Evangelos Bitsikas, estudante de doutorado da região Nordeste, descobriu recentemente uma vulnerabilidade preocupante em mensagens de texto que pode permitir que atacantes rastreiem a localização de usuários. A pesquisa realizada por seu grupo revelou a falha ao aplicar um sofisticado programa de aprendizado de máquina aos dados obtidos do sistema SMS, que impulsiona as mensagens de texto em telefones celulares desde a década de 1990. Os resultados foram disponibilizados no servidor de pré-impressão arXiv.
De acordo com Bitsikas, apenas com o número de telefone da vítima e acesso normal à rede, os atacantes podem localizar a vítima e rastreá-la em diferentes locais ao redor do mundo. Essa vulnerabilidade se torna possível devido às respostas automáticas de entrega enviadas pelos telefones quando uma mensagem de texto é recebida, funcionando como uma espécie de recibo de entrega.
Como os Hackers podem atacam
O método empregado pelo estudante consiste em enviar várias mensagens de texto para o celular da vítima e, por meio das respostas de entrega automáticas, é possível triangular a localização do usuário, mesmo que as comunicações estejam criptografadas. Essas respostas automáticas deixam “impressões digitais” da localização, que o algoritmo de aprendizado de máquina desenvolvido pelo grupo de pesquisa consegue detectar.
Embora até o momento a vulnerabilidade tenha sido observada principalmente em sistemas operacionais Android, não há evidências de sua exploração por hackers. No entanto, Bitsikas alerta que, dada a gravidade do problema, é possível que grupos maliciosos com recursos significativos possam utilizá-lo para localizar líderes governamentais, ativistas, CEOs e outras pessoas que desejam manter sua localização em sigilo.
Antes de publicar a pesquisa, o estudante compartilhou suas descobertas com a GSMA, uma organização global que supervisiona o ecossistema móvel e conta com mais de 15.000 especialistas membros. A GSMA reconheceu a gravidade do problema, mas ressaltou que a resolução completa exigiria uma revisão profunda do sistema global de SMS, o que é uma tarefa complexa e de longo prazo. A organização planeja adicionar contramedidas para dificultar o ataque, mas não será possível fechar completamente a vulnerabilidade de forma imediata.
Bitsikas está comprometido em prosseguir com pesquisas adicionais que possam se basear nesse avanço na segurança cibernética. Contudo, o estudante ressalta que, devido à natureza do problema e à necessidade de lidar com aprendizado de máquina e redes globais de comunicação, enfrentar essa vulnerabilidade representará um desafio constante para especialistas em segurança digital.