Tag: Segurança ⁄ Página: 12 ⁄ Manual do Usuário

10/2/2021, 10h15 3

O Google removeu o app Barcode Scanner da Play Store. Com mais de 10 milhões de downloads, ele servia para ler QR codes. Aparentemente, o app foi vendido em 2020 a uma empresa chamada LavaBird, que achou que seria uma boa ideia incluir no app, em novembro, um código que passava a abrir anúncios no celular do usuário. Via Malwarebytes (em inglês), Android Police (em inglês).

» O Google não excluiu o aplicativo dos celulares de quem já o baixou. Se você tem o Barcode Scanner instalado, é uma boa ideia removê-lo.

» É bem provável que o app da câmera nativo do seu aparelho consiga ler QR codes. Verifique. Se sim, é um app a menos para ocupar espaço e gerar esse tipo de brecha no seu celular.

8/2/2021, 14h34 2

A sede da Experian negou nesta segunda (8), outra vez, que a Serasa seja a fonte do vazamento de dados de mais de 220 milhões de CPFs no Brasil. Em nota, a empresa disse que após “exaustivas investigações” não encontrou evidências do envolvimento da Serasa, sua subsidiária brasileira, e que alguns dados incluídos no banco de dados à venda, como fotos, detalhes de previdência social, registros de veículos e dados de login de mídia social, não são coletados nem mantidos pela Serasa. Via Uol Tilt.

6/2/2021, 8h55 7

Em junho de 2020, o criador da The Great Suspender, uma extensão que gerencia abas no Chrome, vendeu seu projeto a uma empresa misteriosa. Desde então, o repositório se encheu de tópicos como este questionando se o novo dono estaria injetando código malicioso na extensão. Nesta sexta (5), o Google acabou com a brincadeira e excluiu a The Great Suspender da Chrome Web Store e a desabilitou para quem já a tinha instalada no Chrome. Via The Verge (em inglês).

6/2/2021, 8h45 1

Notícia do mês passado, mas vale o registro. A Anatel determinou, no Ato 77 de 5 de janeiro de 2021, uma série de novas regras para equipamentos de telecomunicações que precisam ser homologados pela agência para serem comercializados no Brasil. Entre elas, a proibição de senhas padrões (“admin”, quem nunca?) e “hardcoded” (embutidas no código-fonte), além de pedir obrigatoriamente, no primeiro uso, para que o usuário crie uma senha complexa (não vale 123456, por exemplo); proteção nativa contra ataques de força bruta; e garantia de atualização por no mínimo dois anos. As novas regras passam a valer 180 dias após a publicação do ato. Anatel via The Hack.

6/2/2021, 8h30 9

O Fui Vazado está inacessível desde a manhã desta sexta-feira (5). O site retorna um erro 1020 da CloudFlare, o que indica violação a alguma regra de firewall.

Não parece ser coincidência o fato de o Fui Vazado constar em um despacho do dia 3 de fevereiro do ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF), dentro do inquérito das fake news. No texto, ele é citado junto a outros endereços que “estariam comercializando, ilegalmente, dados pessoais de autoridades e dos Ministros desta CORTE” e que, por isso, deveriam ser bloqueados imediatamente — esses outros endereços também ficaram inacessíveis junto ao Fui Vazado, segundo o Estadão. O ministro Alexandre diz ainda que o Fui Vazado é o único cuja autoria é conhecida, e determinou que a Polícia Federal ouça Allan Fernando, o criador do site. Via STF, Estadão.

» Na entrevista que Allan Fernando me concedeu, ele afirmou categoricamente que não possui os bancos de dados detalhados do vazamento e que não vende nem tem intuito de lucrar com o Fui Vazado. Tentei novo contato com ele nesta sexta (5), sem sucesso.

“Meus dados estão lá no meio também,” diz criador do site Fui Vazado

4/2/2021, 10h04 5

Tal qual o proverbial rabo que balança o cachorro, passamos a última semana debatendo a segurança do site Fui Vazado, criado pelo programador Allan Fernando Armelin da Silva Moraes para informar se os dados de alguém — e quais deles — constam no mega vazamento revelado em janeiro pela PSafe e que, até o momento, ainda não se sabe de onde vazou.

(mais…)

ESTE SITE ESTÁ UM LIXO! Qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores. Favor levar a sério os assuntos de segurança da informação. Bolsonaro !, dá um jeito aí !

— Hackers que invadiram o site do Ministério da Saúde

A mensagem foi deixada na sexta-feira (29) no FormSUS, serviço do DataSUS para a criação de formulários. Dá para ter um gostinho do nível de qualidade do site na mensagem (legítima, do Ministério da Saúde) embaixo da do hacker, que pede aos usuários para que não usem aspas nos campos do formulário porque “em várias linguagens de programação [o caracter] é usado para delimitar uma cadeia de caracteres.” Em qualquer sistema minimamente bem feito, o próprio formulário trata de limpar as inserções desses caracteres problemáticos. Via Estadão.

Relembrando: no final de 2020, duas falhas nos sistemas do Ministério da Saúde expuseram dados de brasileiros — uma delas, de 243 milhões de pessoas.

4/2/2021, 8h06 3

3/2/2021, 14h05 8

Em outubro de 2020, o governo federal, entidades independentes e as operadoras lançaram a campanha #FiqueEsperto para “para alertar usuários sobre segurança e tentativas de golpes na internet.” A cada mês, a campanha aborda um tema específico para trabalhar junto à população.

O tema de fevereiro são as tentativas de fraudes com a utilização de links em mensagens. Recebi o comunicado esta manhã, contendo uma lista de dicas, entre elas verificar se o remetente é confiável e tomar cuidado com links.

A ironia? Uma das frentes da #FiqueEsperto consiste no disparo de mensagens de SMS, sem identificar o remetente, com links para seu site. O Henrique recebeu a deste mês e, embora certamente não seja, parece de propósito. Não cabe em palavras a ironia de alguém receber, de um remetente desconhecido e duvidoso, uma mensagem com link dizendo para tomar cuidado com links em mensagens enviadas por remetentes desconhecidos e duvidosos.

28/1/2021, 7h58

Da série pequenas ideias, grande utilidade, o WhatsApp passará a exigir autenticação biométrica para liberar o uso do app em computadores (aplicativo e versão web). Via G1.

21/1/2021, 8h06 1

Duas crianças descobriram uma falha grave no Cinnamon, interface gráfica criada e mantida pelo pessoa da distro Linux Mint. Ao digitarem aleatoriamente e ao mesmo tempo nos teclados físico e virtual com o protetor de tela ativo (e a sessão, bloqueada), eles travaram o protetor de tela e, com isso, ganharam acesso à conta do papai sem precisar digitar a senha. A falha foi reportada e já foi corrigida. Via linuxmint/Github.

6/1/2021, 18h21 7

Não há um número exato de computadores com Windows 7 em uso. Estimativas apontam pelo menos 100 milhões de PCs com esta versão do sistema, lançada no longínquo 2009 e há quase um ano sem suporte da Microsoft. Não é só por preguiça: sistemas legados incompatíveis, preferência pela interface e agilidade no tempo de resposta e custos seguram muita gente na versão defasada. Via ZDNet (em inglês).

10/12/2020, 14h25

A Adobe publicou, nesta terça (8), a última atualização do Flash Player, o formato que, em algum momento dos anos 2000, foi a promessa de futuro da web. (Aí o iPhone apareceu, ignorou o Flash e o resto é história.) O suporte ao Flash termina no próximo dia 31 e, a partir de 12 de janeiro, a Adobe bloqueará a execução de conteúdo em Flash. A empresa “recomenda fortemente que todos os usuários desinstalem o Flash Player imediatamente para ajudar na proteção de seus sistemas.” Via Adobe (em inglês).

4/12/2020, 9h00 2

O governo federal vai cobrar a devolução de pagamentos do auxílio emergencial de 2,6 milhões de pessoas que os receberam indevidamente. Até aí, tudo bem. Para isso, enviará 4,8 milhões de mensagens de texto (SMS). Estranho. Abre-se, com isso, provavelmente a maior janela de oportunidade para estelionatários brasileiros dos últimos anos. Via Poder360.

27/11/2020, 7h44 2

Inacreditável o vazamento de dados de 16 milhões de pacientes de COVID-19, revelado pelo Estadão. O funcionário do Hospital Albert Einstein confirmou à reportagem que enviou a planilha com senhas ao seu perfil no GitHub como parte de um teste e que esqueceu de removê-la. Hospital e Ministério da Saúde vão apurar o caso, e talvez a primeira pergunta a ser feita é por que uma senha importante dessas estava salva em texto puro numa planilha. Via Estadão.

16/11/2020, 8h54 11

Vários leitores me indicaram este post do pesquisador Jeffrey Paul em que ele cita o OCSP, um protocolo usado pelo sistema de segurança do macOS chamado Gatekeeper que se comunica periodicamente com servidores da Apple. Para Jeffrey, o uso do OCSP representa uma falha grave de privacidade porque os envios não são criptografados e revelam quais apps cada usuário executa em seu computador.

O OCSP atua no macOS desde a versão Mojave, de 2017, e, como o nome indica (é uma sigla para Online Certificate Status Protocol), serve para verificar se um app que o usuário deseja rodar usa certificados válidos. A Apple pode e sempre revoga certificados usados por apps comprometidos, vírus e outras ameaças, impedindo-os de serem executados e causarem danos ao computador. O OCSP é, pois, um recurso de segurança que não havia chamado a atenção (ver aqui e aqui). Chamou agora por dois motivos:

Na noite da última quinta (12), os servidores da Apple que fazem a verificação do OCSP ficaram muito lentos, talvez por sobrecarga. O macOS tem uma condicional para ignorar a verificação caso esses servidores estejam inacessíveis, mas como eles estavam acessíveis, só que muito lentos, o sistema manteve a verificação, que — você adivinhou — ficou bem lenta, a ponto de prejudicar o uso do computador.
No macOS Big Sur, lançado no mesmo dia, o serviço responsável pelo OCSP e alguns outros relacionados a aplicativos da própria Apple foram “escondidos” do usuário, de modo que apps de monitoramento do tráfego/firewalls, como o Little Snitch, não conseguem mais barrar esses contatos periódicos que o macOS faz com servidores da Apple.

Emprestando um termo batido de 2020 para descrever a situação, esse é o “novo normal” dos sistemas operacionais comerciais. A Microsoft encheu o Windows 10 de telemetria, sistemas móveis se comunicam o tempo todo com servidores centrais mesmo quando não estão em uso (o Android mais que o iOS) e o macOS não é exceção. E, que pesem a desconfiança e o risco à privacidade provocados por algo como o OCSP, ele tem uma função importante e útil, como a Apple descreve em sua documentação.

O gênio ter saído da lâmpada não significa que virou um vale-tudo, ou seja, o Gatekeeper, sistema de segurança em que o OCSP está implementado, pode ser mais transparente. Uma atualização datada desta segunda (16) na referida documentação da Apple trouxe mudanças. De imediato, a Apple parará de registrar os endereços IP e apagará todos os que já foram coletados. Em 2021, mais mudanças serão implementadas:

Um novo protocolo criptografado para verificações de certificados de desenvolvedores revogados;
Proteções mais robustas contra falhas de servidor; e
Uma nova opção aos usuários para desativar essas proteções de segurança.

A Apple, como no “bateria-gate” do iPhone, poderia muito bem ter se antecipado e evitado o desgaste. Ao fim, porém, as propostas de mudanças descritas acima soam a um bom equilíbrio.

Atualização (14h30): Pequenas mudanças na redação indicando que o OCSP é um protocolo aberto, não exclusiva da Apple, e parte do sistema Gatekeeper, que roda no macOS. Agradecimento ao leitor Douglas Caetano pelo toque!