Broken Access: On the Challenges of Screen Reader Assisted Two-Factor and Passwordless Authentication

Este artigo apresenta o framework AWARE para avaliar a segurança e acessibilidade de métodos de autenticação assistidos por leitores de tela, revelando vulnerabilidades críticas em esquemas de dois fatores e sem senha que expõem usuários cegos e com deficiência visual a diversos vetores de ataque.

O essencial

Imagine que a internet é uma grande cidade cheia de prédios (sites e aplicativos) onde as pessoas guardam seus segredos, dinheiro e memórias. Para entrar nesses prédios, precisamos de uma chave. Para a maioria das pessoas, essa chave é uma senha que elas digitam ou um código que elas veem na tela.

Mas e para quem não consegue ver a cidade? Para os milhões de pessoas cegas ou com baixa visão, a "chave" é um Leitor de Tela. É como um guia invisível e falante que lê em voz alta tudo o que está na tela, permitindo que a pessoa navegue pelo mundo digital.

Este artigo de pesquisa, chamado "Acesso Quebrado", conta uma história preocupante sobre como essa "chave falante" está falhando em proteger a porta de entrada dessas pessoas.

O Problema: A Chave que Gagueja e Confunde

Os pesquisadores descobriram que, embora os leitores de tela sejam ótimos para ler notícias ou e-mails, eles travam e gaguejam quando tentam ajudar a pessoa a entrar em uma conta segura (usando métodos modernos como códigos de duas etapas ou senhas sem senha).

Pense nisso como se você estivesse tentando entrar em um cofre de banco, mas o guarda que está te guiando:

1. Lê os números de forma errada: Em vez de dizer "um, dois, três, quatro", ele diz "mil, duzentos e trinta e quatro". Imagine tentar digitar um código de segurança ouvindo isso!
2. Esconde a informação: Às vezes, o guarda fica em silêncio e não diz onde está o botão para clicar ou qual é o código que acabou de chegar.
3. Confunde o usuário: O guarda pode começar a falar duas coisas ao mesmo tempo (como um código de segurança e uma chamada telefônica), criando um caos de sons que deixa a pessoa perdida.

O Laboratório de Testes (AWARE)

Para descobrir tudo isso, os autores criaram um "simulador de desastre" chamado AWARE. Em vez de esperar que alguém seja roubado, eles criaram cenários onde testaram como os leitores de tela reagiam a golpes comuns, como:

• O Golpe do "Irmão Gêmeo" (Phishing): Um site falso que parece idêntico ao real. Para quem vê, é fácil notar a diferença no endereço. Para quem ouve o leitor de tela, o guia fala o endereço do site falso exatamente igual ao do site real. É como se o guarda dissesse "Você está no Banco do Brasil" quando você está, na verdade, no "Banco do Brasi11" (com dois '1's). O usuário, confiando no guia, entrega sua senha.
• O Exaustão por Notificação (Fatigue): Imagine que um ladrão fica mandando 100 notificações de "Aceitar Login?" seguidas. A pessoa, cansada e confusa, acaba clicando em "Sim" só para o barulho parar. O estudo mostrou que os leitores de tela não avisam que é um ataque, apenas continuam lendo "Aceitar, Aceitar, Aceitar".
• O Espião de Ombro (Shoulder Surfing): Se a pessoa está usando um computador e recebe um código no celular, mas não está usando fones de ouvido em ambos, o ladrão pode ouvir o código sendo lido em voz alta pelo leitor de tela. É como se o guarda gritasse o segredo para todo o shopping ouvir.

O Veredito: A Porta Está Aberta

Os resultados foram assustadores. A pesquisa mostrou que, em muitos casos, a compreensão das instruções de segurança pelos leitores de tela caiu de mais de 70% (para textos normais) para menos de 20% ou 30% (para códigos de segurança).

Isso significa que, ao tentar proteger a conta, a pessoa cega muitas vezes acaba mais vulnerável do que uma pessoa que vê, porque o sistema de segurança não foi desenhado pensando na voz do guia.

O Que Podemos Fazer? (As Soluções)

Os autores não apenas apontaram os problemas, mas deram um mapa para consertá-los:

1. Para os Criadores de Sites (Arquitetos): Eles precisam escrever instruções mais claras e garantir que o "guia falante" consiga ler tudo. Não basta colocar um botão na tela; é preciso dizer ao guia o que aquele botão faz.
2. Para os Criadores de Leitores de Tela (Os Guias): Eles precisam aprender a detectar sites falsos e avisar o usuário: "Ei, esse endereço parece estranho!". Eles também precisam parar de gritar códigos de segurança se o usuário não estiver usando fones de ouvido.
3. Para Todos: A segurança precisa ser pensada para todos desde o início, não como um pensamento tardio.

Conclusão

A mensagem final é como um alerta de segurança em um filme: Não podemos deixar que a tecnologia que liberta as pessoas cegas (os leitores de tela) seja a mesma que as deixa desprotegidas.

Assim como uma cadeira de rodas precisa de rampas para entrar em um prédio, os sistemas de segurança digital precisam de "rampas auditivas" para que todos possam entrar com segurança. Se não consertarmos essas falhas agora, estaremos deixando a porta da cidade digital aberta para os ladrões, especialmente para aqueles que mais precisam de proteção.

Resumo técnico

Título: Acesso Quebrado: Sobre os Desafios da Autenticação de Dois Fatores e Sem Senha Assistida por Leitores de Tela

1. Problema Investigado

O artigo aborda uma lacuna crítica na segurança cibernética: a vulnerabilidade e a acessibilidade dos métodos de autenticação web (especificamente Autenticação de Dois Fatores - 2FA e métodos sem senha) para usuários cegos e com deficiência visual.

• Contexto: Embora as tecnologias assistivas permitam que pessoas com deficiência visual acessem serviços online, os métodos de autenticação atuais são projetados principalmente para usuários videntes.
• Risco: Usuários que dependem de leitores de tela (como JAWS, NVDA, VoiceOver, TalkBack) enfrentam barreiras significativas que não apenas dificultam o acesso, mas também expõem esses usuários a riscos de segurança maiores, como phishing, roubo de credenciais e ataques de "shoulder surfing" (espionagem visual/auditiva).
• Hipótese Central: A interação entre leitores de tela e fluxos de autenticação modernos (como OTPs, notificações push e chaves FIDO) introduz vulnerabilidades específicas que podem ser exploradas por atacantes, muitas vezes passando despercebidas pelos designers de segurança.

2. Metodologia: O Framework AWARE

Para investigar esse problema, os autores desenvolveram um novo framework chamado AWARE (Authentication Workflows Accessibility Review and Evaluation).

• Abordagem Semi-Automatizada: O AWARE atua como um precursor aos estudos de usuários tradicionais (que são caros e difíceis de recrutar para este público). Ele permite que designers identifiquem problemas de segurança e acessibilidade antes de testes com usuários reais.
• Processo de Avaliação:
  1. Gravação: O fluxo de autenticação é executado com leitores de tela específicos.
  2. Conversão: A saída de áudio do leitor de tela é convertida em texto usando o motor de reconhecimento de fala da IBM Watson.
  3. Análise de Similaridade: O texto gerado é comparado com o texto original da interface usando a biblioteca pysimilar (baseada em similaridade de cosseno e TF-IDF) para medir a compreensibilidade.
  4. Teste de Ataques: O framework simula cenários de ataque reais para avaliar a resiliência do sistema.
• Configurações de Teste:
  • Leitores de tela baseados em terminal (PC): JAWS, NVDA, Dolphin, ChromeVox.
  • Leitores de tela baseados em smartphones: VoiceOver (iOS), TalkBack (Android).
  • Cenários de uso simultâneo (PC + Smartphone).
• Métodos Testados: 12 variações de 2FA e métodos sem senha, incluindo OTP (SMS, Chamada, App), Push (Google, Duo, Microsoft), e FIDO (Chaves de Segurança como Titan e YubiKey).

3. Principais Contribuições

1. Modelagem de "Autenticação Assistida por Leitor de Tela": O estudo define formalmente o problema, analisando como usuários cegos interagem com métodos de autenticação em diferentes dispositivos.
2. Framework AWARE: Uma metodologia qualitativa e quantitativa para avaliar segurança e acessibilidade, servindo como ferramenta de triagem para desenvolvedores.
3. Avaliação Sistemática: A análise de 12 métodos de autenticação reais contra 6 leitores de tela em três configurações distintas, identificando vulnerabilidades críticas que não eram amplamente documentadas na literatura anterior.

4. Resultados e Descobertas Chave

A. Problemas de Acessibilidade (Comunicabilidade e Compreensibilidade)

• Queda Drástica na Compreensibilidade: Enquanto leitores de tela alcançam >74% de compreensibilidade em textos gerais (ex: notícias), essa taxa cai para menos de 50% em fluxos de autenticação em muitos casos (ex: 22 de 33 configurações cruzadas).
• Erros de Pronúncia (NPO): Alguns leitores de tela pronunciam códigos OTP como números inteiros (ex: "mil duzentos e trinta e quatro" para "1234") em vez de dígito por dígito, tornando a entrada de códigos longos extremamente difícil e propensa a erros.
• Conflitos de Instrução (CBI): Instruções de leitores de tela podem entrar em conflito com chamadas telefônicas de OTP ou notificações, fazendo com que o fone de ouvido desconecte e o alto-falante ligue, expondo o código a espionagem.
• Falha em Elementos Externos: Leitores baseados em navegador (como ChromeVox) não conseguem ler janelas de segurança do sistema operacional (ex: prompts de chaves FIDO do Windows), deixando o usuário sem informações críticas.

B. Vulnerabilidades de Segurança

• Phishing: Leitores de tela têm dificuldade em distinguir URLs de phishing de URLs legítimas, pois pronunciam domínios de nível superior como palavras inteiras (ex: "bankofamerica" vs "bankoffamerica" soam idênticos). Isso impede que o usuário detecte links falsos.
• Ataques de Notificação (Fatigue e Concorrência):
  • Concorrência: Em métodos Push, uma notificação de ataque pode sobrescrever a legítima. O usuário, ao ouvir a última notificação, pode aceitar o login do atacante sem perceber.
  • Fadiga: Ataques de "spamming" de notificações podem exaurir o usuário, levando-o a aceitar uma solicitação maliciosa por cansaço mental.
• Shoulder Surfing (Espionagem): Em cenários onde o usuário usa PC e smartphone simultaneamente (ex: login no PC, OTP no celular), é comum que um dos dispositivos não esteja protegido por fones de ouvido, permitindo que o código OTP seja ouvido por terceiros.
• Ataques Específicos a FIDO:
  • Overlay de Tela: Alguns leitores (JAWS, Dolphin) leem informações falsas sobrepostas em janelas de segurança legítimas, enganando o usuário.
  • Downgrading: Ataques podem forçar a troca de autenticação FIDO (segura) para OTP (menos segura), explorando a incapacidade do leitor de tela de detectar a mudança de protocolo ou links de phishing.

5. Significado e Recomendações

O estudo demonstra que os usuários com deficiência visual enfrentam riscos de segurança significativamente maiores do que usuários videntes ao utilizar métodos de autenticação modernos. As falhas não são apenas de usabilidade, mas de segurança fundamental.

Recomendações para Designers e Desenvolvedores:

• Instruções Claras: Incorporar instruções escritas claras e concisas em cada etapa, compatíveis com leitores de tela.
• Gestão de Tempo: Aumentar o tempo de expiração dos códigos OTP para permitir que usuários com deficiência visual ouçam e processem as informações.
• Prevenção de Conflitos: Evitar que chamadas telefônicas ou notificações interrompam a leitura de instruções críticas.
• Melhorias nos Leitores de Tela: Implementar detectores de phishing (aviso sobre URLs suspeitas), detecção de overlays e leitura clara de nomes de domínio e serviços.
• Melhor Prática Identificada: O estudo sugere que a combinação de FIDO (Chaves de Segurança) com o leitor de tela NVDA apresentou a melhor acessibilidade e segurança entre os métodos testados, embora ainda existam desafios.

Conclusão Final:
A segurança e a acessibilidade não podem ser tratadas como objetivos separados. É necessária uma colaboração interdisciplinar entre especialistas em segurança, serviços de deficiência e interação humano-computador para desenvolver sistemas que sejam simultaneamente seguros e acessíveis, garantindo a participação digital equitativa.