Falha em software expõe chamadas em aplicativos de saúde e relacionamento

A quarentena e o isolamento social impostos pela pandemia modificaram os hábitos de cidadãos do mundo inteiro e aceleraram a transição de atividades e serviços para o ambiente digital.

No trato da saúde, por exemplo, a telemedicina foi autorizada no Brasil em abril do ano passado e se popularizou, e essa modalidade certamente será mantida após o período pandêmico. Outra tendência desses tempos foi o aumento da procura por aplicativos de relacionamento, uma vez que as pessoas se viram impossibilitadas de frequentar shows e festas, em função do contágio pelo vírus. Porém, o uso disseminado da tecnologia também tem seus riscos, podendo deixar o cidadão com dados mais vulneráveis e sujeitos a fraudes.

Uma pesquisa elaborada pela McAfee, empresa especializada em segurança pessoal, descobriu que 51% dos consumidores aumentaram as consultas médicas online, enquanto 27% aumentaram o namoro. O aumento da vida online, no entanto, é um prato cheio para golpistas. A mesma companhia identificou uma vulnerabilidade em um kit de desenvolvimento de software de videochamada (SDK) fornecido pela Agora.io — esse problema pode ser explorado para espionar chamadas de áudio e vídeo ao vivo dos usuários. O software é utilizado por aplicativos de relacionamento como eHarmony, Plenty of Fish, MeetMe e Skout, bem como em sistemas de saúde, como Talkspace e Practo.

A vulnerabilidade do software bloqueia a capacidade de encriptação das ligações e videochamadas. Por meio dessa falha, o hacker intercepta a chamada e, sem criptografia na comunicação, ele participa das ligações como se fosse um usuário comum. Em situações normais, a codificação impediria que esses dados fossem divididos.

Ainda não se sabe se outros aplicativos foram afetados, mas os chamados SDKs interativos de voz, vídeo e mensagens da Agora.io estão incorporados em aplicativos móveis, da web e de desktop em mais de 1,7 bilhão de dispositivos em todo o mundo. A McAfee recomenda fortemente a qualquer equipe de desenvolvimento que use o Agora SDK para o atualizar para a versão mais recente, pois os recursos de segurança avançados permitem que os desenvolvedores criptografem as chamadas.

A empresa reforça que esse tipo de falha é raro, mas que o número de ataques cibernéticos disparou durante o isolamento social. O parâmetro utilizado para defender essa tese é o de ameaças por minuto. Em setembro, a companhia registrou 10 mil ameaças a sistemas por minuto, contra aproximadamente 300 no período pré-pandemia.

“As tentativas de fraudes estão ligadas a vulnerabilidades no acesso à internet, em redes que não são privadas e ao uso de aplicativos de transações financeiras, como bancos. A fraude é bastante sofisticada e os dados podem ser interceptados”, explica Paula Xavier, chefe de marketing da fabricante na América Latina.

Vale sempre ressaltar os cuidados que devem ser tomados no ambiente on-line, no uso de qualquer aplicação. Entre eles, estão a utilização de redes Wi-Fi privadas, o alerta ao usar as VPNs (redes privadas virtuais), a atenção aos chamados “e-mails de phishing” — aqueles que parecem legítimos, mas que na realidade possuem o objetivo de obter informações pessoais –, e o monitoramento constante de contas bancárias. Quanto antes identificar uma fraude, maior a chance de mitigar os possíveis danos.