O Google oficializou uma mudança estrutural no Android 17, focada em tornar praticamente impossíveis os ataques de força bruta contra a tela de bloqueio. A partir de agora, o sistema operacional impõe um limite rígido de apenas 20 tentativas totais para inserir o PIN ou a senha, uma redução drástica frente ao modelo anterior, que permitia até 1,8 mil tentativas ao longo de cinco anos. A alteração, detalhada pelo engenheiro Mishaal Rahman e confirmada na documentação do Android Open Source Project (AOSP), já começou a ser implementada na atualização QPR2 do Android 16.

A estratégia do Google reflete uma resposta direta ao aumento de roubos de dispositivos móveis, onde criminosos exploram a previsibilidade das senhas escolhidas por usuários para acessar dados sensíveis. Ao limitar severamente as chances de acerto, a empresa busca neutralizar métodos de tentativa e erro, frequentemente automatizados, que utilizam sequências comuns ou dados pessoais da vítima para burlar a segurança do hardware.

O fim da tentativa e erro

Historicamente, o Android seguia os requisitos do documento de compatibilidade CDD 9.11, que permitia uma margem permissiva de erros para evitar que usuários legítimos fossem bloqueados permanentemente por esquecimento. Contudo, essa flexibilidade abria brechas significativas para invasores. O novo protocolo impõe um escalonamento progressivo de tempo de espera que, após a décima nona tentativa incorreta, exige que o usuário aguarde nove anos antes de tentar novamente, tornando qualquer processo de adivinhação infrutífero.

Essa política de limitação de taxa é executada diretamente no ambiente de execução confiável (TEE) ou no elemento seguro (SE) do aparelho, utilizando os sistemas Gatekeeper ou Weaver. Para dispositivos que não recebem atualizações desses componentes de hardware, o Google introduziu o SoftwareRateLimiter, um mecanismo secundário que garante a aplicação das mesmas restrições de segurança no nível do servidor do sistema, garantindo uma proteção uniforme em todo o ecossistema Android.

A ciência por trás da vulnerabilidade

A decisão do Google fundamenta-se em estudos que apontam a baixa entropia das senhas escolhidas por humanos. Dados citados pela documentação oficial indicam que, após 100 tentativas, invasores possuem uma taxa de sucesso de 16,2% para PINs e 35,5% para padrões de desenho. Quando o atacante possui acesso a informações pessoais da vítima, como datas de nascimento, a probabilidade de sucesso aumenta consideravelmente, tornando os limites anteriores de tentativas uma barreira insuficiente.

O mecanismo de defesa não apenas bloqueia o acesso, mas também desestimula o comportamento de tentativa sistemática. Ao invalidar entradas incorretas duplicadas em dispositivos com tecnologia Weaver, o sistema impede que o criminoso desperdice tempo com combinações repetidas, forçando uma interrupção definitiva no ataque. Esta abordagem técnica alinha o Android com padrões de segurança mais robustos, exigindo que o usuário recorra a métodos oficiais de recuperação de conta caso perca o acesso.

Impacto para usuários e ecossistema

Para o consumidor final, a mudança traz um desafio de usabilidade: a necessidade de gerenciar melhor a própria senha. Para mitigar o risco de bloqueio definitivo, o Google implementou melhorias na interface, como mensagens de erro mais claras e a exibição de um link direto para recuperação da conta em outro dispositivo. A intenção é que o usuário que esqueceu a senha tenha um caminho claro para a restauração, enquanto o invasor encontre uma parede intransponível.

Para o ecossistema de fabricantes, a padronização dessas regras de segurança representa um esforço de elevar o piso de proteção de todo o sistema. Enquanto o Android 17 integra essas funções nativamente, a responsabilidade de manter o TEE ou o SE atualizado permanece um ponto de atenção, especialmente em aparelhos de entrada que dependem da implementação de software do Google para compensar limitações de hardware.

O futuro da biometria e senhas

Embora a restrição de tentativas aumente a segurança física contra roubos, a eficácia a longo prazo do modelo de PIN e senha continua sendo uma questão em aberto no setor. O movimento do Google sugere uma transição para um modelo onde a tela de bloqueio é apenas uma camada secundária, com a biometria servindo como a principal barreira de entrada.

O que resta observar é como o mercado reagirá a bloqueios tão longos em caso de erro humano. A transição para uma interface que prioriza a recuperação de conta via nuvem, em vez de tentativas locais infinitas, pode ser o próximo passo lógico para garantir que a segurança não se torne um impedimento para o uso legítimo do dispositivo. A segurança do Android 17 é, portanto, uma aposta na resiliência contra ataques externos, ainda que exija mais rigor do usuário.

A mudança coloca o Android em um novo patamar de resistência contra o crime digital, priorizando a integridade dos dados em detrimento da tolerância ao erro humano. Resta ver se a medida será suficiente para desencorajar a prática de roubos de aparelhos, ou se os criminosos buscarão novas vulnerabilidades em camadas menos protegidas do sistema operacional.

Com reportagem de Brazil Valley

Source · Canaltech