Segurança

10

O Google virou a chave e habilitou as passkeys, ou chaves-senha, para a Conta Google. A ideia desse novo padrão é substituir senhas e o segundo fator de autenticação por um dispositivo: o próprio celular torna-se uma chave física, protegida por biometria ou código de desbloqueio.

A iniciativa é apoiada por todas as gigantes da tecnologia — a Apple implementou suporte às chaves-senha no iOS 16, Chrome e Android já suportam… A promessa é de mais conveniência e maior segurança.

O desafio, porém, é comunicar isso e explicar os cenários improváveis, mas críticos, como o que acontece em caso de perda ou roubo do celular. Até mesmo em publicações especializadas, como o The Verge, muitos leitores/comentaristas manifestam dúvidas e confusão com o padrão.

Caso queira ativar a chave-senha em sua Conta Google, basta entrar nesta página e seguir as orientações. Via Blog de segurança do Google (em inglês).

1

O Banco Central anunciou duas novidades para melhorar a segurança do Pix:

  1. Notificação de infração, que permitirá às instituições financeiras rotular usuários e chaves Pix como suspeitos de fraudes com detalhamento do tipo de fraude e razão da notificação.
  2. Uma reformulação nos dados disponibilizados às instituições para análises antifraude. Além de um conjunto mais amplo de dados, como os citados acima, o período dos dados disponíveis será ampliado de seis meses para até cinco anos.

As novidades começam a valer a partir de 5 de novembro. Via Banco Central.

Google Authenticator com sincronia na nuvem pode não ser boa ideia

8

O Google Authenticator, aplicativo de senhas temporárias (OTP, na sigla em inglês) usado para autenticação em dois fatores (2FA), foi atualizado. Agora, os códigos temporários podem ser sincronizados via Conta Google.

Segundo Christiaan Brand, gerente de produtos do Google, era um pedido antigo dos usuários que, ignorando os códigos de backup gerados durante a configuração da 2FA, se viam sem saída quando perdiam o celular, ficando trancados para fora das suas contas digitais.

Não há dúvida de que a sincronia via Conta Google é mais conveniente. Por outro lado, essa solução fragiliza um pouco a proteção que a 2FA oferece. Alguém que invada sua Conta Google, por exemplo, teria a faca e o queijo na mão.

Piora. Aparentemente, os dados do Google Authenticator não são criptografados de ponta a ponta, o que significa que o Google ou autoridades com um mandado de busca e apreensão da Justiça poderiam apossar-se dos códigos.

O que fazer, então? O Google ainda permite o uso do Authenticator sem fazer a sincronia. É o ideal. Caso perca seu celular, existe uma saída segura que são os códigos de backup gerados durante a configuração da 2FA. É importante guardá-los em local seguro e acessível.

Quem procura conveniência pode tentar aplicativos do tipo que fazem o backup online/sincronia com criptografia de ponta a ponta, como o Authy. Via Blog de segurança do Google, @mysk@defcon.social/Mastodon (ambos em inglês).

3

A Mullvad VPN, da Suécia, avisou ter recebido em seu escritório “pelo menos seis policiais” do Departamento de Operações Nacional, da polícia sueca, com um mandado de busca e apreensão. O objetivo era apreender computadores com dados dos usuários.

A investida das autoridades foi frustrada, segundo a empresa. A Mullvad VPN diz não guardar dados dos seus clientes.

Argumentamos que eles não tinham motivos para esperar encontrar o que estavam procurando e, portanto, quaisquer apreensões seriam ilegais sob a lei sueca. Depois de demonstrar que é realmente assim que nosso serviço funciona e de terem consultado o promotor, eles saíram sem pegar nada e sem nenhuma informação dos clientes.

Segundo a empresa, foi a primeira vez em 14 anos que eles receberam a visita de autoridades no escritório, que fica em Gotemburgo, na costa oeste da Suécia. Via Mullvad VPN (em inglês).

14

A Anatel aprovou novas regras para roteadores e modems domésticos. O ato nº 2.436 prevê que esses dispositivos tenham senhas aleatórias e únicas, que impeçam o usuário de configurarem senhas fracas e obriga as fabricantes a disponibilizarem atualizações de segurança gratuitas. O objetivo é combater invasões que criam “botnets” e expõem dados dos usuários. Fabricantes têm até 10 de março de 2024 para se adequarem. Via Anatel, Convergência Digital.

11

O Ministério da Justiça e Segurança Pública (MJSP) editou, nesta quinta (13), uma portaria com novas diretrizes para plataformas digitais voltada exclusivamente para ameaças contra estudantes, crianças e adolescentes. Leia na íntegra (PDF).

A portaria prevê uma série de medidas, com o apoio da Senacon e da Senasp, voltadas à moderação, atuação e responsabilização das plataformas que não forem ágeis na identificação e remoção desse tipo de conteúdo.

O documento define punições que vão de multas (até R$ 12 milhões) até a suspensão e banimento no país. “Nós não desejamos que isso aconteça, pelo contrário”, disse o ministro Flávio Dino na apresentação da portaria, na quarta (12). “Com a edição dessa moldura normativa, objetiva, com obrigações, com prazos, com parâmetros técnicos, o que nós desejamos é a adequação desses serviços.”

A portaria ganhou contornos após a reunião do MJSP com seis plataformas digitais na segunda-feira (10). Na ocasião, uma advogada do Twitter, baseada no México (que agora responde pela subsidiária brasileira), afirmou que conteúdo de apologia a massacres estudantis não violaria os termos de uso da plataforma.

A declaração causou espanto e indignação, e foi retomada em tom crítico por Dino nesta quarta: “Uma criança vale mais do que todos os termos de uso de todas as plataformas.” Via MJSP, G1.

5

A Microsoft corrigiu uma falha no Defender, o antivírus nativo do Windows — que vem ativado de fábrica —, que causava picos de processamento quando o Firefox estava em uso.

Embora seja um problema no Defender, a falha foi registrada no Bugzilla, da Mozilla, por Markus Jaritz em fevereiro de 2018:

Notei que já faz algum tempo a maior parte do tempo em que o Firefox está ativo, o [serviço] nativo do Windows 10 “Antimalware Service Executable” usa mais de 30% do meu processador e lê e escreve arquivos aleatórios em Windows/Temp, todos começando com etilqs_.

Isso tem me atrasado significativamente e faz com que o Firefox fique bem lento.

A correção finalmente chegou nesta terça, na atualização de março do Defender (plataforma 4.18.2302.x, motor 1.1.20200.4).

Yannis Juglaret, engenheiro da Mozilla, testou a correção e confirmou a melhoria:

Os números sugerem uma melhoria de ~75% no uso do processador do MsMpEng.exe ao navegar com o Firefox (o número específico se aplica a navegar no youtube.com na minha máquina).

Foi um mês cheio: na terça (11), a Microsoft liberou correções para 96 falhas, incluindo uma do tipo “dia zero” e sete classificadas como críticas. Antes disso, no dia 6/4, 17 falhas do Edge já haviam sido corrigidas. Via Neowin, Bleeping Computer (ambos em inglês)

5

A Polícia Civil de São Paulo desbaratou uma quadrilha especializada em roubos e furtos de celulares que ficou famosa por ter uma “sede” na Rua Guaianases, na cracolândia da capital paulista.

O local é o destino de vários iPhones roubados, como é possível ver pelos (muitos) comentários de pessoas lesadas. O endereço viralizou no fim de março.

Na operação, um senegalês foi preso e 53 celulares, apreendidos. A Polícia Civil, que investigava a quadrilha há um ano, obteve conversas de aplicativos de mensagens mostrando as negociações. Os valores pagos por iPhones roubados variavam de R$ 400 a R$ 1,8 mil (preço pago por um iPhone 13 Pro Max, que é vendido no varejo a partir de R$ 9 mil). Via Folha de S.Paulo.

por Shūmiàn 书面

Uma reportagem investigativa conduzida pela CNN com participação de pesquisadores revelou que o aplicativo Pinduoduo é capaz de monitorar as atividades de outros aplicativos, ler mensagens privadas e mudar configurações, contornando definições de segurança de celulares Android e dificultando sua desinstalação — características típicas de malwares.

O aplicativo de compras tem mais de 750 milhões de usuários mensais. De acordo com atuais e ex-funcionários, esses recursos seriam utilizados para espionar concorrentes e aumentar as vendas.

O Google Play, loja de aplicativos para aparelhos Android, removeu o Pinduoduo de seu catálogo, embora as versões contendo malware sejam disponibilizadas em outros sites.

Por enquanto, as acusações não impactam o Temu, versão internacional do Pinduoduo que se tornou o app de compras mais baixado nos Estados Unidos no final do ano passado.

A Shūmiàn 书面 é uma plataforma independente, que publica notícias e análises de política, economia, relações exteriores e sociedade da China. Receba a newsletter semanal, sem custo.

Passaporte digital e biometria em aeroportos; A linha de ajuda em segurança digital da MariaLab

Neste episódio do Guia Prático, Jacqueline Lafloufa e Rodrigo Ghedin conversam sobre a ideia de um passaporte digital e a identificação por biometria em aeroportos do mundo inteiro — parece ficção científica, mas o debate já começou.

No segundo bloco, Ghedin recebe a Paty Mori, da MariaLab, para uma conversa a respeito da Maria D’Ajuda, a primeira linha de ajuda em segurança digital feita por feministas do Brasil voltada a mulheres, pessoas não binárias, LGBTQIAP+ e organizações da América Latina.

Apoie o Guia Prático

Gosta do podcast? Se puder, apoie o nosso trabalho e ajude a mantê-lo no ar. A assinatura custa apenas R$ 9 por mês, ou menos de R$ 0,30 por dia. Se preferir, assine com desconto no plano anual por Pix, a partir de R$ 99.

Indicações culturais

  • Ghedin: O filme Assédio sexual [HBO Max], de Barry Levinson.
  • Jacque: O livro The truth will set you free, but first it will piss you off! [sem edição no Brasil], de Gloria Steinem.

Créditos

Lembre-se: serviço de armazenamento de dados na nuvem não é backup

32

Josh Hill, CEO da Koingo Software, um pequeno estúdio de aplicativos, perdeu todas as fotos e vídeos que tinha em sua conta no Apple Fotos/iCloud.

O estrago aconteceu quando ele subiu mais de 6 mil fotos e vídeos de uma vez só à nuvem da Apple. “Ao editar e excluir algumas fotos, topei com um problema com o Fotos.app, que no fim levaram ao sumiço completo de toda a minha biblioteca na nuvem.”

O estrago foi tão grande que Josh suspendeu as operações da sua empresa.

(mais…)

Quando falamos de atualizações de segurança para sistemas operacionais modernos, em geral falamos de correções preventivas ou para falhas ainda não exploradas.

O pacote de março do Android do Google, porém, foge à regra.

A mais grave (CVE-2023-21036) é uma que atinge os celulares Pixel e permite recuperar as imagens originais de prints (“screenshots”, imagens da tela) alterados pela ferramenta nativa de edição do Android (“Markup”).

Ela afeta todos os Pixel 3 em diante, o que significa que todos os prints com informações sensíveis ocultadas pela ferramenta nativa do sistema nos últimos cinco anos estão vulneráveis.

Na prática, o Android dos celulares Pixel estava compartilhando a imagem original, editada, mas contendo o histórico de edição. Esse histórico pode ser recuperado, e é aí que mora o perigo.

Por mais que a falha tenha sido corrigida, as imagens que estão por aí não se beneficiam dessa correção.

O site acropalypse é uma prova de conceito que demonstra como a falha age. (Esta imagem do criador da ferramenta, Simon Aarons, é uma boa explicação.)

No mesmo pacote, o Google revelou uma falha (CVE-2023-24033) em modems Exynos, da Samsung, que (teoricamente) permite que atacantes tomem o controle do celular fazendo uma ligação telefônica especial.

Ainda não se sabe se essa falha pode ser explorada no mundo real. Na dúvida, a recomendação é para desativar os recursos de ligação via Wi-Fi e 4G (VoLTE) até que as correções sejam liberadas.

Problema: aparentemente, alguns celulares em certas operadoras impedem a desativação do recurso, como demonstrou este usuário do Reddit.

Via Pixel Envy, @ItsSimonTime/Twitter, ArsTechnica (todos em inglês).

2

O FBI, espécie de polícia federal dos Estados Unidos, emitiu uma recomendação curiosa à população no final de 2022: instalem bloqueadores de anúncios em seus dispositivos.

O alerta diz respeito a “ciber criminosos que se passam por empresas usando serviços de publicidade de buscadores web para enganar usuários”. Os criminosos publicam anúncios em buscadores como o Google a fim de instalar malwares do tipo ransomware (sequestro de dados) ou que roubam senhas e dados financeiros.

A menção aos bloqueadores é uma das três medidas de proteção individual recomendadas pelo FBI:

Usar uma extensão de bloqueio de anúncios ao fazer pesquisas na internet. A maioria dos navegadores web permite ao usuário adicionar extensões, incluindo extensões que bloqueiam anúncios publicitários. Esses bloqueadores de anúncios podem ser ligados e desligados dentro do navegador para permitir anúncios em certos sites e bloqueá-los em outros.

Siga a dica do FBI e instale um bloqueador de anúncios no seu celular e/ou computador. Via TechCrunch (em inglês).

3

Um ano depois da onda de assaltos das quadrilhas “limpa contas” no Brasil, o problema chegou aos Estados Unidos, como reportado pelo Wall Street Journal.

Lá, a julgar pelos relatos, os assaltantes agem mais em bares, observando e até interagindo com as vítimas de modo a forçá-las a inserirem a senha do iPhone. Depois, o mesmo roteiro daqui se segue: iPhone furtado, acessos à Conta Apple bloqueados e contas bancárias varridas.

O cerne do problema é o mesmo: a fim de facilitar a vida dos clientes, alguém precisa apenas da senha de desbloqueio do iPhone para alterar a senha da Conta Apple.

Em nota ao WSJ, a Apple disse que eventos do tipo são raros e demandam várias etapas físicas para serem bem sucedidos. “Continuamos a avançar as proteções para ajudar a manter as contas de usuários seguras”, concluiu um porta-voz.

Enquanto a Apple segue em negação, há duas medidas que ajudam a mitigar estragos — uma delas negligenciada pela reportagem do jornal norte-americano:

  • Trocar a senha do iPhone por uma alfanumérica. As de quatro ou seis dígitos são fáceis de serem observadas e memorizadas por terceiros.
  • Usar o Tempo de Uso para restringir alterações de código e da conta no iPhone (em Conteúdo e Privacidade). Isso cria uma senha alternativa, de quatro dígitos, para mexer nessas áreas sensíveis.

Via Wall Street Journal (em inglês).

18

O Carnaval deste ano é o primeiro pós-pandemia e também o primeiro pós-onda de assaltos das quadrilhas que furtam celulares para acessar aplicativos bancários.

Há diversos guias por aí com dicas de como proteger o celular em meio à folia. Darei meus pitacos aqui e conto com a ajuda de quem me lê para complementá-los nos comentários.

Se couber no orçamento, adotar um celular alternativo, simples, daqueles tipo Nokia tijolão, me parece uma boa.

O celular do tipo mais barato à venda no Brasil, o Positivo P26, está saindo por menos de R$ 100 em várias lojas. Some a isso o custo de um chip pré-pago e uma recarga.

É um investimento meio salgado, mas talvez um preço justo a se pagar por tranquilidade. Considere também que um celular do tipo oferece o básico da comunicação, mas carece de algumas regalias modernas, como aplicativos de caronas, fotos decentes e acesso às redes sociais.

Caso opte por levar seu celular principal mesmo, deixá-lo dentro de uma pochete/doleira é uma boa medida de segurança. E tenha um plano de contingência mínimo. Minha sugestão:

  • Anote o IMEI do celular de antemão para facilitar o registro do BO e os bloqueios do aparelho e da linha/número junto à operadora caso o pior aconteça.
  • Presumo que seu celular já tenha uma senha; se não, arrume isso agora — estamos em 2023, não tem motivo para não bloquear o celular com senha.
  • Ative a senha (PIN) do chip (SIM card).
  • Relembre/memorize sua senha de acesso à conta Google (Android) ou Apple (iOS). Ela será útil para acessar o Encontrar seu smartphone (Android) ou o Buscar (Apple) a fim de localizar, bloquear e/ou apagar remotamente os dados do celular.

Guias de segurança que encontrei por aí: @orrice/Twitter, Núcleo, Folha de S.Paulo.