Seu celular contém muitas informações valiosas. Por isso, perdê-lo ou ser roubado pode ser catastrófico. E por mais que haja recursos para proteger seus dados e o acesso às suas contas, nem sempre eles são suficientes. Um vídeo que viralizou recentemente questiona a segurança do aplicativo do Gmail. Ele permitiria que qualquer pessoa troque a senha da conta do Google. Nós do Tecnoblog testamos para ver se é isso mesmo.
O vídeo que circulou no Twitter foi feito pelo jornalista Gabriel Justo e publicado em 11 de abril. Ele mostra uma gravação de tela do app do Gmail no iPhone. Ao ir até Configurações, Segurança e depois Senha, o aplicativo pede uma confirmação de segurança.
Ao tocar em "Esqueceu a senha?", porém, o Google faz apenas uma verificação do aparelho para garantir que ele é realmente do usuário e, depois, permite trocá-la. Com uma nova senha, é possível usar um navegador e acessar o gerenciador de senhas do Google, tendo acesso a mais e mais contas salvas.
Funciona mesmo? Depende
A equipe do Tecnoblog fez vários testes em diferentes contas para confirmar se o processo exibido no vídeo é real. A resposta é sim, mas nem sempre.
Em aparelhos sem autenticação por dois fatores (2FA) ativada, acontece o mesmo: há apenas uma verificação de aparelho e é possível trocar a senha. É o caso do dispositivo do vídeo: note que, debaixo de "Como fazer login no Google", não aparece "Verificação em duas etapas".
Leia Também
Autenticação por dois fatores é o nome dado por uma proteção extra para uma conta de um sistema digital. Isso significa que não basta ter a senha (primeiro fator) para acessar; é preciso usar outra informação ou dispositivo (segundo fator), como um código gerado automaticamente, um número recebido por SMS, uma confirmação em um dispositivo confiável, uma chave física, entre outras opções.
Quando a autenticação por dois fatores está ativada na conta do Google, o processo para mudar a senha pelo Gmail é diferene. Ao tocar em "Esqueceu a senha?", o Google exibe uma tela de "Tente outra maneira de fazer login".
Entre as opções, está "Toque em Sim no seu smartphone ou tablet". O Google reconheceu automaticamente meu aparelho, mas não me deixou trocar a senha imediatamente.
O próximo passo é aguardar seis horas para receber um e-mail naquela conta. A mesma coisa acontece ao optar por receber um código por SMS ou por usar o Google Authenticator.
A lógica é impedir mudanças imediatas, e o prazo dado serviria para o usuário bloquear o acesso remotamente, desconectando dispositivos logados ou trocando a senha.
Um problema é que esta não é a única opção. O Google também deixa confirmar a identidade usando um e-mail alternativo cadastrado. Se seu aparelho tem acesso àquele e-mail, fica fácil para alguém usar o código e trocar a senha.
O que diz o Google
Procurado pelo Tecnoblog, o Google diz que, com a autenticação por dois fatores ativada, "toda vez que uma pessoa solicitar a Recuperação de Conta, ela terá de passar por uma segunda etapa de confirmação de identidade".
A empresa não comentou se o comportamento sem o 2FA ativado é mesmo o esperado nem se planeja alguma mudança. Portanto, até o momento, a melhor recomendação é colocar este recurso de segurança na sua conta.
Desde 2021, o Google vem tornando a autenticação em dois fatores obrigatória. Mesmo assim, a exigência ainda não chegou a todas as contas, deixando brechas como essa. A melhor solução é se proteger e ativar o recurso.