O resultado final questionou a efetividade da lista negra de PINs e das senhas de 6 dígitos.
Por Milena Garcia, para o TechTudo
Um grupo de pesquisadores adotou um método curioso para verificar a efetividade da segurança do bloqueio presente no iPhone (iOS). A ideia foi desenvolver um robô utilizando blocos de Lego e um cérebro baseado no Raspberry Pi com câmera acoplada para testar todas as combinações de números possíveis no celular e, assim, identificar “manualmente” quantas e quais seriam as possibilidades consideradas fracas pela Apple.
O objetivo final do teste era avaliar se a existência de uma lista restrita é de fato melhor para a segurança do dispositivo. Os cientistas também avaliaram se os PINs de seis dígitos oferecem maior proteção que os de quatro dígitos.
/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2020/D/a/Au7r0YT7G6fj3z33zspA/this-pin-can-be-easily-guessed-reproducao.jpg "O robô foi construído a partir de blocos de Lego e um Raspberry Pi — Foto: Reprodução/This PIN Can Be Easy")
O robô foi construído a partir de blocos de Lego e um Raspberry Pi — Foto: Reprodução/This PIN Can Be Easy
Ao tentar utilizar 0000 ou 0011 como senha de um aparelho, por exemplo, o iOS exibe uma mensagem avisando ao usuário de que este seria um código fácil de adivinhar. Foi pensando nisso que os cientistas Philipp Markert, Daniel V. Bailey, Maximilian Golla, Markus Dürmuth e Adam J. Aviv tiveram a ideia de contar com a ajuda de um robô capaz de descobrir quais seriam as outras combinações barradas.
Para fazer isso, o pequeno robô conecta um teclado USB ao iPhone de destino, insere diferentes códigos de PIN em ordem decrescente de probabilidade e tira fotos da tela registrando o resultado obtido, ou seja, se a senha foi bloqueada ou não. Em seguida, essa imagem é encaminhada a um servidor responsável por contabilizar os dados.
Foram testadas 10 mil possibilidades para códigos de quatro dígitos e 1 milhão para códigos de seis dígitos. Destas, 274 e 2.910 foram consideradas fáceis de adivinhar, respectivamente.
De acordo com os pesquisadores, a lista restrita utilizada pela Apple é muito pequena e, por isso, oferece pouco ou nenhum benefício em relação à segurança dos aparelhos. Além disso, é possível que o usuário escolha utilizar determinada combinação mesmo após receber o aviso de que este seria um PIN fraco. “Os ganhos de segurança são observados apenas quando as listas assim são muito maiores, o que, por sua vez, acarreta um aumento da frustração do usuário”, afirmaram os cientistas.
/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2020/a/v/PqP9mTS8ibnOnjjwwomQ/apresentacao-sem-titulo.jpg "Lista negra de PINs considerados fáceis de advinhar pela Apple. — Foto: Reprodução/Milena Garcia")
Lista negra de PINs considerados fáceis de advinhar pela Apple. — Foto: Reprodução/Milena Garcia
Quanto ao número de dígitos contidos em cada PIN, também não foram observadas grandes benefícios de segurança. Isso porque, paralelamente ao experimento do robô, os pesquisadores também realizaram testes em um grupo de 1.220 pessoas durante um período de três semanas. “Nosso estudo constatou que há pouco benefício em PINs de 6 dígitos mais longos em comparação aos PINs de quatro dígitos. Os participantes tenderam a selecionar PINs de seis dígitos mais fáceis de adivinhar”, concluem.
Vale a pena ressaltar que a segurança dos dispositivos Apple não é feita apenas através dos códigos PIN. Desde o ano de 2018, a marca tem apostado fortemente nos recursos de biometria e reconhecimento facial, intitulado de Face ID, para garantir maior proteção aos donos de iPhone.
