Alerta: Funcionalidade padrão em celulares pode fazer você perder todas suas criptomoedas

Apesar das frases sementes serem ótimas e práticas, Divinux, um usuário do Reddit chamou atenção para uma vulnerabilidade encontrada tanto em celulares Android quanto iOS. Isso estaria ligado ao mecanismo de previsão de texto, que sugere a próxima palavra a ser digitada, baseado no seu histórico.

Carteira de criptomoedas em celular.
Carteira de criptomoedas em celular.

Na semana passada, um usuário do Reddit chamado Divinux chamou atenção para uma vulnerabilidade encontrada em todos celulares que expõe a frase semente (seed phrase, em inglês) de sua carteira de criptomoedas. Desta forma, isso pode fazer com que você perca todas as suas criptomoedas.

A vulnerabilidade está relacionada ao mecanismo de previsão de texto, encontrado tanto em smartphones que usam Android quanto iOS. Sendo assim, quando você digita sua frase semente uma vez, a sequência de palavras ficará salva na memória do aplicativo nativo.

Claro que as chances disso ocorrer são baixas, afinal o atacante precisaria estar com seu celular em mãos, assim como adivinhar qual é a primeira palavra (existem 2048). Contudo, todo cuidado ainda é pouco quando o assunto é manter a segurança das suas criptomoedas.

O que são frases semente?

As frases semente, ou seed phrase em inglês, são uma alternativa ao uso de chaves privadas para acessar carteiras de criptomoedas. Proposta em 2013 e desde então usadas como um padrão da indústria, tais frases, que geralmente contém 12 ou 24 palavras, são mais fáceis de serem salvas e introduzidas do que as antigas chaves privadas.

Quanto a sua segurança, ainda é a mesma que do método antigo. Afinal tal frase é gerada a partir de uma lista de 2048 palavras e, desta forma, possui uma dificuldade de 2048 elevado na 12 potência (2048*2047*2046…).

Outra curiosidade é que a maioria das carteiras, independente de quais criptomoedas  armazenem, utiliza a mesma lista criada para o Bitcoin através do BIP-39. Portanto, o alerta é dobrado caso você utilize uma mesma frase para armazenar diversas moedas.

Vulnerabilidade em celulares

Apesar das frases sementes serem ótimas e práticas, Divinux, um usuário do Reddit chamou atenção para uma vulnerabilidade encontrada tanto em celulares Android quanto iOS. Isso estaria ligado ao mecanismo de previsão de texto, que sugere a próxima palavra a ser digitada, baseado no seu histórico.

Portanto, como as carteiras pedem que você repita as 12 palavras após criar sua carteira, para ter certeza de que você as anotou, elas estarão salvas para sempre no seu aplicativo de teclado.

Para provar o seu ponto, Divinux sugere que as pessoas abram qualquer aplicativo de bate-papo (como WhatsApp e Telegram) e digitem a primeira palavra de sua frase semente. Segundo o mesmo, as outras aparecerão como sugestão da próxima palavra a ser inserida. É como digitar “tudo” e o aplicativo sugerir “bom”.

Apesar disso, o atacante não só precisaria estar com seu celular em mãos como também ter a sorte de acertar a primeira palavra das 2048 da lista. Sendo assim, mesmo sendo difícil ocorrer, o comentário de Divinux aponta que a vulnerabilidade é ainda maior para brasileiros.

“No meu caso, meu telefone não está em inglês, por isso adiciona automaticamente palavras digitadas ao dicionário, o que significa que meu dicionário personalizado contém palavras no meu idioma e 24 palavras em inglês”

Como limpar o histórico do teclado

Uma das soluções apontadas por Divinux é limpar o histórico do seu teclado, seja ele do Google, Samsung ou Apple. Desta forma, o teclado esquecerá essa combinação, assim como todo seu padrão de escrita.

O passo a passo pode ser encontrado nas páginas oficiais de tais empresas. Caso você seja usuário do aplicativo Gboard, consulte a página do Google, caso use o Samsung Keyboard, visite a página da Samsung e, por fim, visite o suporte da Apple caso use iPhone ou iPad.

Compre Bitcoin na Coinext

Compre Bitcoin e outras criptomoedas na corretora mais segura do Brasil. Cadastre-se e veja como é simples, acesse: https://coinext.com.br.



Siga o Livecoins no Facebook, Twitter, Instagram e YouTube.
Henrique Kalashnikov
Formado em desenvolvimento web há mais de 20 anos, Henrique Kalashnikov encontrou-se com o Bitcoin em 2016 e desde então está desvendando seus pormenores. Tradutor de mais de 100 documentos sobre criptomoedas alternativas, também já teve uma pequena fazenda de mineração com mais de 50 placas de vídeo. Atualmente segue acompanhando as tendências do setor, usando seu conhecimento para entregar bons conteúdos aos leitores do Livecoins.

Últimas notícias