresso atrás da bateria, e a maioria dos telefones os exibe em suas configurações ou ao discar *#06#. Anote esse número: isso pode lhe ajudar a provar que o celular pertence a você, se ele for roubado.

    • Considere as vantagens e desvantagens de cadastrar seu celular em seu provedor de serviço. Se você reportar um celular registrado roubado, seu provedor de serviço poderá, geralmente, desativá-lo. Contudo, registrar seu telefone pode associar você mais diretamente à sua verdadeira identidade.

    • Muitos celulares Android e iPhone têm uma funcionalidade antirroubo integrada, ou “Find my Phone”, que lhe permite rastrear ou desativar seu celular se ele for roubado. Existem também ferramentas externas que fazem o mesmo. Essas ferramentas têm prós e contras, mas se você confiar em quem opera o serviço (e na qualidade do software), você pode habilitar uma delas e experimentar utilizá-las.

    Providências a se adotar ao dar seu dispositivo para alguém

    • Ao descartar, doar ou vender seu celular, assegure-se de não entregar a informação armazenada no cartão SIM ou no cartão de memória. Esses dispositivos de armazenamento podem conter informação mesmo que tenham expirado ou já não funcionem mais. Descarte o cartão SIM, destruindo-o fisicamente. Remova e guarde (ou destrua) os cartões de memória flash. A melhor forma de proteger os dados em seu celular é se assegurar de que eles estão criptografados e então restaurar o aparelho às configurações de fábrica.

    • Tente usar distribuidores e lojas de reparo confiáveis. Isso reduzirá a vulnerabilidade da sua informação ao comprar celulares de segunda mão ou consertá-los. Se você pensa que alguém tem o acesso, os recursos ou a motivação para atacar você, instalando um malware em seu dispositivo antes que você o compre, considere escolher aleatoriamente um distribuidor autorizado de telefones.

    • Retire o seu cartão SIM e os cartões de memória flash ao levar seu celular para conserto.

    Infraestrutura móvel, rastreamento, vigilância e interceptações

    Os celulares e as redes móveis de telefones são inerentemente menos seguras do que costumamos pensar. Para enviar e receber chamadas e mensagens, seu telefone está constantemente se comunicando com a torre de celular mais próxima. Como resultado, seu provedor de serviço sabe a localização do seu celular sempre que ele está ligado — e mantém um cadastro dela.

    Sobre a intercepção de chamadas telefônicas e mensagens de texto

    As redes móveis são tipicamente redes privadas operadas por entidades comerciais. Às vezes, o provedor do serviço é o proprietário da infraestrutura da rede móvel e, em outras ocasiões, revende o serviço móvel que aluga de outra empresa. As mensagens de texto SMS são enviadas sem criptografia, e as chamadas telefônicas também possuem criptografia ausente ou frágil. Nenhuma das duas é criptografada de maneira a oferecer proteção contra a própria rede. Como resultado, tanto o prestador do serviço como o dono da torre de celular que você está utilizando têm acesso ilimitado às suas chamadas, mensagens de texto e localização. Em alguns casos, o governo local tem o mesmo acesso, mesmo em lugares onde ele não é dono da infraestrutura.

    Muitos países têm leis ou políticas que exigem que prestadores de serviço mantenham um registro de longo prazo de todas as mensagens de texto enviadas por clientes. E a maioria dos provedores de serviço mantêm esse registro de qualquer maneira para propósitos comerciais, de contabilidade ou resolução de conflitos. Em alguns lugares existem regulamentações similares para o registro de chamadas telefônicas.

    Além disso, os sistemas operacionais que funcionam nos celulares são frequentemente desenvolvidos ou modificados segundo as especificações de um ou mais provedores de serviço. Como resultado, o sistema operacional pode incluir funcionalidades ocultas que tornam esse tipo de monitoramento ainda mais invasivo. Isso se aplica de igual maneira a celulares básicos e smartphones.

    Em alguns casos, a comunicação de voz e texto pode ser interceptada por um agente externo. Se um atacante conseguir colocar um equipamento de baixo custo — um coletor de IMSI — na zona de sinal de um celular alvo, pode enganar o dispositivo e fazê-lo se comunicar com o coletor como se fosse uma torre de celular legítima (os coletores IMSI são às vezes chamados de Stingrays, marca muito conhecida que é vendida às autoridades e agentes da lei). Em alguns casos, atacantes externos foram até mesmo capazes de acessar redes móveis em outro lado do mundo através da exploração das vulnerabilidades no Sistema de Sinalização Número 7 (ou SS7), um conjunto de protocolos para o intercâmbio internacional de chamadas de voz e mensagens de texto.

    Finalmente, mesmo ao se conectar por Wi-Fi ao invés da rede móvel, os sistemas operacionais dos smartphones e tablets são desenhados para incentivar o compartilhamento dos dados pessoais através de plataformas de redes sociais, serviço de armazenamento em nuvem, uso agressivo do Sistema de Posicionamento Global (GPS), entre outros. Ainda que muita gente usufrua desses aspectos de Android e iOS, eles podem facilmente levar à exposição de informação confidencial.

    Ao pensar sobre como proteger sua comunicação sensível, você pode começar a se fazer algumas perguntas:

    • Com quem você se comunica, quando e com que frequência?
    • Quem poderia estar interessado no fato de que você está falando com essa pessoa?
    • Quanta confiança você tem de que a outra pessoa é quem diz ser?
    • Qual é o conteúdo de suas chamadas e mensagens?
    • Quem poderia ter interesse no conteúdo?
    • De onde você está ligando, e onde está a outra pessoa?

    Se as respostas a essas perguntas causam preocupação, você deve pensar sobre como minimizar os riscos associados. Para fazer isso, você terá que ajudar as outras pessoas a adotar novas ferramentas ou técnicas e, em alguns casos, evitar o uso de celular ao se comunicar com elas.

    Sobre anonimato

    Proteger o conteúdo de suas chamadas ou mensagens pode ser desafiador, mas permanecer “anônimo” ao utilizar um celular é ainda mais difícil. Em particular, raramente é possível esconder o fato de que você está se comunicando com um determinado indivíduo ao fazer uma chamada ou enviar uma mensagem de texto SMS. Usar um aplicativo seguro de mensagens através de dados móveis ou Wi-Fi pode ajudar, mas não há garantias para essas coisas. Muitas vezes, o mais longe que você consegue chegar é a escolher qual agente externo terá acesso à sua informação e esperar que ele não tenda a cooperar com aqueles de quem você está tentando esconder sua comunicação.

    A fim de alcançar um maior nível de anonimato, às vezes as pessoas escolhem usar telefones descartáveis e contas de curta duração. Essa técnica pode ser efetiva em algumas situações, mas é mais difícil de realizar do que parece. O método mais simples é que ambas partes comprem um celular pré-pago básico e usem-no para fazer chamadas e enviar mensagens de texto SMS por um período muito limitado de tempo antes de eliminá-lo. Contudo, não há como criptografar sua comunicação, e a eficácia dessa técnica depende de uma longa lista de suposições. Essa lista inclui, no mínimo:

    • Que ambas as partes comprem os celulares e cartões SIM em dinheiro,
    • Que elas não sejam observadas nem rastreadas através de seus telefones reais enquanto se comunicam,
    • Que elas possam ativar seus cartões SIM sem ter que mostrar identificação para se cadastrar,
    • Que tirem as baterias dos seus celulares quando não estiverem usando-os,
    • Que elas possam trocar os números de telefone sem ser observadas,
    • Que elas utilizem seus telefones em lugares por onde não passem habitualmente,
    • Que elas deixem seus smartphones em outro local ao passar por locais habituais,
    • Que a tecnologia de reconhecimento de voz não seja mais avançada do que imaginamos.

    Conseguir tudo isso em um smartphone pré-pago permitiria enviar chamadas de voz e mensagens criptografadas enquanto se esconde o vinculo entre as duas partes. Entretanto, fazer isso de maneira efetiva requer ainda mais atenção e cuidado, em parte porque os smartphones e aplicativos de mensagens seguras exigem o registro de contas. Pouco serve utilizar um celular desvinculado para acessar serviços que já estejam associados à sua verdadeira identidade. Criar contas de e-mail anônimas e cadastrar-se em serviços online de uso único pode tomar muito tempo e requer conhecimento e disciplina adicionais. Ambas as partes precisarão entender como funcionam os endereços de IP, o que significa uma impressão digital do navegador e como utilizar o navegador Tor ou Tails, entre outros. Elas terão que investir mais tempo e dinheiro em cibercafés aleatórios sem portar seus celulares reais.

    Sobre interceptação

    Os celulares podem ser configurados para armazenar ou transmitir dados de seus microfones, câmeras de vídeo e GPS sem notificar os usuários e usuárias. Isso se aplica tanto a celulares como smartphones. O malware é o responsável pela maioria desses ataques, mas também acredita-se que provedores de serviço estejam envolvidos nesse tipo de vigilância dos dispositivos conectados às suas redes. Alguns celulares podem até ser ligados remotamente e usados para espionar seus donos e donas enquanto parecem estar desligados.

    • Evite dar acesso físico a seu celular a pessoas em quem você não confia. Muitas vezes, é assim que o malware chega ao dispositivo.

    • Não esqueça que usar o celular em público ou em uma localização que pode estar sendo monitorada deixa você vulnerável a técnicas de espionagem tradicionais. Isso também traz o risco de que seu telefone seja roubado.

    • Incentive as pessoas com quem você se comunica sobre temas sensíveis a adotar as mesmas ferramentas e táticas que você considera apropriadas para si.

    • Se você está realizando uma reunião presencial privada, desligue seu celular e tire a bateria. Para evitar revelar a localização de sua reunião, é melhor fazer isso antes de se transportar para o local. Se você não puder remover sua bateria, deixe seu celular em algum lugar seguro.

    Comunicando-se na Internet por meio de seu celular

    Como discutido em nossos Guias de Táticas sobre como manter sua comunicação online privada e como permanecer no anonimato e evitar a censura na Internet, enviar informação e receber dados através da Internet pode deixar vestígios que identificam quem você é, onde você está e o que está fazendo. Apesar disso, algumas ferramentas de Android e iOS que dependem da Internet para se comunicar são muito mais seguras do que usar a rede de telefonia para realizar uma chamada ou enviar uma mensagem de texto.

    Os smartphones lhe permitem controlar como você acessa a Internet. Normalmente, você pode se conectar por Wi-Fi ou uma conexão de dados móveis oferecida por seu provedor de serviços. Usar uma conexão Wi-Fi pode reduzir os vestígios passíveis de acesso por seu provedor de serviços, mas revela as mesmas informações ao operador do ponto de acesso sem fio que você está utilizando, bem como ao provedor de serviço da Internet (em inglês, Internet Service Provider ou ISP) desse ponto de acesso. Em alguns países, os provedores de serviços móveis estão sujeitos a regulações distintas dos provedores de serviço da Internet, o que pode resultar em diferentes níveis de vigilância por parte das empresas relevantes e agências governamentais.

    Independente da forma que você escolhe para conectar seu smartphone à Internet, as ferramentas de criptografia e anonimato podem ajudar a proteger as informações que você envia e recebe.

    Utilizando aplicativos de mensagens seguros

    Como mencionado anteriormente, as chamadas telefônicas e mensagens de texto SMS são um tanto quanto inseguras. A Voz sobre IP (VoIP) é uma maneira de fazer chamadas de voz utilizando conexão à Internet ao invés de redes de telefonia móvel. As comunicações de texto também podem ser enviadas pela Internet, e existem vários aplicativos de mensagem modernos que utilizam a criptografia para fazer ambas as coisas de forma segura.

    Signal é um aplicativo FOSS que criptografa mensagens de texto individuais e grupais entre pessoas que o utilizam. Ele também oferece chamadas de voz e vídeo criptografadas entre dois usuários de Signal. É muito fácil de instalar, fácil de utilizar e se integra à sua lista existente de contatos. Signal está disponível tanto para Android como para iOS e pode ser usado em computadores Windows, Mac ou Linux uma vez que estiver funcionando em um smartphone.

    Maos à obra: comecemos com Signal

    Por uma questão de simplicidade, o Signal utiliza seu número de celular como uma forma de identificar você para seus contatos. Infelizmente, isso dificulta o uso do aplicativo sem um plano de telefonia móvel, mesmo em dispositivos que funcionam com Wi-Fi. Também significa que você precisa compartilhar seu número de telefone com as pessoas com que você deseja se conectar por meio do Signal. Se essas restrições são problemáticas para você, existem muitos outros aplicativos de mensagens seguros e confiáveis. Uma das alternativas mais populares é Wire (Android, iOS).

    Abaixo há alguns critérios que você deve considerar ao escolher um aplicativo de mensagem para dispositivos móveis:

    • O que especialistas em segurança digital dizem sobre ele?
    • É um software livre e de código aberto?
    • É compatível com criptografia de ponta a ponta em comunicação entre duas pessoas?
    • É compatível com criptografia de ponta a ponta em comunicação por texto entre grupos?
    • É compatível com a criptografia de ponta a ponta em comunicação por voz entre grupos?
    • As transferências de arquivos são criptografas de ponta a ponta?
    • Permite configurar mensagens para que se "autodestruam"?
    • Funcionará em conexões de banda baixa?
    • Quem são as pessoas que desenvolvem a ferramenta? Você confia nelas?
    • Quem opera o servidor? E alega-se armazenar quais informações sobre suas chamadas e mensagens?
    • Pode-se usar a mesma conta em vários dispositivos?
    • Funciona na maioria dos sistemas operacionais?
    • A ferramenta permite que você se cadastre com um e-mail ou nome de usuário, em vez de seu número de telefone, de forma que você possa manter sua informação de contato separada da sua verdadeira identidade?
    • Pode ser utilizada sem acesso à lista de contatos de seu dispositivo?
    • Pode ser utilizada em um dispositivo móvel que não seja um celular?
    • Você ou alguém em quem você confia pode rodar seu próprio servidor e usá-lo para se comunicar?

    Enviando e recebendo emails em seu smartphone

    Se você escolher acessar uma conta de e-mail potencialmente sensível em um dispositivo móvel, assegure-se de que a criptografia no dispositivo está ativada, como indicado no Guia de Segurança Básica para Android (os iPhones mais recentes provavelmente a ativam por default, desde que você defina uma senha forte). Isso não protegerá seus e-mails em trânsito, mas evitará que alguém que encontrar ou roubar seu dispositivo possa lê-los. Você também pode querer ler o Guia de Táticas sobre como manter sua comunicação online privada.

    Os guias anteriores tratam de criptografia de e-mails GPG em computadores Windows, Mac e Linux. Também existem maneiras de enviar e receber e-mails criptografados em dispositivos Android, mas elas têm suas vantagens e desvantagens (atualmente não existem ferramentas de criptografia de GPG livres para iOS).

    A maioria das pessoas especialistas em segurança aconselham a não armazenar sua chave de criptografia privada em outro lugar além de seu computador principal (sem falar em carregá-la em seu bolso por aí). Você precisará dessa chave privada para ler os e-mails em seu dispositivo móvel. Contudo, aparelhos Android estão mais seguros do que costumavam ser, e sua chave privada está, ela mesma, protegida por uma senha forte. Assim, se você precisar enviar e receber e-mails sensíveis em seu dispositivo Android — e caso mudar para um aplicativo seguro de mensagens não seja uma opção — você deveria instalar GPG nele.

    Para fazer isso, você precisará:

    1. Instalar e configurar um aplicativo de GPG e administração de chaves como OpenKeychain;
    2. Copiar sua chave privada criptografada para o dispositivo; e
    3. Instalar e configurar um aplicativo de e-mail como K-9 Mail, que funciona com OpenKeychain.

    Para além de chamadas e mensagens

    Os celulares são dispositivos informáticos com funções completas, com seus próprios sistemas operacionais e aplicativos para baixar que proporcionam múltiplos serviços a quem os utiliza. Muito do que você faz no computador pode hoje ser feito em um smartphone e, obviamente, há muitas coisas que você pode fazer em um celular que não podem ser feitas no computador.

    Aina que alguns celulares básicos ainda careçam de conectividade à Internet, isso é cada vez mais raro. Se você utiliza o navegador Web em seu dispositivo Android para visitar páginas potencialmente sensíveis, considere instalar uma rede privada virtual (VPN) ou Orbot, que é a versão para Android do Tor Browser.

    Usando uma VPN em um dispositivo Android

    Uma VPN proporciona um túnel criptografado que interliga seu dispositivo e um servidor VPN em algum lugar da Internet. As VPNs ajudam a proteger o tráfego para e desde seu dispositivo móvel, especialmente quando o tráfego passa através de uma rede local ou nacional insegura. Contudo, como todo seu tráfego passa através do provedor da VPN, quem a opera pode ver qualquer coisa que seu provedor de rede local ou de Internet veria sem o "túnel". Como resultado, é importante usar um serviço de VPN no qual você confia e atentar-se para usar apenas serviços HTTPS para informação sensível.

    As VPNs são ilegais ou restringidas em alguns lugares, então certifique-se de conhecer as políticas e práticas locais. Usar uma VPN não esconde o fato de que você está usando uma VPN.

    Para usar uma VPN, você precisará instalar um aplicativo de “cliente” e criar uma conta com o provedor. O Coletivo Riseup oferece um cliente VPN FOSS para Android chamado Bitmask e opera um serviço de VPN gratuito chamado RiseUp Black (se você já tem uma conta Riseup Red e se sente confortável configurando a VPN manualmente, pode também usar o aplicativo FOSS para Android OpenVPN (Play Store, F-Droid) com seu nome de usuário e senha do Riseup Red).

    Usando Tor em um dispositivo Android

    Para acessar conteúdo online de forma anônima, você pode usar um par de aplicativos Android chamados Orbot e Orfox. O Orbot conduz o tráfego da Internet através da rede anônima Tor, e o Orfox é uma versão móvel do Firefox que utiliza Orbot e oferece proteções adicionais de privacidade. Juntos, eles permitem contornar a filtragem online e navegar anonimamente, de forma muito semelhante ao navegador Tor em computadores Windows, Mac ou Linux.

    Você pode aprender mais sobre como permanecer no anonimato e evitar a censura na Internet no Guia de Táticas correspondente.

    Capturando mídia com seu smartphone

    Tirar fotos, gravar áudios e filmar com seu smartphone são formas poderosas de documentar e compartilhar eventos importantes. No entanto, é importante ser respeitoso com a privacidade e a segurança das pessoas que aparecem nas mídias que você capta. Por exemplo, se você documenta um evento confidencial e seu celular cai nas mãos erradas, podem aparecer problemas para você e as pessoas que aparecem nas gravações. Para ajudar a controlar riscos como esses, você pode considerar: - Encontrar um uma forma segura de descarregar os arquivos gravados o mais rápido possível, e apagá-los do seu dispositivo. - Utilizar ferramentas para desfocar o rosto de quem aparece nas imagens e vídeos que você capta ou que alterem as vozes que você gravou. - Familiarizar-se com as ferramentas e configurações dos dispositivos que apagam os metadados dos arquivos de mídia. Esses metadados podem incluir coordenadas do GPS onde as fotos foram tiradas, revelando dados de identificação dos dispositivos ou outra informação potencialmente confidencial.

    O Projeto Guardian desenvolveu e mantém um aplicativo FOSS chamado ObscuraCam que desfoca os rostos e remove os metadados das fotografias e vídeos.

    Se você precisa conservar os rostos, vozes e metadados das mídias que você captou, é ainda mais importante que você tenha certeza de que seu dispositivo está criptografado e preocupe-se em criptografar os arquivos relevantes ao armazená-los ou enviá-los aos outros. Com isso em mente, o Projeto Guardian desenvolveu também uma ferramenta chamada Proof Mode que faz o contrário do que a ObscuraCam faz. Ele coleta a maior quantidade de dados possível como forma de ajudar a provar a validade das imagens ou vídeos. Esses metadados são armazenados separadamente das imagens e vídeos que eles descrevem, e devem ser compartilhados só através de meios seguros.

    Boas práticas de uso geral para celulares

    • Só conecte seu celular a um computador se você tem certeza de que o segundo está livre de malware. Veja nosso Guia de Táticas sobre como proteger seu dispositivo contra malware e ataques de phishing.
    • Tal como você faria ao utilizar um computador, tenha cautela ao se conectar a um ponto de acesso Wi-Fi que não possui senha.
    • Desative o Wi-fi, Bluetooth, e a Comunicação por Campo de Proximidade (sigla NFC, por seu nome em inglês) quando você não os está utilizando. Só ligue-os quando for requerido e use-os somente em redes confiáveis e ao interagir com dispositivos confiáveis. Transfira dados usando uma conexão de cabos quando possível.
    • Observe o comportamento e funcionamento do seu celular. Preste atenção em programas desconhecidos, processos em execução, mensagens estranhas e funcionamento instável. Se você não conhece ou não usa algumas das funções e aplicativos no seu celular, desative-as ou desinstale-as se puder.

    Leitura adicional