Antivírus e Segurança | WebaDesign - Empresa de Webdesign - Desenvolvimento Web Design Macaé e Curitiba

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

26 de janeiro de 2024

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Ataque de pulverização de senhas deu acesso a conta sem 2FA (imagem ilustrativa: Vitor Pádua/Tecnoblog)

A Microsoft detalhou um ataque hacker a seus sistemas, que permitiu acesso a e-mails corporativos de lideranças da empresa. A invasão foi possível porque havia uma conta de testes sem autenticação de dois fatores. Foi a partir dela que os atacantes conseguiram acesso às plataformas. A companhia atribui a ação ao grupo russo Midnight Blizzard e alerta que outras organizações estão sob risco.

O ataque foi revelado no último dia 19 de janeiro, quando a Microsoft comunicou o ocorrido à SEC, entidade responsável por fiscalizar o mercado financeiro nos EUA. Nesta sexta (26), a empresa publicou os detalhes em seu blog.

A invasão usou a técnica de pulverização de senha, também conhecida como password spray. Nesta técnica, os hackers usam algumas senhas comum (às vezes, apenas uma) para tentar entrar em várias contas ao mesmo tempo. Segundo a Microsoft, o grupo “adaptou seus ataques de pulverização de senhas a um número limitado de contas, usando poucas tentativas para não ser detectado”.

Deu certo. Os atacantes conseguiram entrar em uma conta de teste legada e não produtiva, nas palavras da própria Microsoft. Isso significa que essa conta não era usada para trabalho, apenas para testes de um ambiente antigo. Ela não contava com autenticação de dois fatores (2FA). Isso teria impedido o ataque.

Com acesso a essa conta, os hackers comprometeram um aplicativo de teste com autenticação OAuth e o utilizaram para conseguir mais acessos nos sistemas da Microsoft.

Lideranças dos departamentos de cibersegurança e legal da Microsoft tiveram seus e-mails acessados (Imagem: Stephen Brashear/Microsoft)

Hackers podem ter atacado outras organizações

A Microsoft diz que o grupo conhecido como Midnight Blizzard foi o responsável pela invasão. Ele também é conhecido como Nobelium, APT29 e Cozy Bear. Suspeita-se que os hackers estejam trabalhando a serviço do Serviço de Inteligência Estrangeiro da Rússia.

A empresa diz que os hackers conseguiram acesso a um número muito pequeno de contas de e-mail corporativo da Microsoft, nas áreas de liderança, cibersegurança e legal. Curiosamente, o objetivo dos hackers parecia ser encontrar informações sobre eles mesmos, para descobrir o que a companhia sabia.

Além disso, a Microsoft afirma que os mesmos atacantes têm atacado outras organizações, que estão sendo notificadas pela empresa. A Hewlett Packard Enterprise, braço da HP dedicado a clientes corporativos, revelou que seu sistema de e-mail também foi hackeado. O serviço é hospedado pela Microsoft. O grupo Midnight Blizzard também foi responsável por este ataque.

Com informações: TechCrunch, Bleeping Computer, The Verge
Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA
Fonte: Tecnoblog

TV box ilegal: Anatel recomenda jogar fora os aparelhos infectados

25 de janeiro de 2024

TV box ilegal: Anatel recomenda jogar fora os aparelhos infectados

Pesquisadores chineses descobriram uma botnet composta por TV boxes infectadas (Imagem: Vitor Pádua / Tecnoblog)

A notícia de uma botnet composta por TV boxes ilegais acendeu o sinal de alerta na Anatel. O conselheiro Artur Coimbra recomendou que os consumidores joguem fora os equipamentos infectados. Ou, nas palavras dele, que “descartem” os dispositivos por causa dos riscos de segurança. Coimbra falou com exclusividade ao Tecnoblog.

O posicionamento do representante da agência ocorre na esteira de uma denúncia feita por um centro de pesquisas chinês. Mais de 1,3 milhão de endereços IP localizados no Brasil estavam em uso por uma botnet. Os equipamentos zumbis continham vírus e outros malwares, de modo que podiam ser acionados remotamente para cumprir inúmeras tarefas.

Os especialistas chinesesdizem que a maioria das TV boxes e dos IPs encontrados é do Brasil. São Paulo é o estado com mais aparelhos infectados, seguido pelo Rio de Janeiro. Também foram citados os estados de Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná e Santa Catarina.

Coimbra me disse que o órgão já tinha indícios de uma atividade suspeita sendo realizada também pela internet brasileira a partir de agosto de 2023. Ele ainda explicou que os provedores de acesso cumpriram diversos protocolos para conter a ameaça.

Sem certificação

Artur Coimbra é conselheiro da Anatel e especialista em regulação (Foto: Divulgação/Kenny Oliveira/Ministério das Comunicações)

“O consumidor muitas vezes não sente na pele os problemas de comprar uma TV box irregular. Ele pode até achar que é legal porque pagou centenas de reais na caixinha. No entanto, não é certificada pela Anatel e ainda permite consumo de conteúdo furtado. Se você tem uma dessas, descarte.”
Artur Coimbra – Conselheiro da Anatel

Ele ainda recomendou que os usuários busquem pelo selo da agência antes de fechar a compra de uma nova TV box. Existem diversas opções em conformidade com a lei brasileira. No entanto, as TV boxes ilegais se tornaram febre por destravarem o acesso a plataformas de streaming e canais da TV por assinatura.

Sistema Android TV

Coimbra lembrou que as TV boxes com sistema Android TV (ou mesmo Android, em alguns casos) podem até rodar um sistema desenvolvido por uma grande empresa, no caso o Google, mas não contam com mecanismos básicos de proteção. Elas não costumam receber os pacotes de segurança mais recentes, por exemplo.

O laboratório antipirataria da Anatel já encontrou cavalos de Troia e backdoors embarcadas em unidades de TV box irregular, de acordo com um levantamento de 2022. Com isso, atacantes conseguem controlar remotamente os aparelhos e ainda podem ter acesso aos demais aparelhos na rede doméstica daquele consumidor.

Coimbra disse que a comunicação das TV boxes irregulares com a internet não recebe o mesmo tipo de criptografia visto nos aparelhos regulares. Ou seja, em tese seria possível interceptar e ler os dados.
TV box ilegal: Anatel recomenda jogar fora os aparelhos infectados

TV box ilegal: Anatel recomenda jogar fora os aparelhos infectados
Fonte: Tecnoblog

26 bilhões de contas aparecem em maior vazamento da história

23 de janeiro de 2024

26 bilhões de contas aparecem em maior vazamento da história

Pacotão de contas vazadas foi disponibilizado por hackers — ou um único hacker (imagem ilustrativa: Vitor Pádua/Tecnoblog)

Um pacote de 26 bilhões de dados foi encontrado pela Security Discovery, um grupo de cibersegurança. O grande número é resultado da compilação de informações de vazamentos anteriores — e é praticamente certo que há dados duplicados. A maior parte das informações é oriunda de um leak da Tencent, mas também há registros de órgãos públicos do Brasil.

O maior risco desse compilado de contas está relacionado com senhas repetidas. Os possíveis compradores ou grupo cracker que está com o pacotão de dados pode usar as senhas vazadas para tentar entrar em outras contas — ainda que essas informações sejam antigas.

Por exemplo, existem 251 milhões de contas do LinkedIn nesse pacote e 281 milhões do Twitter. Em 2016, 164 milhões de contas da plataforma tiveram suas senhas vazadas. O usuário que trocou a senha do LinkedIn na época, mas ainda usa o mesmo código em outro serviço está em risco. Assim, um cibercriminoso pode tentar usar a senha do LinkedIn no Twitter, já que alguns emails dos usuários foram vazados em 2022.

Serviços chineses são as maiores fontes

Mais de 2 bilhões das contas vazadas são de empresas chinesas (Imagem: Vitor Pádua/Tecnoblog)

A Tencent QQ, serviço de mensagem da empresa, e Weibo são as plataformas com maiores números de dados vazados. A Tencent tem 1,5 bilhão de contas no pacote, enquanto o Weibo tem 504 milhões. Fechando o top 5 temos, respectivamente, MySpace (360 milhões), Twitter (281 milhões) e Wattpad (271 milhões).

O Tecnoblog entrou em contato com a Security Discovery para saber se o pacote está à venda ou apenas foi um achado da equipe. A matéria será atualizada quando a empresa responder.

É provável que o megavazamento de 223 milhões de CPFs não integre a lista, já que as 18 maiores fontes não incluem o Brasil — e o Badoo, 18º lugar, é fonte de 127 milhões de dados. No entanto, o ConecteSUS e a Caixa Econômica Federal já foram alvo de hackers no passado, sem vazamentos de grandes proporções.

No site da CyberNews existe uma ferramenta para pesquisar a origem dos dados. A Petrobras, SPTrans e USP são algumas das fontes listadas. Entre as empresas privadas do Brasil estão a Descomplica (vazamento em 2021), Vakinha (vazamento em 2020) e CCAA.

Para conferir se os seus emails foram vazados através do site Have I Been Pwned?, que registra contas vítimas desses cibercrimes. Como os 26 bilhões de dados são um “combo” de vazamento anteriores, você pode checar se seu email integra algum dos bancos de dados divulgados pela Cyber Security.

Vazamento de 2021 da Descomplica foi reaproveitado nesse pacote de 26 bilhões de contas (Imagem: Reprodução/Have I Been Pwned?)

18 maiores fontes de dados do vazamento

Tencent – 1,5 bilhão

Weibo – 504 milhões

MySpace – 360 milhões

Twitter – 281 milhões

Wattpad – 271 milhões

NetEase – 261 milhões

Deezer – 258 milhões

LinkedIn – 251 milhões

AdultFriendFinder – 220 milhões

Zynga – 217 milhões

Luxottica – 206 milhões

Evite – 179 milhões

Zing – 164 milhões

Adobe – 153 milhões

MyFitnessPal – 151 milhões

Canva – 143 milhões

JD.com – 142 milhões

Badoo – 127 milhões

Com informações: Tom’s Guide
26 bilhões de contas aparecem em maior vazamento da história

26 bilhões de contas aparecem em maior vazamento da história
Fonte: Tecnoblog

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

5 de janeiro de 2024

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

Sequestro de BGP ativou sistemas de proteção e derrubou rotas da Orange Espanha (Imagem: JJ Ying/Unsplash)

A Orange Espanha, segunda maior operadora do país, ficou sem sinal na última quarta-feira (3) após sofrer um ataque de desvio de rotas de internet. A ação só foi possível porque a senha de um importante sistema era ridiculamente fácil: “ripeadmin”.

O ataque foi um sequestro de BGP, quando pessoas mal-intencionadas redirecionam o tráfego de internet, por meio de anúncios falsos de prefixos de IP. Isso só é possível com o acesso a um roteador que faz a ponte entre dois sistemas autônomos, como os de provedores e operadoras.

O ataque aconteceu quando uma pessoa identificada apenas como “Snow” conseguiu acesso à conta da Orange Espanha no RIPE NCC, entidade que administra os registros de internet na Europa, no Oriente Médio e em partes da Ásia Central. A título de curiosidade, quem faz isso aqui na América Latina e no Caribe é o LACNIC.

Com acesso ao sistema, Snow “bagunçou” as rotas de internet ao emitir novas ROAs, autorizações para designar sistemas autônomos ou IPs como capazes de entregar tráfego a várias partes do mundo. Isso foi corrigido logo, mas o pior ainda estava por vir.

Snow publicou quatro ROAs com origens sem relação com a Orange Espanha. Isso levou uma proteção do BGP, conhecida como RPKI, a alertar provedores de backbone para rejeitar os novos anúncios. Porém, o que aconteceu foi que a RPKI funcionou como um ataque de negação de serviço (DDoS) à rede da Orange Espanha, causando instabilidade para os usuários e levando a uma queda de 50% do tráfego da operadora.

A senha da conta RIPE era… “ripeadmin”

Não foi preciso muito esforço para invadir a conta, já que a senha era “ripeadmin”. Nas palavras da empresa de cibersegurança Hudson Rock, a combinação era “ridiculamente fácil”.

Senha da Orange Espanha no sistema da RIPE NCC era “ripeadmin” (Imagem ilustrativa: TheDigitalWay/Flickr)

A Hudson Rock diz que a senha foi descoberta provavelmente com ajuda de um malware. O e-mail usado no sistema do RIPE NCC e a senha foram encontradas em uma lista de contas vazadas por programas que roubam informações.

No X (antigo Twitter), Snow afirmou ter encontrado as credenciais por acaso, enquanto procurava por dados de bots em vazamentos públicos. “Eu vi a conta RIPE com a senha ‘ripeadmin’, sem autenticação em dois fatores, sem precisar de nenhuma engenharia social”, disse a hacker.

Snow ainda fez piada no X. Em um post, ela mencionou a conta da Orange Espanha e disse “Eu consertei a segurança da sua conta de administrador da RIPE. Mande uma mensagem para eu passar as novas credenciais”.

A RIPE NCC abriu uma investigação sobre o acidente. O órgão restaurou a conta da Orange Espanha e aconselha que seus membros usem a autenticação em dois fatores.

Com informações: Ars Technica, Bleeping Computer
Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço
Fonte: Tecnoblog

LastPass adota de vez senha mestre de 12 caracteres

4 de janeiro de 2024

LastPass adota de vez senha mestre de 12 caracteres

LastPass exigirá que todos os clientes utilizem uma senha mestra de 12 caracteres (Imagem: Emerson Alecrim/Tecnoblog)

A LastPass, empresa de gerenciamento de senhas, divulgou nesta semana uma atualização para a criação de senha mestre. Agora, todos os clientes terão que usar uma senha mestre de no mínimo 12 caracteres. Isso já era uma exigência da empresa desde 2018, mas quem criou uma conta antes disso e nunca a atualizou pode estar com uma senha menor e menos segura.

No comunicado em que informa sobre a mudança, a LastPass destaca que o mínimo de caracteres exigido é maior do que o recomendado pela NIST, órgão americano equivalente à ABNT, que sugere uma senha de oito caracteres ou mais. De fato, as regras de senha da LastPass são melhores para a criação de uma senha difícil de ser quebrada — mais do que caracteres especiais, é importante que a sua senha seja longa.

LastPass obrigará uso de senha mestra de 12 caracteres

Senhas mais longas são mais seguras e LastPass finalmente fará seus usuários seguirem a medida de segurança (Imagem: Vitor Pádua/Tecnoblog)

A partir dos próximos dias, usuários dos planos pessoais (gratuito, premium e família) do LastPass receberão emails informando que eles devem atualizar a senha mestra para atender a nova regra do serviço. Em seguida, a notificação será enviada para os clientes dos planos Teams e Business, que atendem empresas.

A nova regra de senha mestra do LastPass segue o que é padrão em outros serviços: além de ter no mínimo 12 caracteres, é obrigatório que haja, pelo menos, um caractere especial, um número, uma letra minúscula e uma letra maiúscula. De acordo com um estudo da Home Security Heroes, uma combinação desse tipo e com 12 caracteres pode levar 2 mil anos para ser quebrada por uma inteligência artificial.

LastPass sofreu com vazamento de senhas em 2022

Em 2022, a LastPass foi vítima de dois ataques. O primeiro, em agosto, roubou código fonte da empresa. Meses depois, em novembro, esse código foi usado para invadir a nuvem de armazenamento do serviço, o que gerou um caso mais grave, no qual o backup do cofre dos usuários foi roubado. Mesmo com senhas, esses cofres poderiam ser invadidos através de ataques de força-bruta.

Com informações: The Verge e BleepingComputer
LastPass adota de vez senha mestre de 12 caracteres

LastPass adota de vez senha mestre de 12 caracteres
Fonte: Tecnoblog

Como controlar a exibição de conteúdo sensível no Instagram

26 de dezembro de 2023

Como controlar a exibição de conteúdo sensível no Instagram

Instagram tem filtro para exibição de conteúdo sensível (Imagem: Vitor Pádua/Tecnoblog)

Um conteúdo sensível no Instagram é aquele que não viola as diretrizes da comunidade, mas que pode ser desconfortável ou impróprio para algumas pessoas. O Instagram permite ajustar o algoritmo de recomendação para ver menos conteúdos sensíveis no feed ou na aba “Explorar”.

Os conteúdos que são potencialmente sensíveis estão englobados nas diretrizes de recomendações do Instagram. Eles podem envolver tópicos como violência (pessoas brigando), nudez (pessoas com roupas transparentes) ou saúde (procedimentos cosméticos).

Quando um usuário se depara com um conteúdo delicado no Instagram, a rede social oculta essa publicação com um aviso de conteúdo sensível e deixa o usuário escolher se deseja ver ou pular. Esse ajuste é feito automaticamente pela plataforma e não pode ser retirado ou colocado pelo usuário.

A seguir, veja como ajustar seu Instagram para bloquear conteúdo sensível.

Índíce1. Acesse seu perfil no Instagram2. Toque no menu para acessar as configurações de privacidade3. Selecione a opção “Sugestão de conteúdo” do Instagram4. Toque em “Conteúdo Sensível”5. Defina a quantidade de conteúdo sensível que deseja ver no InstagramPosso bloquear todo conteúdo sensível no Instagram?Adolescentes podem ver conteúdo sensível no Instagram?Dá para bloquear outros tipos de conteúdo no Instagram?Qual é a diferença entre conteúdo sensível e impróprio no Instagram?O Instagram permite “perfis +18”?

1. Acesse seu perfil no Instagram

Abra o app do Instagram no seu celular Android ou iPhone e toque na sua foto no canto inferior da tela para visualizar o seu perfil.

2. Toque no menu para acessar as configurações de privacidade

Toque no botão com três riscos horizontais no canto superior direito da tela do app para abrir o menu de configurações do Instagram. Então, toque na opção “Configurações e privacidade”.

3. Selecione a opção “Sugestão de conteúdo” do Instagram

Desça a tela do app do Instagram e toque a opção “Sugestão de conteúdo” na seção “O que você vê”.

4. Toque em “Conteúdo Sensível”

Selecione a opção “Conteúdo Sensível” dentro da seção “Conteúdo sugerido que você pode ver”. Se for a primeira vez que você acessa a área no app, leia a explicação das diretrizes e toque no botão azul “Continuar”.

5. Defina a quantidade de conteúdo sensível que deseja ver no Instagram

O Instagram tem três níveis de filtro de conteúdo sensível: Mais, Padrão e Menos. Você pode determinar a quantidade de publicações sugeridas com aviso de conteúdo sensível que serão exibidos na aba “Explorar”, no Reels e no feed da rede social. Essa configuração também é válida para o Threads.

Posso bloquear todo conteúdo sensível no Instagram?

Não. O Instagram permite ajustar o nível de visualização de conteúdo sensível entre “Mais”, “Padrão” e “Menos”. Porém, todas as opções consideram a possibilidade de exibição de conteúdo marcado como sensível.

Adolescentes podem ver conteúdo sensível no Instagram?

Sim. No entanto, o Instagram afirma que perfis de pessoas menores de 16 anos só podem escolher entre as opções de ver “Menos” conteúdo sensível e “Padrão”, sendo “Menos” a escolha recomendada pela própria rede social.

Dá para bloquear outros tipos de conteúdo no Instagram?

Sim. Você pode bloquear a sugestão de posts de assuntos específicos no Instagram. A rede social deixa criar uma lista de palavras, frases ou emojis que serão ocultados nas publicações sugeridas. Entretanto, a funcionalidade não bloqueia as publicações de pessoas que você segue, mesmo que o conteúdo use palavras ou termos bloqueados.

Qual é a diferença entre conteúdo sensível e impróprio no Instagram?

O Instagram diferencia conteúdos sensíveis (que são permitidos na plataforma) de conteúdos impróprios (que são proibidos):

Conteúdo sensível: posts com imagens relacionadas à saúde (procedimentos médicos e cosméticos), violência (indivíduos brigando) ou nudez sugestiva (pessoas com roupas transparentes). Essas publicações são exibidas para os usuários com um aviso antes de mostrar a foto ou o vídeo;

Conteúdo impróprio: publicações que contêm imagens explicitamente violentas e/ou sexuais ou tragam informações falsas e enganosas (fake news). Condições que ferem as diretrizes da comunidade do Instagram. O material é excluído e a conta pode ser punida se for uma ação recorrente.

O Instagram permite “perfis +18”?

Não. O Instagram não permite perfis com conteúdo adulto. Posts com nudez explícita ou atividades sexuais são removidos por questões de segurança dos usuários no Instagram. A rede social também usa algoritmos para evitar que os conteúdos sexuais explícitos ou sugestivos sejam exibidos para pessoas menores de 16 anos.
Como controlar a exibição de conteúdo sensível no Instagram

Como controlar a exibição de conteúdo sensível no Instagram
Fonte: Tecnoblog

Empresa de marketing alega ouvir conversas para direcionar anúncios

15 de dezembro de 2023

Empresa de marketing alega ouvir conversas para direcionar anúncios

CMG afirma que smartphones e smart TVs podem ser usados para escutar conversas (Imagem: Unspalsh/Priscilla Du Preez)

Uma equipe da empresa de marketing Cox Media Group (CMG) alega ter capacidade técnica para ouvir conversas de consumidores por meio de microfones em celulares, smart TVs e outros aparelhos. A companhia, porém, não apresentou evidências de que realmente consegue fazer isso.

O assunto foi descoberto pelo site 404 Media. A reportagem teve acesso a materiais de vendas da empresa e uma apresentação de um representante. No LinkedIn, outro vendedor dizia para interessados na tecnologia entrarem em contato.

Por enquanto, ainda não está claro se a CMG está realmente oferecendo um produto com esta capacidade técnica ou se ela está apenas se aproveitando de uma antiga suspeita (até agora sem uma evidência conclusiva) para atrair clientes com pouco conhecimento na área.

O Tecnoblog vai acompanhar o desenvolvimento desta história e trará novas informações assim que surgirem.

Empresa não dá detalhes sobre como ouve conversas

A CMG anuncia seu produto como capaz de “direcionar propaganda exatamente para as pessoas que você procura”. Isso seria feito com base nas conversas do dia a dia.

A empresa menciona frases como “Você viu o mofo no teto?” e “Precisamos pensar seriamente em planejar nossa aposentadoria” como gatilhos para identificar alvos de propaganda.

No entanto, ela não explica como faz isso — se é usando um app ou oferecendo um kit de desenvolvimento, por exemplo. Também não diz se a tecnologia que ela alega possuir já está funcionando. O material de vendas afirma que é uma “técnica de marketing preparada para o futuro. Disponível agora”.

CMG não explica como consegue as conversas (Imagem: Andrew Guan/Unsplash)

A CMG também alega que a coleta seria legal, já que os usuários dão consentimento ao aceitar termos e condições para baixar atualizações ou apps.

Procurada pela 404 Media, a CMG não comentou o assunto.

Suspeita é antiga, mas nenhuma evidência definitiva foi encontrada

A suspeita de que smartphones e outros smart aparelhos escutam nossas conversas vem de longa data e deixa muita gente desconfiada.

Até agora, empresas como Apple e Meta negaram este tipo de prática, e os mais céticos dizem que seria impossível processar quantidades enormes de áudio sem que o usuário notasse, já que isso teria impacto no consumo de dados ou na bateria.

Grande parte dessa suspeita vem de relatos anedóticos, contados de pessoas que viram propagandas de algum produto na internet após falarem daquele mesmo assunto em uma conversa presencial.

Isso, porém, pode ser explicado pela grande quantidade de dados que as empresas têm sobre nós: cookies, histórico de buscas, interações em redes sociais, informações sobre nossos aparelhos, geolocalização e muito mais. Com tantas informações, nem seria necessário gravar conversas para adivinhar do que estamos falando.

Mesmo assim, alguns casos já chamaram atenção. O app oficial do campeonato espanhol, por exemplo, usava geolocalização e o microfone do celular para identificar transmissões ilegais das partidas da competição.

Com informações: 404 Media, Gizmodo
Empresa de marketing alega ouvir conversas para direcionar anúncios

Empresa de marketing alega ouvir conversas para direcionar anúncios
Fonte: Tecnoblog

iPhone testa “modo ladrão” que protege informações em caso de roubo

12 de dezembro de 2023

iPhone testa “modo ladrão” que protege informações em caso de roubo

Tela de Proteção de Dispositivo Roubado no iOS 17.3 Beta (Imagem: Thássius Veloso/Tecnoblog)

O iPhone deve ganhar em breve um novo recurso de segurança chamado de Proteção de Dispositivo Roubado (Stolen Device Protection em inglês). Quando ele está ativado, mesmo que um ladrão tenha o código para desbloquear o aparelho, ele fica sem acesso a senhas salvas ou a configurações sensíveis.

A novidade apareceu no primeiro beta do iOS 17.3, liberado nesta terça-feira (12) para desenvolvedores. Ao ser ativada, a Stolen Device Protection (ou Proteção ao Aparelho Roubado, em tradução livre) bloqueia mudanças como:

usar senhas ou chaves de acesso salvas

pedir um Apple Card (disponível apenas nos EUA)

desligar o modo de aparelho perdido

apagar os dados do aparelho

usar métodos de pagamento salvos

Tudo isso só pode ser desbloqueado com autenticação biométrica — Face ID, nos iPhones mais novos, ou Touch ID, nos mais antigos.

Algumas alterações terão uma proteção ainda mais forte. São os casos de:

mudar a senha do Apple ID

mudar as configurações de segurança do Apple ID

alterar as configurações de Touch/Face ID ou o código de acesso

desligar o app Buscar

desligar a Proteção ao Aparelho Roubado

Nessas situações, se o iPhone estiver longe de localizações conhecidas, como casa e trabalho, a pessoa precisará fazer a autenticação biométrica, aguardar uma hora e repetir a autenticação biométrica.

Proteção vem após roubos de iPhones nos EUA

A ferramenta já havia sido revelada pelo Wall Street Journal em fevereiro deste ano. Ela é uma resposta a um tipo de crime que vem se tornando mais frequente nos EUA.

Por lá, criminosos ficam de olho em potenciais vítimas para descobrir a senha de seus iPhones, em lugares como bares e restaurantes. Então, roubam o aparelho, digitam a senha para desbloquear e ganham acesso amplo a vários recursos, como usar o Apple Pay, pedir o Apple Card e acessar contas bancárias, além de trancar o usuário para fora de seu iCloud. Com a nova proteção, isso deve ficar mais difícil.

Com informações: MacRumors, 9to5Mac e The Wall Street Journal
iPhone testa “modo ladrão” que protege informações em caso de roubo

iPhone testa “modo ladrão” que protege informações em caso de roubo
Fonte: Tecnoblog

Apple e Google compartilham histórico de notificações com autoridades

7 de dezembro de 2023

Apple e Google compartilham histórico de notificações com autoridades

Notificações ficam registradas em servidores da Apple ou do Google, dependendo do sistema operacional (Imagem: Duo Nguyen/Unsplash)

Apple e Google confirmaram que autoridades podem acessar notificações que foram enviadas para celulares. Para isso, o Google exige uma ordem judicial, enquanto a Apple requer apenas uma intimação.

As informações vieram a público após uma carta do senador dos EUA Ron Wyden. Ele quer que o Departamento de Justiça atualize ou remova políticas que proíbem que empresas informem o público sobre pedidos secretos de governos.

Wyden diz ter recebido uma denúncia de que Apple e Google compartilham notificações “push” com autoridades, mas, ao questionar as empresas, elas alegaram não poder falar sobre isso, devido a uma proibição do governo federal dos EUA.

Apple e Google confirmam solicitações

Apesar de terem se recusado a falar com a equipe do senador, Apple e Google emitiram comunicados públicos comentando a carta.

A Apple confirmou que o governo federal dos EUA a proibiu de compartilhar informações sobre essas solicitações. No entanto, como o método se tornou público, ela vai passar a detalhar estes pedidos em seus relatórios de transparência futuros.

A empresa também atualizou suas diretrizes para processos jurídicos nos EUA. Agora, elas incluem um trecho que diz que registros de notificações push podem ser obtidos com uma intimação ou um processo legal de nível mais alto.

Notificações push passam por servidores antes de chegar ao aparelho (Imagem: Jamie Street/Unsplash)

O Google também confirmou que recebe solicitações para acesso a registros de notificações push, mas que elas precisam de ordens judiciais.

A companhia afirmou que inclui este tipo de informação em seus relatórios de transparência. Segundo uma reportagem da Wired, os relatórios divulgados entre dezembro de 2019 e dezembro de 2022 não especificam quantas solicitações eram direcionadas a notificações.

O Washington Post analisou alguns processos que envolveram acesso a notificações de suspeitos. Entre eles, estão casos de lavagem de dinheiro e pornografia infantil, bem como envolvimento na invasão do Capitólio, em 2021.

Como investigadores acessam notificações

Ao contrário do que muita gente pensa, notificações push não vão diretamente do app para a tela do celular. Elas precisam passar por serviços dos sistemas operacionais, como o Push Notification Service, do iOS da Apple, e o Firebase Cloud Messaging, do Android do Google.

Como explica a Wired, cada usuário de um app recebe um token de push, que é compartilhado entre o app e o sistema de notificações do sistema operacional. Esses tokens não são ligados permanentemente a um usuário, e podem mudar caso ele desinstale e reinstale um app ou troque de aparelho.

Para descobrir o token, as autoridades precisam procurar primeiro o desenvolvedor do aplicativo de interesse. A partir daí, elas procuram a Apple e o Google e solicitam informações associadas.

Com informações: Wired, Washington Post, Ars Technica
Apple e Google compartilham histórico de notificações com autoridades

Apple e Google compartilham histórico de notificações com autoridades
Fonte: Tecnoblog

Google conserta sexta vulnerabilidade zero-day do Chrome em 2023

29 de novembro de 2023

Google conserta sexta vulnerabilidade zero-day do Chrome em 2023

Google (Imagem: Vitor Pádua / Tecnoblog)

O Google corrigiu mais uma falha de segurança do seu navegador, o Chrome. Esta é a sexta vulnerabilidade do tipo zero-day em 2023. O problema envolvia a biblioteca de gráficos 2D Skia, usada pelo browser e por outros produtos, como o ChromeOS e o Android.

A correção está sendo distribuída no canal Stable do Chrome para Windows (versão 119.0.6045.199/.200) e para macOS e Linux (119.0.6045.199).

O Google diz que a distribuição pode levar dias ou até semanas para chegar a todos. No meu computador, ela já chegou.

Google Chrome (imagem: Emerson Alecrim/Tecnoblog)

Para saber se seu navegador foi atualizado, clique nos três pontinhos no canto superior direito, vá até “Ajuda” e escolha “Sobre o Google Chrome”. Uma página com o número da versão instalada vai aparecer. Se um update estiver disponível, ela será instalada imediatamente.

Vulnerabilidade pode afetar outros softwares

Falhas zero-day são aquelas descobertas por criminosos antes mesmo da empresa ou organização responsável pelo software, que fica com “zero dia” para resolver o problema — daí o nome.

A vulnerabilidade foi identificada por Benoît Sevens e Clémant Lecigne, pesquisadores do grupo de análise de ameaças do Google, e reportada no dia 24 de novembro. Ela recebeu o identificador CVE-2023-6345.

Este grupo é conhecido por descobrir vulnerabilidades zero-day. Geralmente, este tipo de problema é explorado por grupos de hackers ligados a estados, geralmente tendo jornalistas e políticos de oposição como alvos.

A empresa confirma que um exploit desta falha já existe — ou seja, atacantes podem estar tirando proveito do problema para infectar computadores com spyware.

O Google não deu mais detalhes sobre a vulnerabilidade de segurança. A empresa diz apenas que ela envolve um integer overflow (transbordamento de inteiro, em tradução livre) na biblioteca gráfica 2D Skia.

Isso pode ser explorado de várias formas, de fazer apps travarem a executar códigos de maneira arbitrária (ou seja, que o próprio atacante escolhe).

Segundo a empresa, os detalhes só serão revelados quando a maioria dos usuários atualizar o Chrome. Caso ela afete outros softwares, a restrição será estendida.

Esta é a sexta vulnerabilidade zero-day encontrada no Chrome em 2023. Em setembro, outras duas foram corrigidas, e mais três receberam reparos no primeiro semestre.

Com informações: Bleeping Computer
Google conserta sexta vulnerabilidade zero-day do Chrome em 2023

Google conserta sexta vulnerabilidade zero-day do Chrome em 2023
Fonte: Tecnoblog

« First ‹ Previous 7 8910 11 Next ›Last »

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Category: Antivírus e Segurança