Carregar seu celular em qualquer USB pode ser perigoso

Você já deve ter ficado nesta situação: a bateria do seu celular estava acabando e para completar, estava sem o carregador. E claro, esse tipo de coisa só acontece quando

Você já deve ter ficado nesta situação: a bateria do seu celular estava acabando e para completar, estava sem o carregador. E claro, esse tipo de coisa só acontece quando você precisa continuar conectado, seja para responder um e-mail, mensagem de texto ou ligação importante.

A reação esperada é procurar por uma fonte de eletricidade – seja uma porta USB. Mas isso é seguro? Não. Na verdade, pode ser bem perigoso: por meio de conexão USB alguém pode roubar arquivos, infectar seu celular com algum malware ou até mesmo inutiliza-lo.

Cadeira elétrica
Antes de falarmos dos ladrões, temos que pontuar que nem toda eletricidade é boa para seu celular. A internet está cheia de reclamações, originárias de usuários que tentaram carregar seus celulares caros com carregadores diferentes do original. Em alguns casos, o aparelho parou de funcionar completamente. Em casos ainda mais bizarros, pessoas segurando o telefone terminaram seriamente machucadas ou até mortas.

Infelizmente, esses casos são mais do que fatalidades. Por exemplo, ano passado, encontramos um dispositivo adequadamente nomeado de USB Killer (Assassino por USB). Continha uma quantidade impressionante de capacitores, agrupados na carcaça de um pendrive, que descarregava 220V na porta USB. Essa tensão no mínimo destruiria a porta, podendo até fritar a placa mãe do computador. Acho que ninguém quer testar a durabilidade do celular desse jeito.

Só uma espiadinha em seus arquivos
Segundo, entradas USB foram projetadas não só para carregar a bateria, mas também para transferir arquivos. Por isso, quando um dispositivo é conectado à uma porta USB, oferece a oportunidade de acesso e transmite alguns dados. Os celulares com os dados menos protegidos são do sistema operacional Android 4.x ou inferior – conectam-se por meio de MTP (Media Transfer Protocol) por definição, expondo todos os arquivos do dispositivo.

Em média, são mais de 100 kilobytes de dados para informar o sistema sobre o celular e seus arquivos, isso equivale ao e-book de Alice no País das Maravilhas.

Bloquear o celular o poupará dessa exposição, mas, seja honesto, você para de usar o celular enquanto ele carrega? Ou você desconecta o celular do USB quando recebe uma mensagem?

Agora, vamos dar uma olhada nos dados que são transmitidos para a entrada USB mesmo quando o celular está bloqueado. A quantidade varia conforme plataforma e sistema operacional do dispositivo, mas, nesse caso, são dados não muito sensíveis: nome do dispositivo, fabricante e número de série.

Acesso total e muito mais
Pode-se pensar que a transmissão de dados não é nada demais, mas o problema – que descobrimos analisando informações disponíveis de uma dos fabricantes – é que a invasão vai além do permitido pelo sistema.

Como isso é possível?

Tudo ocorre por meio de um sistema de comandos chamados comandos-AT. Esses foram desenvolvidos há algumas décadas para viabilizar a comunicação com PCs modernos. Mais tarde, o conjunto foi incluído no padrão GSM. Hoje, o suporte existe em todos os smartphones.

Para se ter uma ideia do que pode ser feito pelos comando-AT: permitem que o hacker acesse seu número de telefone e baixe os contatos armazenados no cartão SIM. Ele pode ainda ligar para qualquer número, mandando a conta para você. (Caso você esteja em roaming, uma ligação dessas pode esvaziar seu bolso rapidinho.) A depender do fabricante, esse modo também pode viabilizar acesso para instalar qualquer tipo de aplicativo – até maliciosos.

E tudo isso mesmo com seu celular bloqueado!

Para resumir: lembre-se que nunca dá para saber o que está do outro lado da porta USB. Uma entrada pode ser um sistema de coleta de dados sobre os dispositivos que ali já se conectaram, uma fonte de energia com falhas, um capacitor ou um computador que instalará uma entrada alternativa no seu dispositivo. Simplesmente não há como saber antes de conectar seu aparelho, então, não faça isso.

Dicas