Na semana passada, um usuário do Reddit chamado Divinux chamou atenção para uma vulnerabilidade encontrada em todos celulares que expõe a frase semente (seed phrase, em inglês) de sua carteira de criptomoedas. Desta forma, isso pode fazer com que você perca todas as suas criptomoedas.
A vulnerabilidade está relacionada ao mecanismo de previsão de texto, encontrado tanto em smartphones que usam Android quanto iOS. Sendo assim, quando você digita sua frase semente uma vez, a sequência de palavras ficará salva na memória do aplicativo nativo.
Claro que as chances disso ocorrer são baixas, afinal o atacante precisaria estar com seu celular em mãos, assim como adivinhar qual é a primeira palavra (existem 2048). Contudo, todo cuidado ainda é pouco quando o assunto é manter a segurança das suas criptomoedas.
O que são frases semente?
As frases semente, ou seed phrase em inglês, são uma alternativa ao uso de chaves privadas para acessar carteiras de criptomoedas. Proposta em 2013 e desde então usadas como um padrão da indústria, tais frases, que geralmente contém 12 ou 24 palavras, são mais fáceis de serem salvas e introduzidas do que as antigas chaves privadas.
Quanto a sua segurança, ainda é a mesma que do método antigo. Afinal tal frase é gerada a partir de uma lista de 2048 palavras e, desta forma, possui uma dificuldade de 2048 elevado na 12 potência (2048*2047*2046…).
Outra curiosidade é que a maioria das carteiras, independente de quais criptomoedas armazenem, utiliza a mesma lista criada para o Bitcoin através do BIP-39. Portanto, o alerta é dobrado caso você utilize uma mesma frase para armazenar diversas moedas.
Vulnerabilidade em celulares
Apesar das frases sementes serem ótimas e práticas, Divinux, um usuário do Reddit chamou atenção para uma vulnerabilidade encontrada tanto em celulares Android quanto iOS. Isso estaria ligado ao mecanismo de previsão de texto, que sugere a próxima palavra a ser digitada, baseado no seu histórico.
Portanto, como as carteiras pedem que você repita as 12 palavras após criar sua carteira, para ter certeza de que você as anotou, elas estarão salvas para sempre no seu aplicativo de teclado.
Para provar o seu ponto, Divinux sugere que as pessoas abram qualquer aplicativo de bate-papo (como WhatsApp e Telegram) e digitem a primeira palavra de sua frase semente. Segundo o mesmo, as outras aparecerão como sugestão da próxima palavra a ser inserida. É como digitar “tudo” e o aplicativo sugerir “bom”.
Apesar disso, o atacante não só precisaria estar com seu celular em mãos como também ter a sorte de acertar a primeira palavra das 2048 da lista. Sendo assim, mesmo sendo difícil ocorrer, o comentário de Divinux aponta que a vulnerabilidade é ainda maior para brasileiros.
“No meu caso, meu telefone não está em inglês, por isso adiciona automaticamente palavras digitadas ao dicionário, o que significa que meu dicionário personalizado contém palavras no meu idioma e 24 palavras em inglês”
Como limpar o histórico do teclado
Uma das soluções apontadas por Divinux é limpar o histórico do seu teclado, seja ele do Google, Samsung ou Apple. Desta forma, o teclado esquecerá essa combinação, assim como todo seu padrão de escrita.
O passo a passo pode ser encontrado nas páginas oficiais de tais empresas. Caso você seja usuário do aplicativo Gboard, consulte a página do Google, caso use o Samsung Keyboard, visite a página da Samsung e, por fim, visite o suporte da Apple caso use iPhone ou iPad.
