Topo

Anatel veta aparelho que clona radiofrequência e gera revolta: 'arbitrária'

Flipper Zero, dispositivo desenvolvido para interagir com sistema sem fio de controle de acesso - Divulgação
Flipper Zero, dispositivo desenvolvido para interagir com sistema sem fio de controle de acesso Imagem: Divulgação

Aurélio Araújo

Colaboração com Tilt, de São Paulo

22/03/2023 04h00Atualizada em 23/03/2023 14h21

A Anatel (Agência Nacional de Telecomunicações) se uniu à Receita Federal para impedir brasileiros de importar um dispositivo criado para interagir com sistemas de controle de acesso sem fio.

Como o chamado Flipper Zero é usado por especialistas em segurança cibernética para identificar falhas em sistemas a serem corrigidas, a decisão da agência tem gerado revolta entre estes profissionais. A entidade, por outro lado, argumenta que hackers podem fazer uso do equipamento para colocar pessoas em risco.

Até o momento, a entidade informa ter feito mais de 340 apreensões. A Anatel disse a Tilt que atua dessa forma porque o aparelho tem "potencial lesivo aos usuários".

O dispositivo possibilita que controle remoto de portões eletrônicos, sistema de segurança residencial, chaves de carro, entre outros, possam ser copiados. Se a cópia for realizada sem o consentimento do proprietário do dispositivo copiado, esta ação pode resultar em prejuízos pessoais e financeiros
Anatel, em nota

A informação de que compradores do Flipper Zero no Brasil passaram a ter o acesso ao produto negado circula desde a semana passada, após denúncia da ONG norte-americana EFF (Electronic Frontier Foundation), que atua na defesa dos direitos do consumidor em assuntos digitais. Sem homologação da Anatel, o aparelho tem a venda proibida no território nacional.

Nas redes sociais, muitos brasileiros relatam que adquiriram esses aparelhos na internet, em sites estrangeiros, mas não conseguiram recebê-los. Nos Estados Unidos, onde é legal, ele pode ser encontrado por cerca de US$ 200 (R$ 1.059). Em sites que vendem para o público brasileiro, como o Mercado Livre, há anúncios do aparelho por cerca de R$ 3 mil.

Em contato com a reportagem, interessados em adquirir o aparelho revelaram que pretendem tentar novas estratégias. Um deles diz ter feito a compra na Amazon e pedido para a entrega ser feita em uma caixa postal nos Estados Unidos. De lá, uma empresa remeteria ao Brasil.

"Quando chegar, eles vão embalar para mim e me mandar. Eu vou arriscar. Se a Anatel, por algum motivo barrar, vou entrar com processo judicial e alegar que sou pesquisador", disse o comprador, que trabalha numa empresa de cartões de crédito e preferiu não se identificar. "Posso alegar que eu uso para fins de pesquisa e operacionais, não para fins ilícitos."

O que é o Flipper Zero

Criado em 2020 a partir de um financiamento coletivo, o Flipper Zero foi desenvolvido para aperfeiçoar os testes de penetração em sistemas, também conhecidos como "pentesting". É uma etapa necessária do trabalho de deixa redes mais seguras: colocar sistemas conectados à prova para identificar vulnerabilidade e corrigi-las.

Para fazer isso, o aparelho é capaz de interagir com sinais de radiofrequência, como NFC, RFID, infravermelho e Bluetooth. Apesar de criado para fortalecer a cibersegurança, ele também pode ser usado para, por exemplo, clonar crachás e abrir fechaduras eletrônicas.

Para Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética, o problema não é o Flipper Zero, mas a fragilidade dos dispositivos que podem ser driblados por ele.

"Aparelhos como este evidenciam um paradigma de arquitetura de serviços de rede ultrapassado, o 'Any Trust'. Ou seja: qualquer usuário em uma determinada frequência é confiável só por estar. Ao contrário de um paradigma mais atual, o 'Zero Trust'."

Já "Zero Trust" é um paradigma que exige que todos os usuários, dentro ou fora da rede, sejam continuamente autenticados, autorizados e validados antes de acessar dados e aplicações.

Nos últimos meses, vídeos do Flipper Zero viraram virais no TikTok. Todos mostravam pegadinhas com ele, como acessar sistemas eletrônicos para acender seus faróis de carros alheios ou ainda apagar menus eletrônicos de restaurantes. Especialistas em segurança digital questionam a veracidade de vários desses vídeos, apesar de reconhecerem que o dispositivo é de fácil utilização.

Pequeno, o aparelho pode ser escondido numa mão e passar despercebido. Com capacidade de emitir e identificar radiofrequências de curta distância, o Flipper Zero é objeto de desejo de hackers. Por ser um dispositivo "open source", seu código aberto pode ser aprimorado de forma colaborativa. Isso não exclui criminosos.

Proibição controversa

Além de consumidores frustrados por não terem recebido os aparelhos pelos quais pagaram, há outros insatisfeitos com a medida da Anatel. Para Hiago Kin, a proibição é arbitrária, não ataca a causa do problema e abre brecha para o uso clandestino do Flipper Zero.

Segundo ele, o ideal seria encontrar uma forma de vender aparelhos rastreáveis, como ocorre, por exemplo, com os telefones celulares que possuem o IMEI, uma espécie de "impressão digital" de cada aparelho. Para Kin, a justificativa da Anatel não faz sentido, já que portas e garagens eletrônicas podem ser hackeadas e abertas até com um controle remoto de TV.

Este tipo de segurança em que basta colocar o emissor e o receptor de um sinal em determinada frequência não é mais seguro. Esse aparelho demonstra isso. Em vez de coibir a venda do aparelho, deveriam coibir a venda de produtos com essa estrutura de autenticação, buscando estruturas 'Zero Trust' com autenticação via Wi-Fi, por exemplo, como as lâmpadas inteligentes
Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética

A opinião é ecoada pela EFF, que argumenta que já existem leis para proibir "hacking malicioso" e elas devem ser aplicadas à medida que crimes sejam cometidos, não barrando o acesso do consumidor ao produto - que é usado, afinal, para melhor segurança de sistemas de acesso.

A proibição de ferramentas comerciais só tornará os sistemas de segurança mais vulneráveis ao limitar o acesso daqueles que trabalham para protegê-los
EFF, em comunicado publicado em português em seu site

A Anatel, por sua vez, diz que a decisão está respaldada no Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações. O documento prevê que pedidos de homologação de produtos devem ser negados se eles se prestam a "fins ilícitos" ou para facilitar "crime ou contravenção penal".