MUNDO CONECTADO

Aula 7:
Dispositivos Móveis
© Copyright 2016, Tribunal de Contas de União
<www.tcu.gov.br>

RESPONSABILIDADE PELO CONTEÚDO

Tribunal de Contas da União
Secretaria Geral da Presidência
Instituto Serzedello Corrêa
Secretaria de Planejamento, Governança e Gestão/Diretoria de Segurança da Informação e Continuidade de Negócio
Serviço de Educação Corporativa de Controle

SUPERVISÃO
Carolina Beserra Pfeilsticker
Walter Fabrício de Castro Telli

CONTEUDISTA
Gustavo Rodrigues Lima Almeida
José Luiz Torres Ferreira Costa
Juliana Belmok Bordin
Maria Camila de Avila Dourado
Pedro Henrique Braz de Souza
Rafael Cancellier

TRATAMENTO PEDAGÓGICO
Marta Eliane Silveira da Costa Bissacot

PROJETO GRÁFICO
Vanessa Vieira

DIAGRAMAÇÃO
Vanessa Vieira

Este material tem função didática. A última atualização ocorreu em Dezembro de

2016. As afirmações e opiniões são de responsabilidade exclusiva do autor e podem

não expressar a posição oficial do Tribunal de Contas da União.

 Sumário
Sumário........................................................................................................................................................... 3

Introdução................................................................................................................................................... 5

1. Vazamento e perda de dados devido à perda ou roubo do dispositivo .............................5

2. Divulgação não intencional de dados ................................................................................................7

3. Ataques a dispositivos descartados, doados ou vendidos........................................................8

4. Ataques de Phishing........................................................................................................................................9

5. Ataques de Spyware .................................................................................................................................... 10

6. Redes Wi-fi públicas.................................................................................................................................... 11

Síntese......................................................................................................................................................... 12

Bibliografia.............................................................................................................................................. 13

Tribunal de Contas da União

 Introdução 5

Dispositivos Móveis
Nesta aula, discutiremos as várias ameaças de segurança aos dispositivos móveis, bem
como medidas para mitigar os danos e melhorar a privacidade dos dados armazenados.

Os smartphones e tablets, chamados genericamente de dispositivos móveis, têm assumido

cada vez mais um papel de destaque na vida moderna. A quantidade de informação pessoal
armazenada nesses dispositivos vem crescendo de forma acelerada.

Ao contrário dos computadores tradicionais, os dispositivos móveis são facilmente furta-

dos ou perdidos, tornando os dados pessoais ali armazenados (ex.: senhas, número de cartões
de crédito, mensagens, fotos etc.) acessíveis a quem estiver de posse do aparelho.

A ENISA, Agência da União Europeia para a Segurança das Redes e da Informação, centro
especializado em promover a segurança cibernética na Europa, classificou alguns dos maiores
riscos de segurança para dispositivos móveis em geral, os quais mostramos a seguir:

1. Vazamento e perda de dados devido à perda ou roubo do

dispositivo
02/05/2016 18h22 - Atualizado em 02/05/2016 18h22

Casal tem celular roubado e é ameaçado para não ter fotos

íntimas divulgadas na internet
Autor exigiu R$ 1 mil do casal
“Um homem, de 50 anos procurou a Delegacia de Polícia Civil de Campo Grande nesta segun-
da-feira (2) para comunicar que ele e sua mulher, de 48 anos estão sendo vítimas de extorsão de
um homem que estaria ameaçando divulgar fotos íntimas do casal na internet.”

Fonte: http://www.midiamax.com.br/policia/casal-tem-celular-roubado-ameacado-nao-ter-fotos-intimas-divul-
gadas-internet-299462

Risco:

O acesso irrestrito ao dispositivo móvel pode tornar facilmente disponíveis as informações

pessoais nele contidas. Caso tenha havido furto ou extravio de dispositivo sem a devida configu-
ração de senha de segurança, a pessoa que estiver de posse dele terá acesso a:

• Informações de correio eletrônico, incluindo qualquer senha ou informação de

contas que você tenha salvado;

Tribunal de Contas da União

6
Dispositivos Móveis

• Registros e mensagens das contas de redes sociais, tais como Facebook, Google+,
Twitter, Instagram;

• Todas as senhas salvas;

• Informações de cartão de crédito salvas em apps, como da Amazon e do Google

Wallet;

• Endereços de correio eletrônico, números de telefone e endereços dos seus

contatos;

• Fotos, vídeos e conversas.

Medidas e precauções:

• Sempre coloque uma senha, padrão de bloqueio ou biometria para acesso do seu
dispositivo;

• Configure o dispositivo para bloquear a tela após alguns minutos de inatividade.

Telefones mais modernos já possuem essa configuração por padrão;

• Não armazene informações de cartão de crédito no seu dispositivo. Embora isso

dificulte a realização de compras frequentes, elimina-se o risco dessa informação
cair em mãos indesejadas;

• Apague remotamente os dados do seu telefone ou tablet em caso de perda.

Usuários de dispositivos Apple iOS podem usar o app Find My iPhone. Usuários do
Android devem habilitar o Gerenciador de dispositivos Android nas Configurações
do Google. Existem várias aplicações de terceiros que também realizam essa tarefa.
Exemplo: Cerberus;

• Criptografe o seu telefone ou tablet. Com dispositivos iOS isso é feito automa-
ticamente assim que você ativar um código PIN ou código de acesso. Usuários
do Android devem ir em Configurações > Segurança > Criptografar telefone.
Dispositivos sem criptografia permitem acesso fácil por meio de um computador
conectado via USB;

• Faça Backup dos seus dados, para reduzir o risco de perda. Dispositivos iOS pos-
suem o iCloud, dispositivos Android possuem o Google Drive. Mas fique atento
porque não há garantia de confidencialidade das informações.

Curso: Mundo Conectado

 7
2. Divulgação não intencional de dados

Dispositivos Móveis
Criminoso diz que buscou informações sobre garoto
sequestrado no Facebook
Por Giovana Penatti
2 anos atrás
“É tão fácil obter informações sobre sua vida “real” - tipo o lugar onde você mora, os lugares
que frequenta, os horários em que não está em casa - que, há alguna anos, o site Please Rob
Me foi criado para mostrar o tamanho do perigo: se apropriando de informações do Foursquare
e do Twitter, ele conseguia dizer se você estava em casa ou não. E, nesse caso, se trata de um
robozinho fazendo isso; imagine alguém intencionalmente querendo descobrir.”

Fonte: https://tecnoblog.net/157836/criminoso-buscou-informacoes-garoto-sequestrado-facebook/

Risco:

Desenvolvedores frequentemente introduzem mais recursos do que o usuário médio con-

segue acompanhar. Por exemplo, você pode não ter consciência de que o dispositivo está trans-
mitindo sua localização cada vez que postar uma foto usando um aplicativo de mídia social.

Aqui estão alguns exemplos de como você pode estar deixando involuntariamente o mun-
do saber onde está:

• Se você postou uma foto com os dados de localização ativados;

• Se alguém marcar você em uma foto sem o seu conhecimento;

• Se você fizer “check in” em um local (restaurante, café, aeroporto), usando um

aplicativo de localização.

Medidas e precauções:

• Desabilite a geolocalização do seu dispositivo móvel e de quaisquer outros apli-

cativos que podem acessar a câmera. Isso impedirá que aplicativos automatica-
mente conheçam a sua localização. O procedimento para desabilitar o serviço de
localização de seu celular varia de acordo com o modelo e o sistema operacional
do aparelho. Verifique as opções de configuração do serviço de localização ou o
aplicativo da câmera (ex: geo-tag ou etiqueta GPS). Desabilite as opções do serviço
de localização e de ativação do GPS, se for o caso.

• Evite usar o recurso de “check-in “ em aplicativos como o Yelp e Foursquare.

Tribunal de Contas da União

8
3. Ataques a dispositivos descartados, doados ou vendidos.
Dispositivos Móveis

Quem ficou com o seu celular antigo?

Dados contidos em smartphones descartados podem ser recuperados - e usados para fraudes e crimes

“Londres - Há três anos, Graham Clements, diretor da multinacional japonesa Ishida no

Reino Unido, decidiu se livrar do seu BlackBerry e o entregou ao seu departamento de TI para
reciclagem.

O BlackBerry descartado por Clements havia sido repassado para uma empresa especializada
na reciclagem e venda de usados. Ele continha dados vitais sobre planos de negócios, estrutura
da empresa, detalhes da conta bancária e até informações sobre seus filhos - itens que, aparen-
temente, haviam vazado.”

Fonte: http://www.gazetadopovo.com.br/tecnologia/quem-ficou-com-o-seu-celular-antigo-b7l46o1g7mzj89su-
32zdu9xe6

Risco:

Se você não limpar, no momento do descarte, um dispositivo já usado, quem estiver de

posse dele poderá acessar facilmente uma quantidade alarmante de dados pessoais. De acordo
com a ENISA, os dispositivos móveis desativados de forma inadequada podem manter informa-
ções tais como:

• Histórico de chamadas;

• Contatos;

• E-mails.

Medidas e precauções:

Sempre volte seu dispositivo para as configurações de fábrica antes de descartar, doar, ou
vender o seu telefone. Isso é muito mais eficaz do que a tentativa de limpar os dados de cada
aplicativo individualmente.

Ao comprar um novo aparelho, redefina o dispositivo usado para as configurações de fá-

brica, mesmo se você for mantê-lo em seu poder. Furto de telefone ou tablet que ainda contém
informações pessoais, mesmo que não esteja mais em uso, pode ser tão prejudicial quanto o
furto do seu dispositivo atual.

Curso: Mundo Conectado

 9
4. Ataques de Phishing

Dispositivos Móveis
Segunda-feira, 11/07/2016, às 22:20, por Altieres Rohr

Pokémon Go: versão maliciosa do app instala vírus, alerta

empresa
“O jogo de realidade aumentada Pokémon Go já superou a marca de cinco milhões de do-
wnloads na loja Google Play, mas a disponibilidade limitada do aplicativo - que oficialmente só
pode ser baixado nos Estados Unidos, na Austrália e na Nova Zelândia - está fazendo com que
usuários procurem o arquivo de instalação do jogo em sites alternativos. Segundo a empresa de
segurança “Proofpoint”, quem decidir fazer isso precisa ter cuidado: criminosos já criaram uma
versão do app infectada com vírus.”

Fonte: http://g1.globo.com/tecnologia/blog/seguranca-digital/post/pokemon-go-versao-maliciosa-do-app-ins-
tala-virus-alerta-empresa.html

Risco:

Phishing, termo oriundo do inglês (fishing) que quer dizer pescaria, é uma forma de fraude
eletrônica, caracterizada por tentativas de adquirir dados financeiros, tais como senhas de home
banking e número de cartões de crédito, além de outros dados pessoais. O Phishing pode apare-
cer em uma variedade de formas:

• Aplicativos falsos criados para imitar aplicativos legítimos, como o Pokémon Go;

• Falsas mensagens de correio eletrônico;

• Falsas mensagens SMS.

Medidas e precauções:

• Procure por erros de digitação ou gramaticais em mensagens SMS e mensagens

eletrônicas. Frequentemente são indicativos de um ataque de phishing;

• Verifique se o aplicativo que você está instalando vem de uma fonte confiável.
Sempre instale aplicativos por meio das lojas oficiais do aparelho;

• Nunca inclua senha, número de cartão de crédito ou outros dados pessoais em

uma mensagem de correio eletrônico ou de texto. Se você receber uma mensagem
pedindo este tipo de informação, é muito provável que seja um ataque de phishing.

Tribunal de Contas da União

10
5. Ataques de Spyware
Dispositivos Móveis

Ataque a iPhone chama a atenção para a cibervigilância

israelita
Jornal de Notícias - 29 de ago de 2016

“A recente descoberta de programas informáticos espiões

(“spyware”) capazes de se infiltrarem a controlarem os telefones
Apple (iPhone) sem deixar rastro...”

Fonte: http://www.jn.pt/inovacao/interior/ataque-a-iphone-chama-a-atencao-para-a-cibervigilancia-israeli-
ta-5361578.html

Risco:

Spyware é um programa que recolhe informações do usuário, sem o seu conhecimento e

consentimento, e transmite o que foi coletado a uma entidade externa.

O dispositivo móvel pode ser infectado com spywares por meio de um aplicativo não au-
torizado ou a partir de um site malicioso.

Informações registradas por spyware podem incluir:

• Todas as teclas que você digitar;

• Os nomes, números de telefone e endereços de correio eletrônico dos seus contatos;

• Informações de cartão de crédito que você informa ao fazer compras online.

Medidas e precauções:

• Mantenha o sistema operacional do seu dispositivo móvel sempre atualizado. Os

fabricantes frequentemente lançam atualizações após a identificação de problemas
de segurança. Fazer download das atualizações de software é fundamental para
garantir que o seu telefone ou tablet continuará seguro;

• Instale software de antivírus para bloquear e detectar as infecções;

• Não baixe aplicativos de lojas não oficiais, já que a chance de estarem infectados
com vírus é muito grande;

Curso: Mundo Conectado

 11

Dispositivos Móveis
• Analise as permissões solicitadas pelos aplicativos antes de instalá-los, especial-
mente para dispositivos Android. Se o aplicativo estiver solicitando acesso a in-
formações pessoais ou quiser executar determinadas funções no seu telefone ou
tablet, certifique-se de que se encaixam no propósito declarado do aplicativo. Você
terá que decidir se permite a instalação aceitando o risco ou impedir a instalação
do aplicativo;

• Não altere as configurações de segurança do seu telefone. Fazer “root” ou “jailbre-

ak” do seu dispositivo o torna mais suscetível a um ataque.

6. Redes Wi-fi públicas

Vai viajar nas férias? Cuidado com o wifi

SOCIEDADE | 27.07.2016 às 15h41

“É daqueles que consulta logo o telemóvel mal chega ao destino? Então tenha cuidado, essa
pressa para se ligar ao mundo virtual pode colocar os seus dados pessoais em risco.”

Fonte: http://visao.sapo.pt/actualidade/sociedade/2016-07-21-Vai-viajar-nas-ferias--Cuidado-com-o-wifi

Risco:

Hackers frequentemente atacam usuários que se conectam a redes Wi-Fi públicas. A me-
nos que você insira as informações pessoais apenas em sites que usam criptografia SSL, há risco
de ataque, pois os hackers usam métodos e aplicativos para capturar tudo o que circula na rede.

Aqui estão alguns exemplos de informação que você pode acidentalmente divulgar:

• As senhas de sites não criptografados;

• Informações de cartão de crédito enviadas por meio de um site sem criptografia.

Medidas e precauções:

• Sempre que possível, use apenas redes Wi-Fi conhecidas, não-públicas;

• Ao navegar em uma rede Wi-Fi pública, digite suas senhas somente em sites que
usam criptografia SSL, eles terão o prefixo “https” no endereço, tal como: https://
gmail.google.com.

Tribunal de Contas da União

12 Síntese
Dispositivos Móveis

Nesta aula, analisamos algumas situações relacionadas à segurança da

informação em dispositivos móveis. Em cada situação foi discutido o risco ine-
rente e as medidas e precauções que podem evitar ou atenuar o problema. As
situações discutidas foram: o vazamento e a perda de dados devido à perda
ou roubo do dispositivo, a divulgação não intencional de dados, ataques a
dispositivos descartados, doados ou vendidos, ataques de phishing, ataques
de spyware, redes wi-fi públicas.

Curso: Mundo Conectado

 Bibliografia 13

Dispositivos Móveis
10 Quick Tips to Mobile Security - McAfee: http://images.mcafee.com/en-us/advicecenter/pdf/
MobileeGuide_Jan2012.pdf

Segurança em Dispositivos Móveis - CERT.br: http://cartilha.cert.br/dispositivos-moveis/

ENISA - Information security risks, opportunities and recommendations for users: https://www.
enisa.europa.eu/publications/smartphones-information-security-risks-opportunities-and-recom-
mendations-for-users

Tribunal de Contas da União