Uma nova descoberta de vulnerabilidade em SMS revelou que hackers têm a capacidade de rastrear a localização de usuários por meio de um sofisticado programa de machine learning, uma subárea da inteligência artificial (IA) que permite que sistemas computacionais aprendam e aprimorem a partir de experiências passadas.
O estudo, liderado pelo estudante de doutorado da Northeastern University, Evangelos Bitsikas, trouxe à tona uma brecha que pode ser explorada por invasores para localizar suas vítimas com base apenas em poucas informações. Especialistas alertam que líderes governamentais, ativistas, CEOs e outras figuras podem ser alvos em potencial.
Algoritmo permite rastreamento de usuários via SMS
Bitsikas e sua equipe desenvolveram um algoritmo capaz de rastrear a localização de usuários apenas com o número de telefone e acesso normal à rede. Isso ocorre porque o tempo de resposta das notificações automáticas de entrega de SMS cria uma “impressão digital” da localização do usuário, detectada pelo algoritmo.
A vulnerabilidade, até o momento, tem afetado principalmente sistemas operacionais Android; no entanto, não houve evidências de que hackers estejam utilizando a ferramenta. O estudante compartilhou seus resultados com a GSMA, uma organização global que supervisiona o ecossistema móvel, e foi informado de que serão adicionadas medidas para dificultar a exploração da falha.
Desafios na solução e busca por aprimoramento
Segundo Evangelos, fechar completamente a brecha exigiria uma revisão completa do sistema global de SMS, uma tarefa complexa e que demandaria tempo considerável. Além disso, os pesquisadores que realizaram o estudo possuem recursos limitados e não são especialistas em ciência de dados.
Ainda, ele ressalta que a questão não deve ser negligenciada, pois, mesmo com a implementação de contramedidas, hackers avançados e grupos com mais recursos podem buscar formas de explorar a falha. Por fim, informa que pretende continuar sua pesquisa para aprimorar a precisão do algoritmo de aprendizado de máquina utilizado na detecção da vulnerabilidade.
Imagem: Tero Vesalainen / Shutterstock.com