Tech by VICE

​Como se proteger das torres espiãs de celulares

Comprados pelo exército brasileiro para a Rio 2016, os StingRays têm possibilidade de acesso irrestrito aos nossos celulares. Eis como impedi-los.

por João Paulo Vicente
09 Agosto 2016, 5:35pm

Comprados pelo exército brasileiro para a Rio 2016, os StingRays têm possibilidade de acesso irrestrito aos nossos celulares. Eis como impedi-los. Crédito: Wikimedia Commons

Enquanto os três meninos do meu prédio acharam no Pokémon uma razão para se unir, alguns adultos do Rio de Janeiro se organizam para outro tipo de caçada via celular: ir às ruas para verificar se a segurança brasileira usa ou não IMSI Catchers – também chamados de torres espiãs de celulares.

Caso você não esteja a par, cabe a explicação: IMSI Catchers, ou cell site simulators, são dispositivos que se passam por torres de celulares e capturam dados de identificação e informações de todos os aparelhos utilizados em sua área de efeito. Se estiver em posse da versão mais avançada, quem detem tal tecnologia consegue ter acesso irrestrito a qualquer celular da área. São, a bem dizer, verdadeiras ferramentas de vigilância em massa.

No fim de julho, tivemos a confirmação de que o Exército tem acesso a tais aparelhinhos – de nome StingRay, os mais famosos –, ainda que a utilização não tenha sido detalhada pelo grupo. "Os StingRays aproveitam uma falha na maneira como as comunicações por celulares são feitas", comenta Lucas Teixeira, do Coding Rights, organização de defesa de direitos humanos na internet. "A antena de celular que intermedia sua chamada autentica você, mas você não autentica a antena. E não há muito interesse em mudar esse padrão."

Com modelos de capacidades variada, pouca transparência no uso e potencial devastador, os StingRays são meio assustadores. Mas não são invencíveis. É uma briga meio de Davi e Golias, mas com um pouco de disposição há modos de evitá-los – ou de, pelo menos, saber onde estão sendo usados.


Um dos modelos de StingRay. Crédito: Reprodução

Em resumo, para os ativistas sociais ou para quem não quer ter sua vida bisbilhotada, as saída são duas: utilizar um celular desenvolvido com foco na criptografia ou bulinar seu aparelho até que ele rode alguns aplicativos de detecção de Cell Site Simulators. Caso seu bolso esteja cheio e a hora de fazer o rodízio de celular tenha chegado, as principais opções são o CryptoPhone 500 e o BlackPhone.

Disponível no Brasil por cerca de RS 12 mil, o primeiro é produzido por empresa alemã e foi usado em uma pesquisa que identificou 17 IMSI Catchers nos Estados Unidos em 2014. Mais robusto e caro, o CryptoPhone é voltado para o público corporativo, a galera doBlackBerry. O BlackPhone, por sua vez, tem um desenho mais moderno e usabilidade simples. No entanto, não é vendido (oficialmente) no Brasil. Saí por US$ 800 doletas na gringa e, a fabricante garante que funciona sem problemas por aqui.

Ambos utilizam o Android como sistema operacional. A plataforma da Google, aliás, também é o único ambiente onde os apps de detecção rodam - nesse caso, os StingRays só são detectados mesmo e o único jeito de evitá-los é sair fora. São dois os mais populares e utilizados: AIMSICD (Android IMSI Catcher Detector) e Snoopsnitch (que eu não posso perder a chance de traduzir como "pega cagueta").

O AIMSICD tem uma interface mais amigável e pode ser instalado em qualquer aparelho que rode uma versão superior ao Android 4.1. O app é grátis e precisa ser baixado da F-Droid, uma loja de aplicativos alternativa ao GooglePlay que seleciona sua oferta com base em alguns critérios de privacidade e segurança de informações. Para habilitar a F-Droid, é preciso permiter o download de aplicativos de plataformas desconhecidas nas consfigurações do aparalho e, em seguida, fazer a instalação na mão. Nada muito complicado.

Apesar de mais acessível, o AIMSICD não é tão abrangente e confiável quanto o SnoopSnitch, justo pelo motivo que torna o uso deste complicado. Para instalar o SnoopSnitch (baixado gratuitamente do GooglePlay), é precisa acessar na marra o root do dispositivo – as configurações ocultas de cada aparelho que, em teoria, não deveriam ser modificadas. (Aqui há uma série de tutorias em inglês para ganhar acesso ao root, mas se você não confiar na sua capacidade de fazer isso bem, é melhor nem tentar.) Além disso, o SnoopSnitch requer um modem Qualcomm para funcionar. A SRLabs, criadora do aplicativo, fez uma lista com celulares em que ele já rodou sem problemas.

Caso nada disso seja possível, uma última alternativa é o bom e velho cuidado e atenção. Os modelos mais antigos de ISMI Catchers forçam os celulares a se conectarem à redes 2G – algo raro hoje em dia, então vale prestar atenção. Alguns aparelhos também permitem configuração que exclui conexões com redes mais antigas. Nada disso vai proteger de um Cell Site Simulator super moderno, mas vale ficar esperto.

Então é isso. Se os bichinhos virtuais não forem o seu lance, esse pode ser seu novo hobby nas próximas semanas. Caso dê resultado, com certeza vai ter que correr muito mais do que se tivesse atrás de um Pidgey ou Zubat.