Michael Zandi*

Depois de horas dirigindo e caminhando ao longo de uma cordilheira em um parque estadual, eu encontrei um local bem isolado para acampar no meio da floresta. Três estados longe de casa e nem mesmo em uma trilha visível, eu estava pronto para um relaxamento bem merecido onde ninguém poderia me encontrar.

Ninguém, exceto o rastreador GPS na minha mochila.

Do tamanho de um isqueiro Zippo, o dispositivo tinha observado toda a minha viagem, usando GSM para enviar periodicamente informações de localização para servidores de backend para leitura posterior. E isso é apenas a funcionalidade básica. Se alguém soubesse o número de telefone e o PIN de autenticação (o padrão superseguro de 123456), poderia ajustar outras configurações do dispositivo e até mesmo ligar para escutar conversas usando o microfone do dispositivo.

Tudo isso me custou cerca de US$ 20 para o dispositivo e US$ 25 para um SIM pré-pago de 2G.

Rastreamento x Espionagem: um mundo de diferença

Entre no mundo dos dispositivos de espionagem com GPS para consumidores finais. Graças à onipresença da rede celular e aos chips de rádio baratos do GPS, há uma ampla gama de rastreadores prontos para uso em animais de estimação, veículos e quase qualquer outra coisa que possa se mover. Alguns se conectam ao computador de bordo do carro, alguns vêm com coleiras para cães ou gatos, outros têm ímãs para prender na parte inferior de um veículo, mas quase todos são projetados para serem pequenos e ocultáveis.

Há também muita variedade de custos, desde dispositivos de baixo custo que exigem a compra de um cartão SIM até serviços de assinaturas mais sofisticados e gerenciados que custam centenas de dólares.

Mas eu não estava tão interessado em uma pesquisa de mercado quanto na privacidade do usuário. Como outros técnicos de vigilância, esses rastreadores podem ser facilmente usados de forma errada ​​enquanto seus fabricantes se escondem atrás do escudo do uso duplo: “Nossos produtos são apenas para uso estritamente legal por cidadãos de bem!”, eles defendem. “Nós simplesmente não temos controle se as pessoas fazem o uso errado!”

As perguntas que gostaria de examinar neste texto são:

· Como esses dispositivos estão sendo usados?

· O quanto eles são uma ameaça de privacidade para o consumidor médio?

· Como você pode saber se está sendo acompanhado por um GPS?

Em vez de apresentar uma pesquisa com todos os dispositivos disponíveis, vamos começar a investigar um deles para ter uma ideia mais clara de como essas coisas funcionam – e como elas podem (possivelmente) ser usadas contra você.

Ataque dos clones TK102

Eu encontrei o rastreador mais barato que não parecia ser pirata e comecei minha pesquisa, descobrindo rapidamente que o dispositivo de má qualidade que eu comprei era provavelmente um dos zilhões de genéricos de um original mais popular. Embora no começo eu tenha me perguntado se tinha sido enganado: o espião do tamanho de um pager fez o que anunciava, se você pacientemente o manipulasse de acordo com o manual.

Por curiosidade, comprei mais rastreadores que pareciam idênticos, mas pareciam ser de diferentes vendedores e fabricantes. Depois de comparar o conteúdo do pacote, os manuais, os recursos, a sintaxe de comando, o design do case, a construção do PCB e o código de alocação de tipo (TAC) do fabricante no IMEI de cada dispositivo, percebi que cada rastreador que eu havia comprado vinha da mesma linha de montagem. As únicas diferenças reais eram as configurações iniciais e o logotipo do vendedor.

Estudando o TAC e o aplicativo Android associado, cheguei à aparente origem dos meus rastreadores:

Após essa inspeção básica, recorri ao teste de recursos: ele realmente faz o que afirma? Inseri um cartão SD, um cartão SIM ativo e liguei o dispositivo. Depois de alguns minutos de conexão com a rede e de conseguir um bloqueio de GPS, ele estava respondendo aos comandos do SMS: entregando a última latitude/longitude do dispositivo com um link útil do Google Maps para o local e aceitando várias alterações nas configurações.

Com a ajuda de um amigo, mudei para o modo de monitor de áudio, liguei para o dispositivo e ouvi a conversa de teste, vigiada com o consentimento da minha “cobaia”. Ativei o modo “log-to-SDCard”, levei o aparelho em um passeio de bicicleta, carreguei o arquivo GPX resultante no Google Earth e observei como ele rastreava meu passeio à tarde. Ativei o upload de dados do dispositivo, fiz tarefas pela cidade e repassei minhas viagens pelo portal do vendedor. Deu trabalho, mas funcionou.

Curiosamente, o dispositivo permite especificar um servidor personalizado para o upload de dados, em vez do padrão. Configurando o dispositivo para apontar para um controle VPS I, configurando um proxy transparente para encaminhar para o servidor padrão e executando uma captura de pacote, eu poderia dar uma olhada no que o GPS estava mandando para casa com a conexão de dados GSM.

Com certeza, suas atualizações regulares continham o ID do dispositivo, latitude/longitude, possivelmente uma velocidade e outras informações não identificadas. Em uma estranha reviravolta do destino, esse recurso poderia fortalecer a privacidade de pessoas que querem se localizar e ainda manter o controle de seus próprios dados de localização histórica, acompanhando suas corridas ou trilhas sem ter de entregar esses dados a terceiros.

Design com vazamento

Esse dispositivo era assustador o suficiente, considerando seu pequeno tamanho, corpo magnético e estojo de vinil que parecia dizer “Me coloque debaixo do carro de alguém.” (qualquer semelhança com Breaking Bad é coincidência, será?). Mas, surpreendentemente, o potencial de invasão de privacidade se estende para além de quem o está controlando e o vendedor que hospeda os dados.

Em primeiro lugar, os dados enviados quando o dispositivo se conectou com a base não foram criptografados. Qualquer pessoa que pudesse observar os dados enquanto viajava pela internet até o servidor de back-end poderia extrair o local e a velocidade do rastreador. Pior ainda, parecia não haver autenticação do tráfego ou da identidade de nenhuma das partes. Isso pode permitir que terceiros modifiquem e insiram dados em um ataque MITM, falsificando informações de localização do rastreador ou falsificando comandos do rastreador para o servidor. Mas isso é apenas o começo.

O portal da eb desse serviço em particular nem era compatível com criptografia. Novamente, qualquer pessoa que possa ver o tráfego pode ver o que o usuário viu e, claro, identificar suas credenciais de login.

Mas as credenciais em si eram o que me preocupava. O login aceita um número de identificação do rastreador e um PIN para efetuar login, com a senha padrão do sendo 123456 (!). O número de identificação é de pelo menos 12 dígitos, o que deve dificultar a adivinhação. No entanto, nos três dispositivos que comprei, os últimos 11 dígitos do ID eram idênticos aos 11 últimos dígitos do IMEI, o que possibilitaria usar força bruta para descobrir os IDs.

Para quem não sabe, um IMEI é dividido em duas seções principais: o código de alocação de tipo (TAC) e o número de série definido pelo fabricante. Os primeiros oito dígitos são o TAC, que essencialmente descreve qual entidade fabricou o dispositivo. Os números restantes são seis dígitos em série atribuídos pelo fabricante, seguidos por um dígito de verificação Luhn computado de todos os dígitos anteriores do IMEI. Como qualquer pessoa que tenha comprado um dispositivo (ou visualizado imagens do produto na Amazon) saberia pelo menos um dos TACs usados, isso deixa apenas o número de série de 6 dígitos que o fabricante controla junto a um dígito de verificação fácil de calcular.

Efetivamente, uma verificação de força bruta para os PINs padrão de todos os dispositivos com o mesmo TAC que um TAC conhecido leva a um mísero teste de 1.000.000 de tentativas. Como aprendemos com o malware Mirai, as pessoas também não fazem um ótimo trabalho ao alterar as senhas padronizadas.

No geral, a falta de opções de design ​​não inspira exatamente a confiança na capacidade do sistema de proteger os valiosos dados de localização do GPS do usuário.

Quando o uso duplo implica abuso

Algo que me surpreendeu foi como alguns dos usos anunciados que encontrei de vários rastreadores são plausíveis e inócuos. Se eu estivesse operando uma agência de reboque ou serviço de táxi, poderia rastrear meus veículos em tempo real para despacho. Como consumidor, eu poderia rastrear um drone caro como um seguro contra sua perda, ou ficar de olho em um animal de estimação amado, se ele tivesse um jeito de escapar. Eu poderia até mesmo rastrear minha bicicleta, caso ela fosse roubada.

E, seguindo para o próximo nível de rastreamento do mundo real, eu poderia até rastrear pessoas. Certamente é possível entender os desejos de uma família de cuidar ou vigiar um parente idoso com demência ou uma criança pequena com o hábito de perambular em ambientes lotados. Muitas pessoas até têm relacionamentos em que se sentem bem com o fato de outras pessoas sempre serem capazes de ver onde estão, como o chefe no trabalho, membros da família, amigos ou até mesmo parceiros.

Mas há uma linha tênue entre o amor e a obsessão, e é aí que surge o lado feio e sombrio dessa tecnologia. É provável que muitos fabricantes estejam bem cientes de que seus produtos podem sofrer abuso em situações domésticas, por exemplo, no caso de um parceiro controlador que monitora obsessivamente o paradeiro do cônjuge. Mas, para tornar seu produto comercialmente viável, eles preferem usar o produto como sendo perfeito para rastrear Rex, caso ele escape do parque para cães.

Até certo ponto, não há nada que um fabricante ou varejista possa fazer a respeito de alguém abusar de seus produtos – embora, se quiserem, possam projetá-los a partir do zero para tornar isso mais difícil de fazer. Outros fabricantes, no entanto, parecem mais entusiasmados com o fato de que eles podem ajudar pessoas a espionarem seus cônjuges (supostamente infiéis) sem o consentimento deles.

Enquanto a maioria dos vendedores evita o estilo “espione seu parceiro” de marketing e simplesmente deixa o comprador para fazer essa conexão, a empresa SpyTec International, sediada atualmente em Nova York promove e anuncia diretamente seus produtos especificamente para esse tipo de uso. Suas descrições de produtos explicitamente anunciam a adequação para rastreamento de cônjuges e parceiros sem o consentimento deles (veja as figuras 6 e 7 abaixo). As revisões dos rastreadores por GPS geralmente descrevem o sucesso em perseguir os cônjuges, oferecem acessórios para ocultar melhor seus rastreadores e até dedicam uma página (arquivada) a esse tipo de uso.

Considerando a prevalência de rastreadores de smartphones em situações de abuso doméstico, esse tipo de modelo de negócio é preocupante e tem contribuído de forma viável para abusos além da mera invasão de privacidade.

Encontrar rastreadores GPS: um guia de utilidade pública

Infelizmente, não há dispositivos mágicos e fáceis de usar que possam dizer se há um rastreador de GPS ou um bug de áudio perto de você (e sim, todos nós já fomos enganados pelos filmes). Mas saber o que procurar pode ajudar a detectar um rastreador em uma inspeção. Além disso, saber sua situação e possíveis ameaças à segurança é crucial para avaliar se você corre o risco de ser rastreado dessa forma e, em caso afirmativo, quais métodos podem ser usados.

Primeiro, você deve fazer algumas perguntas difíceis para avaliar se corre o risco de ser acompanhado por alguém. Existem pessoas ou grupos específicos que se interessariam por onde você vai? Quais recursos eles têm para descobrir isso? Até que ponto você está perto deles e eles já têm acesso a partes da sua vida?

A maioria de nós já carrega um rastreador GPS pessoal conosco a todos os lugares que vamos na forma do nosso smartphone, que deixa um rastro de dados. Na outra ponta, a sua operadora de celular sabe aproximadamente onde você está, a qualquer momento, com base em onde o smartphone está, e pode vender essas informações a terceiros.

Um invasor (ou cônjuge desconfiado) também pode instalar spyware em seu smartphone, embora isso normalmente exija que ele tenha acesso físico ao seu telefone desbloqueado, ou essa pessoa poderia coagi-lo ou manipulá-lo para instalar um aplicativo de rastreamento “mais amigável”. Na falta de tudo isso, há sempre a opção de simplesmente segui-lo e arriscar ser notada ou de pagar centenas ou milhares de dólares para que um investigador particular faça o trabalho sujo.

Assim, o principal argumento de venda para usar um desses rastreadores GPS seria se um stalker não quisesse ser notado, não conseguisse instalar aplicativos no seu telefone, mas tivesse algum tipo de proximidade física com você, mesmo que apenas temporariamente. Explico melhor: é rápido e fácil colocar um rastreador em uma bolsa ou anexá-lo à parte de baixo de um carro. O dispositivo pode funcionar por semanas sem precisar ser recarregado e custaria apenas algumas centenas de dólares, no máximo.

Estou sendo rastreado?

A boa notícia é que, se você souber o que está procurando, terá uma boa chance de sucesso ao descobrir um desses dispositivos colocados em sua proximidade física. O menor desses dispositivos é só um pouco menor que um pager, e eles serão maiores se tiverem baterias grandes para uma vida útil mais longa, ímãs embutidos ou um estojo rígido.

Logicamente, eles também só serão colocados onde forem úteis: ao alcance da voz de conversas interessantes ou sobre coisas que viajam com você com frequência. Isso significa que procurá-los fisicamente pode ser eficaz, estejam eles escondidos em um casaco ou bolsa, deixados em um porta-luvas, no console central ou presos a um veículo.

Dedicar um tempo para se familiarizar com a parte inferior, o compartimento do motor e os para-choques do seu carro pode ajudá-lo a identificar um dispositivo recém-colocado, ao fazer sua vistoria. Algum tipo de inspeção de veículos pode tornar esse processo mais fácil. Em geral, se ele estiver preso ao seu carro com ímãs em vez de parafusos e puder ser removido com algum puxão, não é para estar lá. Ser proativo e restringir o acesso ao seu veículo quando possível também pode ajudar a evitar que bugs sejam colocados.

Acho que estou sendo rastreado. O que eu faço?

Se você suspeitar que está sendo rastreado sem o seu consentimento, isso não é normal e sentir-se traído é uma reação comum e razoável. Se você encontrar um dispositivo de rastreamento, antes de tocá-lo, pense em quem o colocou lá, quais poderiam ser suas motivações e qual seria sua resposta mais estratégica a essa descoberta.

Sua reação inicial pode ser remover e destruir o dispositivo ou escondê-lo em algum lugar para deixar um rastro falso, mas tenha muita cautela antes de seguir esse caminho. Pode ser muito mais arriscado (para sua própria segurança) remover o dispositivo e alertar quem está rastreando você para o fato de ter descoberto o bug dele. Faça um favor a si mesmo, respire profundamente algumas vezes e deixe o dispositivo por enquanto, enquanto dedica algum tempo para descobrir quem pode estar incomodado você e por quê.

Existem dispositivos no mercado que podem detectar os tipos de bugs que usam o GSM para se comunicar, mas são caros e podem exigir treinamento para uso adequado. Se você tiver um e estiver usando-o pela primeira vez, lembre-se de remover qualquer outro dispositivo GSM da área para evitar simplesmente detectar o celular no bolso. Lembre-se de que todos os rastreadores também usam acelerômetros para dormir quando não estão em movimento, o que poderia significar que o teste teria de acontecer enquanto o carro em questão estivesse em movimento.

Em última análise, se você descobrir que está sendo monitorado sem o seu conhecimento ou consentimento e sentir que pode estar em perigo de qualquer tipo (físico ou mental), é hora de conversar com amigos, familiares, um advogado ou lançar mão de outros recursos de apoio para lidar com a situação em questão. Lidar com uma quebra de confiança é difícil, mas fazer isso sozinho é muito pior.

Michael Zandi, da Cylance