Category: Antivírus e Segurança

Google agora permite salvar passkeys no Windows, macOS, Linux e Android

19 de setembro de 2024

Google agora permite salvar passkeys no Windows, macOS, Linux e Android

Google agora permite salvar passkeys no Windows, macOS, Linux e Android (imagem: reprodução/Google)

O Google Password Manager (Gerenciador de Senhas do Google) foi aprimorado para tornar as passkeys ainda mais práticas. Com a atualização, o usuário poderá salvar e sincronizar passkeys no Windows, macOS, Linux e, claro, Android. O suporte a iOS chegará em breve.

Também chamadas de chaves de acesso, passkeys são um mecanismo que permite que o usuário se autentique em serviços online sem ter que usar as tradicionais senhas em cada operação de login.

Para isso, o sistema de segurança cria uma credencial única e exclusiva no dispositivo do usuário com base no conceito de chaves públicas. Quando a pessoa precisa acessar um serviço online compatível, o mecanismo confirma que o seu dispositivo é seguro e pertence a ela, portanto, pode ter o acesso liberado. Com isso, não é preciso digitar senha.

Passkey no Google (imagem: reprodução/Google)

O Google suporta passkeys desde meados de 2023. Ou desde 2022, se considerarmos o período em que a companhia testou o recurso antes da implementação oficial. Desde então, as chaves de acesso já foram usadas por mais de 400 milhões de contas no Google, de acordo com a companhia.

Suporte multiplataforma às passkeys

O Gerenciador de Senhas do Google para Android já permite salvar passkeys. Mas, para ampliar o alcance do recurso, o Gerenciador de Senhas na versão web foi atualizado para salvar e sincronizar as chaves de acesso quando o usuário estiver em um computador com Windows, macOS ou Linux.

Para tanto, basta acessar o Gerenciador de Senhas usando o Chrome. Com a sincronização automática do serviço, uma passkey gerada em um dispositivo poderá ser usada em outro. O recurso também já está em teste no ChromeOS e, de acordo com o Google, chegará ao iOS em breve.

Pin para geração e acesso às passkeys (imagem: reprodução/Google)

De modo complementar, o Gerenciador de Senhas do Google também passou a suportar o uso de um PIN (código numérico) de seis dígitos que deve ser informado na geração ou acesso às passkeys. Quem quiser mais segurança pode configurar o PIN para suportar códigos alfanuméricos (que misturam letras e números) mais extensos.

Para começar a usar passkeys nos serviços da companhia, acesse a sua Conta do Google, faça login e vá em Segurança. Toque ou clique na opção “Chaves de acesso e de segurança” e, em seguida, em “Usar chaves de acesso”.
Google agora permite salvar passkeys no Windows, macOS, Linux e Android

Google agora permite salvar passkeys no Windows, macOS, Linux e Android
Fonte: Tecnoblog

Microsoft tem planos para evitar outro apagão no estilo CrowdStrike

13 de setembro de 2024

Microsoft tem planos para evitar outro apagão no estilo CrowdStrike

Semanas após apagão global em PCs, Microsoft já tem medidas para evitar que caso se repita (Imagem: Vitor Pádua/Tecnoblog)

A Microsoft anunciou nesta semana, durante um evento de segurança, os seus planos para evitar outro apagão cibernético como o de julho. Naquele mês, um bug em um serviço da CrowdStrike, empresa de cibersegurança, causou uma tela azul em milhões de PCs pelo mundo. A big tech estuda impedir que serviços de terceiros tenham acesso ao kernel do Windows — que foi um dos fatores do apagão cibernético.

Essa não é a primeira vez que a Microsoft fala de cortar o acesso ao kernel do Windows. Dias depois do apagão, a empresa publicou um texto em seu site oficial em que apontava mudanças nessa parte do sistema operacional. O kernel é a parte do SO que controla todos os elementos do PC — quase como um cérebro.

Apagão da CrowdStrike e acesso ao kernel

O Falcon, programa da CrowdStrike que teve o bug fatal, opera no nível do kernel do Windows. Por isso, a Microsoft quer desenvolver uma maneira de que as empresas de cibersegurança criem serviços capazes de cumprir seu objetivo sem acessar o kernel.

Atualização defeituosa no software Falcon causou apagão cibernético (imagem: Divulgação/CrowdStrike)

A dificuldade é que isso exige que todas as companhias parceiras mudem o funcionamento dos seus programas. Órgãos reguladores, segundo o The Verge, pressionam a Microsoft a não tomar uma decisão unilateral. Provavelmente essa pressão existe porque poderia gerar falhas de segurança no sistema Windows, que também é usado por órgãos de segurança dos Estados Unidos e suas nações aliadas.

Na pressa para atualizar seus programas, as companhias de cibersegurança poderiam criar vulnerabilidades, o que seria tão prejudicial (ou mais) que uma tela azul global.

Além disso, como apontou Matthew Prince, CEO da Cloudflare, se apenas a Microsoft tiver acesso a soluções de segurança no nível do kernel, seria um risco à proteção dos dispositivos. Afinal, a cibersegurança depende de várias pessoas buscando soluções para falhas — não uma única empresa.

Relembre o caso

Tela azul aparece em monitor do aeroporto de Heathrow, no Reino Unido durante apagão da CrowdStrike (Imagem: Reddit/AeitZean)

No dia 19 de julho, uma atualização na Falcon, um serviço da CrowdStrike, causou um bug nos computadores Windows. A falha causou tela azul em milhares de PCs pelo mundo e chegou a afetar até aeroportos em todo o mundo.

A CrowdStrike, segundo estimativa, atende 300 das 500 empresas listadas na Forbes 500 — lista das companhias mais ricas do mundo. A companhia de cibersegurança é líder desse segmento, assim como o Windows no mercado de sistema de operacional.

Dado a presença dos dois serviços, um bug deste nível é “fatal” para boa parte das companhias. O apagão cibernético afetou até bancos e empresas brasileiras.

Com informações: The Verge
Microsoft tem planos para evitar outro apagão no estilo CrowdStrike

Microsoft tem planos para evitar outro apagão no estilo CrowdStrike
Fonte: Tecnoblog

Android 15 vai aumentar restrições sobre apps instalados via sideloading

12 de setembro de 2024

Android 15 vai aumentar restrições sobre apps instalados via sideloading

Android 15 vai limitar ainda mais instalação de apps via sideloading (imagem: Vitor Pádua/Tecnoblog)

O Android 15 já é oficial e, entre as suas características, está uma medida de segurança que pode desagradar aos usuários mais avançados do sistema operacional: um mecanismo que restringe apps instalados via sideloading, ou seja, a partir de fontes desconhecidas.

A implementação do recurso não chega a ser surpresa. Desde o Android 13 que a plataforma tem mecanismos que limitam o sideloading para prevenir a ação de malwares ou softwares nocivos no sistema operacional.

Além disso, durante o evento Google for Brasil 2024, realizado no mês de junho em São Paulo, a companhia tornou oficial a integração do sideloading ao Google Play Protect, serviço que verifica a existência de aplicativos potencialmente maliciosos no Android antes de seu download.

O Android 15 segue esse movimento, portanto. Como explica o Android Authority, a nova versão do sistema operacional traz proteções adicionais. Ainda será possível instalar apps via sideloading. Porém, eles terão restrições de acesso às chamadas permissões sensíveis.

Restrição a permissões sensíveis

Entre essas restrições estão o impedimento de o aplicativo acessar as notificações do aparelho, exibir informações que se sobrepõem a outros apps, atuar como um discador ou uma ferramenta padrão de SMS, configurar recursos de acessibilidade e ter privilégios de administrador do dispositivo.

Essas permissões são consideradas sensíveis porque, se habilitadas para um aplicativo malicioso, podem comprometer a segurança do usuário. Um app falso que tem acesso às notificações ou mensagens de SMS pode capturar códigos de autenticação enviados ao celular, só para dar um exemplo de risco.

Para identificar os aplicativos a sofrerem essas restrições, o Android 15 verificará o método de instalação de cada um deles. Aqueles que não tiverem sido instalados a partir da API do sistema para instalação via lojas de aplicativos serão considerados apps de sideloading e, portanto, terão restrições.

Restrição de acesso em app instalado via sideloading (imagem: Mishaal Rahman/Android Authority)

Esse aspecto deixa claro que a nova política de segurança não se aplica a aplicativos instalados a partir de lojas alternativas à Google Play Store, como Samsung Galaxy Store e F-Droid.

É possível que a medida desagrade a usuários avançados do Android, que usam o sideloading para fazer personalizações avançadas no sistema operacional ou para testar apps alternativos, por exemplo.

Mas, como o Google não consegue garantir a segurança de apps instalados por vias não convencionais, faz sentido que a companhia restrinja ainda mais o sideloading no Android 15.

Os detalhes técnicos sobre a nova política estão na página de compatibilidade do Android 15.

Quando o Android 15 chega aos celulares?

O Android 15 foi anunciado oficialmente no início de setembro, mas, por enquanto, está disponível somente via Android Open Source Project (AOSP), o repositório oficial do sistema operacional. Isso significa que, por ora, somente desenvolvedores e organizações têm acesso direto à nova versão.

Nos celulares e tablets dos usuários, o Android 15 será liberado conforme o cronograma de atualizações de cada fabricante. Na linha Google Pixel, por exemplo, a liberação está prevista para começar em outubro de 2024.

Android 15 vai aumentar restrições sobre apps instalados via sideloading

Android 15 vai aumentar restrições sobre apps instalados via sideloading
Fonte: Tecnoblog

Vírus para macOS rouba Chaves do iCloud e cookies do navegador

23 de agosto de 2024

Vírus para macOS rouba Chaves do iCloud e cookies do navegador

Malware batizado de Cthulhu Stealer se passa até pelo GTA IV para roubar senhas nos Macs (imagem ilustrativa: Vitor Pádua/Tecnoblog)

Pesquisadores da Cato Networks encontraram um vírus para macOS que é capaz de roubar senhas do Chaves do iCloud, local de armazenamento de logins dos Macs. Batizado de Cthulhu Stealer, o malware é um clássico cavalo de Troia, se passando por programas reais para infectar o dispositivo. O programa malicioso continua ativo, ainda que o grupo responsável por ele não exista mais — ele funcionava como um Malware-as-a-Service.

O vírus afeta tanto Macs com processadores Intel quanto os modelos com chips da Apple. Entre os programas pelo qual o Cthulhu Stealer se passa estão o GTA IV, CleanMyMac e Adobe GenP. Este é um software que ativa o Creative Cloud e permite usar os programas da Adobe sem uma chave de ativação.

Malware pede senha do sistema após execução

Após o usuário autorizar a execução do programa, passando por cima do aviso do Gatekeeper, o Cthulhu Stealer pede a senha do Mac. Isso permite que o malware tenha acesso a informações do sistema e roube os dados do Chaves do iCloud — iCloud KeyChain em inglês.

Cthulhu Stealer pedia senha do sistema após sua execução ser liberada no Gatekeeper (Imagem: Reprodução/ The Hacker News)

O malware também pede que o usuário digite a senha do MetaMask, uma carteira digital de criptomoedas, caso tenha uma. Mas com o acesso ao iCloud KeyChain, os hackers podem acessar senhas salvas nessas carteiras, plataformas de jogos (Steam, Epic) e e-commerces. Segundo a Cato Networks, o Cthulhu Stealer ainda captura cookies do navegador e informações do Telegram.

Apple e a “sensação de segurança”

macOS Sequoia terá uma etapa extra para que usuários autorizem execução de apps não aprovados pelo Gatekeeper (Imagem: Reprodução/Apple)

Um dos riscos para a propagação do Cthulhu Stealer é a alta confiança dos usuários do macOS e iOS na segurança dos dispositivos. Ainda que sistemas Windows e Linux sejam os principais alvos de hackers, isso não deixa o Mac imune a ataques.

Para resolver casos similares, a Apple lançará no macOS Sequoia o bom e velho método de encher o saco. Se o Gatekeeper não validar a assinatura do programa, o usuário terá que abrir as configurações, entrar no menu Privacidade e Segurança e aí sim aprovar a execução do programa.

Uma solução simples, mas muito efetiva para aqueles usuários que não querem muito esforço para rodar um programa qualquer.

Com informações: 9to5Mac e The Hacker News
Vírus para macOS rouba Chaves do iCloud e cookies do navegador

Vírus para macOS rouba Chaves do iCloud e cookies do navegador
Fonte: Tecnoblog

Malware usa NFC de celular Android para roubar dados de cartões

22 de agosto de 2024

Malware usa NFC de celular Android para roubar dados de cartões

NFC do celular é capaz de ler cartões próximos (imagem: Emerson Alecrim / Tecnoblog)

Um novo malware para Android chamado NGate usa o chip NFC de smartphones para clonar cartões, podendo usá-los em pagamentos e saques. O ataque vai além da parte técnica, envolvendo uma boa dose de engenharia social para conseguir levar as vítimas a baixar o app infectado e fornecer as informações necessárias para as transações.

As informações foram compartilhadas pela empresa de cibersegurança Eset, em um blog post publicado nesta quarta-feira (dia 22/08). Segundo a empresa, é a primeira vez que um ataque usando NFC desta forma é detectado. Os criminosos agiam na Tchéquia (anteriormente conhecida como República Tcheca) — um deles foi preso em Praga, capital do país, após fazer vários saques em sequência.

New Android malware – #NGate – relays NFC data from victims’ payment cards, via victims’ compromised mobile phones, to attacker’s device waiting at an ATM to withdraw cashhttps://t.co/aM4v0lC6we pic.twitter.com/3MPRPe7qUB— Lukas Stefanko (@LukasStefanko) August 22, 2024

Ataque usa sites falsos com apps maliciosos

Segundo os pesquisadores, um possível cenário para o ataque começa com mensagens de texto e ligações pré-gravadas. O objetivo deste contato é levar a vítima a instalar um aplicativo web (PWA) malicioso. Os links indicados levam a páginas que imitam a Google Play Store e sites de bancos. Os textos levam a crer que uma atualização urgente é necessária para a segurança do correntista.

O primeiro aplicativo instalado não pede permissões, já que consegue explorar a API do navegador para acessar os componentes de hardware necessários. O segundo passo é instalar um componente chamado NFCGate, desenvolvido por universidades para testar e experimentar chips de NFC, para fins de estudo e pesquisa.

Para isso, os atacantes recorrem mais uma vez à engenharia social. Um membro da quadrilha liga para a vítima e finge ser do banco, informando ao cliente que houve um incidente de segurança. O criminoso envia um link para baixar o NGate, que inclui o NFCGate. É com este componente que os criminosos conseguem obter informações de cartões próximos ao celular.

Golpistas fingem ser do banco para roubar senhas

A Eset considera algumas possibilidades de ataque a partir deste ponto. Em uma delas, o criminoso entra em contato por falsa central de atendimento e pede que o cliente troque a senha. Aí vem o truque: os responsáveis pelo ataque pedem que ele digite a senha antiga, a nova e aproxime o cartão do aparelho para gravar a mudança.

NFC pode ser desativado (Imagem: Ana Marques / Tecnoblog)

Tudo isso, na verdade, serve para roubar os dados e a senha. Estas informações são transmitidas aos golpistas, que podem clonar o sinal da aproximação. Usando outro celular Android, eles enganam maquininhas de pagamento e caixas eletrônicos.

Os pesquisadores consideram outra possibilidade: roubar dados de cartões em bolsas, mochilas ou carteiras em locais públicos, com muitas pessoas. Desse jeito, porém, os ladrões não teriam a senha, podendo fazer apenas pagamentos de pequeno valor.

A Eset considera que o método empregado usando este malware não funcionaria em cartões armazenados no Google Pay e Apple Pay, já que ambas exigem autenticação para cada pagamento usando NFC.

Os pesquisadores recomendam algumas ações para se proteger de ataques como estes:

conferir a autenticidade de sites;

baixar apps apenas de fontes oficiais, como a Play Store;

manter senhas em segredo;

desligar o NFC quando ele não está sendo usado;

colocar cartões em carteiras com proteção contra RFID;

usar versões digitais de cartões nas carteiras de smartphones.

Com informações: Eset, Bleeping Computer
Malware usa NFC de celular Android para roubar dados de cartões

Malware usa NFC de celular Android para roubar dados de cartões
Fonte: Tecnoblog

Como criar senhas fortes e seguras para aplicativos e sites

16 de agosto de 2024

Como criar senhas fortes e seguras para aplicativos e sites

Saiba as dicas para criar uma senha forte para evitar ataques de força bruta (imagem: Vitor Pádua/Tecnoblog)

Uma senha segura é uma combinação única e complexa de caracteres, difícil de ser descoberta por outras pessoas ou softwares de computador. Para isso, é recomendado usar letras maiúsculas e minúsculas intercaladas com números e símbolos.

Criar uma senha forte é essencial para manter a segurança de suas contas, aplicativos de bancos e redes sociais. Combinações com pelo menos 16 caracteres podem impedir a invasão de perfis ou até mesmo acesso a dados financeiros.

A seguir, conheça as principais dicas para criar uma senha forte e proteger suas contas.

Índice1. Use uma senha com pelo menos 16 caracteres2. Use uma senha que combine letras, números e símbolos3. Evite padrões comuns como “1234” ou “qwerty” na senha4. Evite colocar dados pessoais na senha5. Evite a substituição óbvia de caracteres, como “T3cn0blog”6. Evite uma senha que já foi usada em outra contaQuais são os exemplos de senhas fortes para a internet?O que fazer para proteger minha senha?Preciso memorizar todas minhas senhas?

1. Use uma senha com pelo menos 16 caracteres

É recomendado usar no mínimo 16 caracteres para criar uma senha segura para uma conta. Quanto mais longa e complexa a combinação, mais difícil será para os hackers invadirem sua conta.

Uma senha de 16 caracteres, por exemplo, pode ser milhões de vezes mais difícil de ser quebrada do que uma combinação de 12 caracteres. Isso porque as possíveis combinações aumentam exponencialmente a cada caractere adicional.

Entretanto, vale dizer que o número máximo de caracteres pode variar conforme a plataforma. Então, fique atento a esses detalhes quando estiver criando a sua senha.

2. Use uma senha que combine letras, números e símbolos

Os sistemas de senhas atuais usam os caracteres padrão ASCII. Isso significa que você pode criar uma combinação mesclando números, letras (maiúsculas e minúsculas) e símbolos (!, @, #, $).

A dica para criar uma senha forte é usar uma combinação bem variada de letras, números e símbolos. É essencial ser uma sequência simples de memorizar, mas que não siga um padrão fácil de ser descoberto por outras pessoas ou computadores.

Senhas longas e sem uma combinação lógica são mais difíceis de serem quebradas (imagem ilustrativa: Vitor Pádua/Tecnoblog)

3. Evite padrões comuns como “1234” ou “qwerty” na senha

Senhas com sequências comuns, como “1234” ou “qwerty”, são alvos fáceis para hackers. Isso também vale para combinações que usam palavras do dicionário ou óbvias, como as tradicionais “admin”, “password” ou “Senha”.

Softwares especializados podem quebrar essas senhas em segundos usando técnicas de força bruta. Um computador tentará todas as combinações possíveis para acessar suas credenciais. Então, as senhas muito simples são mais fáceis de serem decifradas.

4. Evite colocar dados pessoais na senha

Usar a data de nascimento, número de telefone, apelidos ou nomes de animais de estimação como senha coloca suas contas em risco. Os criminosos usam ferramentas e técnicas para encontrar essas informações em redes sociais ou fontes públicas.

Com os dados pessoais, um hacker pode explorar diferentes combinações de senhas e ter grande chance de acessar suas contas. Por isso, ao fazer uma senha forte e única é indicado usar combinações complexas e sem relações com informações pessoais

Senhas com dados pessoais ou palavras comuns podem ser facilmente descobertas por hackers (Imagem: Vitor Pádua/Tecnoblog)

5. Evite a substituição óbvia de caracteres, como “T3cn0blog”

Substituir letras por números, como em “T3cn0blog”, é um dos maiores erros ao tentar fazer uma senha segura. Essa prática, conhecida como leetspeak, é facilmente identificada por softwares de hackeamento.

Os programas testam várias combinações de caracteres, incluindo substituições de letras por números, para quebrar as senhas rapidamente. Novamente, a dica é criar senhas com combinações longas e aleatórias de letras, números e símbolos.

6. Evite uma senha que já foi usada em outra conta

Usar uma única senha para várias contas é como usar uma única chave para abrir várias portas da sua vida digital. Então, se suas credenciais caírem em uma lista de vazamentos, um invasor terá acesso a todas as plataformas usando apenas uma “chave”.

Cadastrar uma única senha em diferentes sites, redes sociais ou aplicativos pode criar uma situação de dupla exposição. As credenciais vazadas podem ser usadas em diferentes lugares, aumentando o risco de invasão de várias contas ao mesmo tempo.

Quais são os exemplos de senhas fortes para a internet?

Existem vários exemplos de senhas fortes e seguras que você pode usar no dia a dia:

Palavras aleatórias combinadas: escreva uma frase sem sentido substituindo letras por números e símbolos, dificultando a associação com dados pessoais. Exemplo: gato$montanha2azul%futebol;

Caracteres especiais aleatórios: crie sequências aleatórias com caracteres especiais. Quanto mais longa e variada, mais difícil de quebrar devido o amplo número de combinações possíveis. Exemplo: !(#&%qneIALu173*;

Regra específica: defina uma regra fácil de lembrar e aplicar em diferentes senhas, como alternar entre maiúsculas, minúsculas e números. Essa técnica permite gerar senhas complexas e simples de memorizar. Exemplo: P1m31r@L3tr4M41usc,2ªm1nusc,3ºnum3r0;

Gerando aleatoriamente: use um gerador de senhas para criar combinações complexas e aleatórias. Uma opção mais segura que dificulta qualquer tentativa de adivinhação. Exemplo: iR8T7FZ9Q5uE8DecZfbt.

O que fazer para proteger minha senha?

Siga estas práticas para proteger suas senhas:

Altere as senhas regularmente: troque suas senhas importantes, como bancos, e-mails, redes sociais e operadoras de celular, a cada 3 ou 6 meses. Então, crie combinações totalmente diferentes das anteriores;

Use a autenticação de dois fatores (2FA): ative a 2FA em todas as contas possíveis. Essa camada extra de segurança exige uma segunda forma de verificação, como código enviado por SMS, e-mail, aplicativo autenticador ou biometria;

Evite anotar senhas em apps desprotegidos: nunca escreva as suas senhas em aplicativos de celulares que podem ser acessados facilmente, como bloco de notas ou semelhantes. Se possível, anote a combinação em um papel e guarde em um local seguro;

Tenha cuidado com ataques de phishing: desconfie de e-mails, mensagens e sites suspeitos que solicitem dados pessoais. Nunca clique em links desconhecidos ou instale softwares não confiáveis;

Use um gerenciador de senhas: utilize ferramentas confiáveis para gerar senhas complexas e armazenar as combinações de forma segura, eliminando a necessidade de decorar ou anotar.

Preciso memorizar todas minhas senhas?

Não é necessário memorizar todas as suas senhas. Você pode usar gerenciadores de senhas para armazenar e gerenciar suas credenciais de forma segura, facilitando o acesso a sites, redes sociais e outras plataformas.

Com um gerenciador de senhas, você cria apenas uma senha-mestra forte e única. Depois, a ferramenta armazena todas as outras senhas e preenche as credenciais automaticamente quando você acessar um site.

Vale dizer que os gerenciadores de senha oferecem alguns recursos extras. Por exemplo, um gerador de senhas e autenticação de dois fatores com biometria.
Como criar senhas fortes e seguras para aplicativos e sites

Como criar senhas fortes e seguras para aplicativos e sites
Fonte: Tecnoblog

Windows 11 24H2 vai ativar BitLocker por padrão em novas instalações

14 de agosto de 2024

Windows 11 24H2 vai ativar BitLocker por padrão em novas instalações

Windows 11 24H2 vai ativar o BitLocker em toda instalação nova (imagem: Guilherme Reis/Tecnoblog)

O pacote de atualizações 24H2 do Windows 11, a ser amplamente liberado até o fim do ano, vai fazer quase todas as novas instalações do sistema operacional ativarem a proteção criptográfica BitLocker por padrão no computador.

Não estamos falando de um recurso novo. O BitLocker foi introduzido no Windows Vista e no Windows Server 2008, e vem sendo oferecido nas versões sucessoras desses sistemas desde então.

Trata-se de um importante mecanismo de segurança. Isso porque o BitLocker criptografa unidades inteiras de armazenamento de dados, não somente pastas ou arquivos específicos. Assim, em caso de roubo de um notebook, por exemplo, fica mais difícil para o invasor ter acessos aos dados armazenados ali.

O uso do BitLocker é mais comum em servidores ou computadores corporativos, razão pela qual o recurso é muito associado às versões do Windows Server, bem como às edições Pro ou Enterprise dos Windows 10 e 11.

Mas, com o movimento mais recente, a Microsoft vai permitir que o mecanismo também seja habilitado na versão Home do Windows 11, voltada a usuários domésticos.

Tela de recuperação do BitLocker durante o boot (imagem: reprodução/Microsoft)

Como a ativação do BitLocker vai funcionar

A Microsoft explica que a criptografia do BitLocker será ativada por padrão quando o usuário fizer uma instalação limpa do Windows 11 24H2.

A ativação continuará quando o usuário fizer login no equipamento com uma conta Microsoft ou, ainda, com uma conta de trabalho ou escola. Uma chave de recuperação de acesso também será vinculada a essa conta.

Para tanto, a Microsoft eliminou algumas exigências para a ativação do BitLocker, como a implementação das tecnologias HSTI (Interface de Teste de Segurança de Hardware) e Modern Standby (um modo de descanso mais moderno e, supostamente, seguro).

Além de deixar de exigir a HSTI e o Modern Standby, o Windows 11 24H2 permitirá que a criptografia seja ativada mesmo se o computador tiver dispositivos não confiáveis com acesso direto à memória (DMA), coisa que não era permitida até então.

Note, porém, que nada muda nas exigências da Microsoft de recursos como Trusted Platform Module (TPM) e UEFI Secure Boot para uma nova instalação do Windows 11 ser feita.

O Verge chama a atenção para o fato de a proteção criptográfica de volume poder afetar o desempenho de SSDs, dependendo do computador. O veículo afirma ter pedido para a Microsoft comentar o assunto, mas a companhia só forneceu links de documentação, sem mencionar eventuais impactos sobre o desempenho do sistema.

BitLocker pode ser desativado

Felizmente, os usuários que não quiserem contar com o recurso poderão desativar a criptografia na área de privacidade e segurança das configurações do Windows 11.

Criptografia do BitLocker pode ser desativada (imagem: reprodução/Microsoft)

A instalação do sistema operacional com contas locais também inabilita o computador para o BitLocker. Porém, é cada vez mais difícil usar o Windows 11 sem uma conta Microsoft. Quem tiver dificuldades com isso pode tentar uma instalação do sistema sem o BitLocker por meio da ferramenta Rufus, por exemplo.

É válido ressaltar que a ativação do BitLocker só será padrão em equipamentos novos ou que tenham uma instalação do Windows 11 24H2 feita do zero.

Se a máquina tiver uma instalação anterior do sistema operacional e for atualizada para a versão 24H2, esse procedimento não ativará a proteção.

Para usuários do Windows 10, nada muda. Contudo, essa versão do sistema deixará de ser suportada pela Microsoft em outubro de 2025.
Windows 11 24H2 vai ativar BitLocker por padrão em novas instalações

Windows 11 24H2 vai ativar BitLocker por padrão em novas instalações
Fonte: Tecnoblog

Finalmente o Google Authenticator para Android está sendo melhorado

9 de agosto de 2024

Finalmente o Google Authenticator para Android está sendo melhorado

Finalmente o Google Authenticator para Android está sendo melhorado (imagem: divulgação/Google)

O Google Authenticator para Android está finalmente recebendo uma grande atualização. A versão 7.0 do aplicativo traz design melhorado, nova função de busca e, como principal destaque, uma tela de privacidade que bloqueia o acesso à ferramenta após determinado período de tempo.

Interface reformulada

A nova interface é condizente com o Material 3, a mais recente versão do padrão de design mantido pelo Google. Ela torna o uso do aplicativo mais amigável, bem como facilita a implementação de recursos adicionais.

Um desses recursos é uma função de pesquisa que permite buscar por serviços cadastrados Google Authenticator rapidamente. Essa opção é interessante para quem utiliza autenticação em dois fatores em numerosos serviços. Curiosamente, a busca está disponível há algum tempo no Google Authenticator para iPhone.

Já a função de leitura de QR Code ficou mais intuitiva e exibe até um botão no canto direito superior para ativação de luz flash.

Outro detalhe interessante é que a leitura de QR Code pode ser acionada com o usuário tocando no ícone do aplicativo por alguns instantes e escolhendo essa opção no menu que surgir.

Leitura de QR no Google Authenticator para Android (imagem: reprodução/9to5Google)

Tela de privacidade

Talvez a novidade mais importante dessa atualização é a tela de privacidade, por razões óbvias: o Google Authenticator gera códigos para autenticação em dois fatores, logo, o acesso fácil a ele pode viabilizar a invasão de contas em serviços variados.

A nova tela de privacidade, acessível a partir das configurações, permite que o usuário configure o app para exigir autenticação após 10 segundos, 1 minuto ou 10 minutos após a sua abertura, ou toda vez que o aplicativo ficar em primeiro plano.

Essa autenticação pode ser feita por impressão digital, reconhecimento facial ou digitação de PIN, variando de acordo com os recursos de segurança do smartphone ou tablet.

Esse é outro recurso que já estava disponível na versão da ferramenta para iOS.

Tela de privacidade do Google Authenticator 7.0 para Android (imagem: reprodução/9to5Google)

Disponibilidade do novo Google Authenticator

De acordo com o 9to5Google, o Google Authenticator 7.0 para Android já está sendo liberado na Play Store, mas de modo progressivo. Isso significa que pode levar um tempo para você ter acesso à novidade.

Para quem já usa o aplicativo em uma versão anterior, basta esperar pela atualização automática. Mas, se você tem pressa, já existe a opção de download via arquivo APK (por sua conta e risco, é claro).
Finalmente o Google Authenticator para Android está sendo melhorado

Finalmente o Google Authenticator para Android está sendo melhorado
Fonte: Tecnoblog

Governo pede que Apple e Google criem senha extra para celulares

9 de agosto de 2024

Governo pede que Apple e Google criem senha extra para celulares

Ministério da Justiça pede mais medidas de segurança já que bloqueio de tela não é eficaz (Imagem: Vitor Pádua/Tecnoblog)

Resumo

O Ministério da Justiça pediu que Apple e Google implementem uma “segunda senha” para apps de email, pois o bloqueio de tela não estaria mais sendo eficaz contra roubos.
O MJSP argumenta que a medida ajudaria a evitar que ladrões acessem apps financeiros após obterem celulares desbloqueados das vítimas.
O iOS 18, que será lançado em setembro, já incluirá uma função de autenticação biométrica para proteger apps, atendendo parcialmente à solicitação do MJSP.
A Samsung já oferece a função de Pasta Segura na One UI, e rumores indicam que a empresa pode exigir senha ou biometria na versão One UI 7.
O Google também estaria desenvolvendo um recurso similar para o Android 15, com pastas seguras e acesso por biometria, seguindo a tendência de segurança alinhada entre as grandes empresas de tecnologia.

O Ministério da Justiça e Segurança Pública (MJSP) pediu a Apple e Google que criem uma “segunda senha” para aplicativos de email. No ofício enviado às empresas, o órgão aponta que o recurso de bloqueio de tela de celulares não é mais eficaz, já que ladrões pedem que as vítimas entreguem o dispositivo desbloqueado. A iniciativa do MJSP integra as ações Celular Seguro, app do governo para bloquear aparelhos após furtos.

O Celular Seguro foi lançado em dezembro de 2023. Disponível para iPhone (iOS) e Android, o programa visa impedir que ladrões usem apps financeiros das vítimas através do bloqueio do acesso às contas. Ele também avisa operadoras e outras empresas parceiras do furto, que podem cortar outros serviços associados ao aparelho.

Como explica o MJSP, essa nova exigência para as empresas está ligada ao modus operandi dos ladrões de celulares. Os grupos criminosos não buscam apenas revender os smartphones, mas também acessar apps bancários. Ao pedir o celular desbloqueado, eles podem trocar a senha dos programas usando o email da vítima.

Pedido do MJSP existe no iOS 18

iOS 18 exige autenticação biométrica para abrir apps protegidos (Imagem: Divulgação / Apple)

O pedido do MJSP de ter uma “senha extra”, como uma identificação facial para acessar o app do email, já existe no iOS 18. O problema é que o sistema operacional da Apple só será lançado em setembro, junto do iPhone 16.

O novo SO da big tech permitirá que usuários tranquem os apps importantes usando o FaceID. Existe ainda a opção de esconder vários apps em uma única pasta.

Samsung também possui ferramenta do tipo

A Samsung já conta com o recurso pasta segura na One UI, sua interface baseada no Android. Porém, ela não obriga a criação de uma senha para ser acessada — mas recomendamos que faça isso. Um rumor aponta que a sul-coreana lançará o recurso de exigir acesso a aplicativos por senha ou biometria no One UI 7.

Em maio, um mês antes da Apple anunciar o iOS 18, o Google divulgou que estava trabalhando na função de pastas seguras e acesso com biometria para o Android 15. Para abri-la, será necessário usar algum tipo de biometria.

A convergência entre Google e Apple, que apresentaram recursos idênticos com semanas de diferença, sugere que as empresas estão alinhadas no desenvolvimento de ferramentas de segurança contra furtos.

Com informações: MJSP, Tele Síntese, 9to5Mac

Ver essa foto no Instagram Uma publicação compartilhada por Tecnoblog (@tecnoblog)
Governo pede que Apple e Google criem senha extra para celulares

Governo pede que Apple e Google criem senha extra para celulares
Fonte: Tecnoblog

Golpe dos Correios mostra nome, CPF e até o endereço real da vítima

2 de agosto de 2024

Golpe dos Correios mostra nome, CPF e até o endereço real da vítima

Golpistas têm acesso ao nome completo, CPF, endereço e telefone de compradores (Imagem: Divulgação/Correios)

Resumo

Golpistas estão enviando SMS que aparentam ser dos Correios, solicitando pagamento de taxa alfandegária para encomendas reais.
As mensagens incluem dados pessoais reais, como nome completo, CPF, endereço e número de rastreamento.
A origem dos dados sensíveis usados pelos golpistas é desconhecida, podendo vir dos sistemas dos Correios ou de lojas virtuais.
Para evitar o golpe, recomenda-se verificar taxas e informações apenas no site ou aplicativo oficial dos Correios, sem clicar em links recebidos por SMS, email ou WhatsApp.

Se você tem um número de celular brasileiro, provavelmente recebeu algum SMS nos últimos meses informando sobre uma encomenda dos Correios que aguarda pagamento de taxa alfandegária. Trata-se de um golpe, que agora ficou ainda mais elaborado: as mensagens usam dados de encomendas reais.

O leitor Vitor Gomes foi uma das vítimas de um possível vazamento de dados. Ele recebeu uma mensagem contendo um link para pagar a suposta taxa de uma encomenda que teria sido tributada. O texto inclui um número de rastreio de um pacote verdadeiro, que é aguardado por ele. Já a página fraudulenta repete o visual dos Correios e exibe nome completo, CPF e endereço completo.

Página golpista simula site dos Correios (Imagem: Reprodução)

Uma mensagem similar foi recebida por Guilherme Soares. O conteúdo é o mesmo, mas com um código de rastreio diferente. Ao abrir o link, é exibido seu nome, CPF e código de rastreio.

Página fraudulenta mostra dados reais de cliente (imagem: reprodução)

Ambos os casos são tentativas de golpe, e não há qualquer taxa a ser paga. O que assusta é que as mensagens são direcionadas para as vítimas, com códigos de rastreio de encomendas reais e dados pessoais. Não é possível determinar se a origem das informações sensíveis vêm de sistemas dos Correios ou das próprias lojas virtuais.

O que fazer para evitar o golpe dos Correios?

Não clique em qualquer link que você recebeu por SMS, e-mail ou WhatsApp. Para saber se sua encomenda foi taxada, consulte sempre o site e aplicativo oficial dos Correios: basta informar o código de rastreamento na seção Minhas Importações.

As taxas podem existir, mas apenas em encomendas internacionais — especialmente aquelas que não passaram pelo programa Remessa Conforme, utilizado pela AliExpress, Shopee, Temu e outros marketplaces estrangeiros. Se esse for o seu caso, o tributo provavelmente foi recolhido no momento da compra.

Compras nacionais não precisam pagar taxas alfandegárias. Se você comprou em alguma loja do Brasil, desconfie de mensagens como essa. Na dúvida, procure o estabelecimento.
Golpe dos Correios mostra nome, CPF e até o endereço real da vítima

Golpe dos Correios mostra nome, CPF e até o endereço real da vítima
Fonte: Tecnoblog

‹ Previous1234Next ›Last »