Um engenheiro de ciência da computação da Michigan State University tem um conselho para os milhões de proprietários de bitcoins que usam aplicativos de smartphone para gerenciar sua criptomoeda: não. Ou, pelo menos, tenha cuidado. Pesquisadores da MSU estão desenvolvendo um aplicativo móvel para atuar como uma proteção para aplicativos de “carteira” populares, mas vulneráveis, usados para gerenciar criptomoedas.
“Mais e mais pessoas estão usando aplicativos de carteira bitcoin em seus smartphones”, disse Guan-Hua Tu, professor assistente na Faculdade de Engenharia da MSU que trabalha no Departamento de Ciência da Computação e Engenharia. “Mas esses aplicativos têm vulnerabilidades.”
Os aplicativos de carteira para smartphone facilitam a compra e o comércio de criptomoedas, uma moeda digital relativamente nova que pode ser difícil de entender em quase todos os aspectos, exceto em um: é claramente valioso. Bitcoin era a criptomoeda mais valiosa na época em que este livro foi escrito, com um bitcoin valendo mais de $ 55.000.
Mas Tu e sua equipe estão descobrindo vulnerabilidades que podem colocar em risco o dinheiro e as informações pessoais do usuário. A boa notícia é que a equipe também está ajudando os usuários a se protegerem melhor, aumentando a conscientização sobre esses problemas de segurança e desenvolvendo um aplicativo que aborda essas vulnerabilidades.
Os pesquisadores apresentaram esse aplicativo – o retificador de segurança Bitcoin – em um artigo publicado para a Conferência da Association for Computing Machinery sobre Segurança e Privacidade de Dados e Aplicativos. Em termos de conscientização, Tu quer ajudar os usuários de carteiras a entender que esses aplicativos podem deixá-los vulneráveis ao violar um dos princípios centrais do Bitcoin, algo chamado descentralização.
Bitcoin é uma moeda que não está vinculada a nenhum banco central ou governo. Também não há um servidor de computador central que armazene todas as informações sobre contas bitcoin, como quem possui quanto.
“Existem alguns aplicativos que violam esse princípio descentralizado”, disse Tu. “Os aplicativos são desenvolvidos por terceiros. E eles podem permitir que seu aplicativo de carteira se conecte ao servidor proprietário que então se conecta ao Bitcoin.”
Em essência, o Bitcoin Security Rectifier pode apresentar um intermediário que o Bitcoin omite por design. Os usuários geralmente não sabem disso e os desenvolvedores de aplicativos não são necessariamente comunicativos.
“Mais de 90% dos usuários não sabem se sua carteira está violando esse princípio de design descentralizado com base nos resultados de um estudo de usuário”, disse Tu. E se um aplicativo violar esse princípio, pode ser um grande risco de segurança para o usuário. Por exemplo, pode abrir a porta para um desenvolvedor de aplicativos sem escrúpulos simplesmente pegar o bitcoin de um usuário.
Tu disse que a melhor maneira de os usuários se protegerem é não usar um aplicativo de carteira para smartphone desenvolvido por desenvolvedores não confiáveis. Em vez disso, ele incentiva os usuários a gerenciar seu bitcoin usando um computador – não um smartphone – e recursos encontrados no site oficial do Bitcoin, bitcoin.org. Por exemplo, o site pode ajudar os usuários a tomar decisões informadas sobre aplicativos de carteira.
Mas mesmo carteiras desenvolvidas por fontes confiáveis podem não ser totalmente seguras, e é aí que entra o novo aplicativo.
A maioria dos programas de smartphone é escrita em uma linguagem de programação chamada Java. Os aplicativos de carteira Bitcoin usam uma biblioteca de código Java conhecida como bitcoinj, pronunciada “bitcoin jay”. A própria biblioteca tem vulnerabilidades que os cibercriminosos podem atacar, como a equipe demonstrou em seu artigo recente.
Esses ataques podem ter várias consequências, incluindo o comprometimento das informações pessoais do usuário. Por exemplo, eles podem ajudar um invasor a deduzir todos os endereços de Bitcoin que os usuários de carteira usaram para enviar ou receber bitcoin. Os ataques também podem enviar cargas de dados indesejados a um usuário, esgotando as baterias e potencialmente resultando em pesadas contas de telefone.
O aplicativo de Tu é projetado para funcionar ao mesmo tempo no mesmo telefone que uma carteira, onde monitora sinais de tais intrusões. O aplicativo alerta os usuários quando um ataque está acontecendo e fornece soluções com base no tipo de ataque, disse Tu. Por exemplo, o aplicativo pode adicionar “ruído” às mensagens de saída de Bitcoin para evitar que um ladrão obtenha informações precisas.
“O objetivo é que você possa baixar nossa ferramenta e ficar livre desses ataques”, disse Tu.
A equipe está atualmente desenvolvendo o aplicativo para telefones Android e planeja tê-lo disponível para download na loja de aplicativos do Google Play nos próximos meses. Atualmente não há cronograma para um aplicativo para iPhone por causa dos desafios e restrições adicionais impostos pelo iOS, disse Tu.
Nesse ínterim, Tu enfatizou que a melhor maneira de os usuários se protegerem das inseguranças de uma carteira bitcoin de smartphone é simplesmente não usar uma, a menos que o desenvolvedor seja confiável.
“A principal coisa que quero compartilhar é que, se você não conhece bem os aplicativos de carteira do seu smartphone, é melhor não usá-los, pois qualquer desenvolvedor – malicioso ou benigno – pode carregar seus aplicativos de carteira no Google Play ou na Apple App Store, ” ele disse.
