O Serviço Federal de Processamento de Dados (Serpro) recorreu a um método perigoso para oferecer aos usuários a versão beta da CNH digital para smartphones Android. Para baixa-lo, os interessados têm de optar por uma opção que abre as portas do sistema operacional para arquivos maliciosos.
A Carteira Nacional de Habilitação eletrônica (CNH-e) será implantada aos poucos pelos Detrans nos próximos meses – o primeiro estado a receber é o de Goiás, em setembro. Chegará a outros estados a partir de fevereiro de 2018.
A versão que foi liberada é uma demonstração e mostra só uma CNH-modelo. Ou seja, dá uma ideia de como o sistema vai funcionar. O motorista não consegue “baixar” a CNH nele.
Apesar de ser oferecido para Android, esse app de testes não pode ser encontrado na Google Play. Para instalá-lo, o usuário tem de baixar um arquivo APK – esse formato é uma forma de compactar conteúdo executável apenas no Android.
Mas como esse download não é feito diretamente da loja oficial do Google, o usuário tem de configurar seu sistema para não rejeitar o aplicativo. É aí que pode morar o perigo. Ele tem de autorizar que o Android baixe aplicativos de “fontes desconhecidas”.
Iran Porto Júnior, diretor de operações e diretor-presidente em exercício do Serpro, comentou a escolha. “Foi um artifício que a gente encontrou de não tornar essa demonstração em uma versão disponível na loja e gerar confusão entre os usuários”.
“Obviamente, a gente está falando de um aplicativo desenvolvido por uma empresa de governo, que tem todos os requisitos de segurança”, diz ele. Ele diz conhecer os alertas do Google.
Quem baixa aplicativos fora do Google Play corre mais riscos, apontam dados levantados pelo Google. Um relatório da empresa sobre a segurança do Android mostra que, de todos os celulares que baixam aplicativos fora da loja oficial, 1,05% tinha algum aplicativo indesejado em 2016. Entre os aparelhos fiéis à Google Play, a cifra caia para 0,05%.
O Google descreve como programas exploram a brecha:
Aplicativos aparentemente inofensivos convencem o dono do telefone a ativar a mesma configuração solicitada para o download da demonstração da CNH Digital.
Depois disso, tentam confundir a vítima: afirmam ser necessária a instalação de um app para “atualizar o sistema” ou “corrigir problemas”. O instalado, no entanto, é um programa malicioso (vírus de resgate ou ladrões de senhas, por exemplo).
Se a configuração já tiver sido feita, os golpistas pulam essa etapa e levam a vítima diretamente para download e instalação do aplicativo malicioso.
Manter a configuração ativa deixa o celular mais exposto a esse tipo de ataque.
O Serpro elaborou um tutorial para ensinar os interessados a baixar o app beta. Esse passo-a-passo, no entanto, não orientava os usuários a desativar a configuração após fazerem o download.
O presidente em exercício da empresa pública diz que recebeu “feedbacks de usuários com essa preocupação” e vai incluir essa ressalva.
Para dificultar essa prática fraudulenta, o Google anunciou que a instalação de aplicativos a partir de fontes desconhecidas será transformada em uma permissão no Android 8.0 Oreo.
O aplicativo da carteira de motorista digital nem foi lançado e já fez muita gente procurá-lo nas lojas de aplicativos. Já está entre os mais buscados da App Store, a loja da Apple. Quando a versão oficial estiver disponível, será oferecida não só na App Store, mas também na Google Play. A expectativa do Serpro é alta.
“Cada pessoa que tem uma carteira de habilitação nova, já com aquele QR Code impresso, é um potencial usuário da habilitação digital. Hoje, todo mundo tem smartphone, então a gente tem um público em torno de 17 milhões por ano, que são as pessoas que emitem habilitações novas ou renovações”, diz Porto Júnior.
Fonte: G1