Por várias vezes deixamos a sugestão para trocar o PIN de acesso ao seu smartphone por uma palavra-passe com letras e números. Facilmente se consegue decorar um código de 4 ou mesmo de 6 números. Já o mesmo não acontece se o código tiver letras e números misturados. Claro, se tiver cuidado e marcar sem que ninguém veja, está salvo…. ou não!!! Isto porque com uma pequena peça de 2,5 euros, o seu PIN pode… ser descoberto em minutos.
PIN cada vez é menos seguro… evolua para maior segurança
Os PINs dos telemóveis são muito parecidos com as palavras-passe, na medida em que existem alguns muito comuns e outros muito fáceis de decifrar. Quantos dos que nos estão a ler e têm como PIN é o ano de nascimento? Ok, podem baixar as mãos que facilmente se percebeu que são mesmo muitos.
Existe uma pequena placa de desenvolvimento de microcontroladores que emular um teclado e consegue testar os 20 PINs de desbloqueio mais comuns num dispositivo Android.
O projeto baseia-se numa investigação que analisa a segurança dos PINs de 4 e 6 dígitos dos smartphones e que encontrou algumas semelhanças notáveis entre os códigos de desbloqueio escolhidos pelo utilizador.
Embora a investigação tenha alguns anos, o comportamento do utilizador em termos de escolha do PIN não deve ter mudado muito.
Bruteforcing PIN protection of popular app using $3 ATTINY85 #Arduino
Testing all possible PIN combinations (10,000) would take less than 1,5 hours without getting account locked. It is possible coz, PIN is limited only to 4 digits, without biometrics authentication#rubberducky pic.twitter.com/rbu9Tk3S9d
— Mobile Hacker (@androidmalware2) July 12, 2023
O hardware não é muito mais do que uma placa Digispark, uma pequena placa baseada em ATtiny85 com conetor USB incorporado e um adaptador. Uma vez ligado a um dispositivo móvel, executa uma forma de ataque de injeção de teclas, enviando automaticamente eventos de teclado para introduzir os PINs mais comuns com um atraso entre cada tentativa.
Assumindo que o dispositivo aceita, tentar todos os vinte códigos demora cerca de seis minutos. Claro, uma forma de proteção é desativar as ligações OTG (acrónimo para On-The-Go ou, também conhecido como Depuração USB) de um dispositivo. Com isso poderá evitar este tipo de ataque.
Ah, outra coisa é deixar se usar aqueles PINs de preguiça, do tipo “1111” ou “1234”… eventualmente um pior, o 0000.