A maioria dos serviços comerciais de nuvem, como Dropbox, Google Drive, OneDrive e iCloud, só criptografa os arquivos e diretórios/pastas em trânsito. Isso significa que seus arquivos podem ser vistos por pessoas que tenham acesso aos servidores e manipulados por sistemas automatizados.
O Bitwarden, aclamado gerenciador de senhas, anunciou o recebimento de uma rodada de investimentos de US$ 100 milhões (~R$ 520 milhões) nesta terça (6).
A empresa foi bastante cautelosa no comunicado, reforçando em vários momentos que nada deverá mudar para os usuários finais. “Este investimento representa uma forte afirmação do modelo de negócio existente do Bitwarden e um compromisso em dar continuidade aos nossos valores principais”, diz o texto assinado por Michael Crandell, CEO do Bitwarden.
O Bitwarden é bem quisto pela comunidade por ter o código aberto e oferecer uma versão gratuita bastante generosa, a ponto de tornar dispensável a paga — e mesmo essa custa pouco, US$ 10 por ano. É, de fato, uma ótima solução para gerenciamento de senhas.
O dinheiro será “investido sabiamente” em áreas adjacentes, como gerenciamento de autenticação e tecnologias sem senha, com foco em clientes corporativos. A empresa também pretende gastar na expansão internacional, incluindo a América Latina.
Não é à toa o cuidado na comunicação. Muita gente correu para o Bitwarden depois que o 1Password levantou US$ 620 milhões e iniciou uma série de alterações hostis aos usuários finais, como acabar com a versão “self-hosted”, mudar o modelo de negócio de venda única para assinatura, e converter o aplicativo nativo do macOS para um baseado em Electron. Via Bitwarden (em inglês).
A Apple revelou ao 9to5Mac que 95% dos usuários do iCloud têm a autenticação em dois fatores (2FA) ativada. Ainda que alguns serviços, como as AirTags e a sincronia de senhas (Chaves), exijam essa camada extra de segurança, é um percentual impressionante. (O vindouro Passkey, ou chaves-senha, do iOS 16/macOS 13, também exigirá.)
(A título comparativo, no segundo trimestre de 2020 apenas 2,3% dos usuários do Twitter tinham a 2FA ativada em suas contas.)
Um aspecto pouco comentado, mas que me parece problemático na solução de 2FA da Apple é a obrigatoriedade de se registrar um número de telefone como segundo fator. Da documentação oficial:
É necessário confirmar pelo menos um número de telefone confiável para poder se inscrever na autenticação de dois fatores.
O envio de códigos de autenticação por SMS costuma ser um “backup” — o método principal é usar outro dispositivo da Apple vinculado à conta para autorizar novos logins.
Faz sentido do ponto de vista da praticidade. Nem todo mundo conhece ou quer ter o trabalho extra de gerenciar um aplicativo de 2FA, como o Authy ou o Google/Microsoft Authenticator. Àqueles que querem se dar a esse trabalho, a exigência do número de telefone cria um ponto fraco na estratégia de segurança.
Talvez quando o problema das quadrilhas “limpa contas” ou outro similar acometer os Estados Unidos, esse problema entre no radar da Apple. Via 9to5Mac (em inglês).
Relacionado: O jeito certo de proteger sua conta no Instagram [e outras que aceitam 2FA) de invasões de hackers.
Às vezes sinto como se estivesse reescrevendo a mesma nota todo mês, mas é sempre algo novo: a Apple liberou atualizações de segurança para o macOS (12.5.1) e iOS/iPadOS (15.6.1) que corrigem duas falhas graves, do tipo “dia zero” — uma no motor WebKit, usado no Safari, outra no kernel do sistema.
Diferentemente de grandes versões, como os vindouros macOS 13 “Ventura” e o iOS/iPadOS 16, para essas de segurança a recomendação é que sejam instaladas o quanto antes. Via TechCrunch (em inglês).
Um caso ocorrido em São Paulo revela limites naquela dica de segurança, popular nos últimos meses, que consiste em ter um segundo celular com aplicativos bancários e deixá-lo sempre em casa.
Um homem foi sequestrado e, ao descobrirem a tática do segundo celular, os sequestradores obrigaram-no a revelar a localização da casa e orientá-los, por videochamada, na busca pelo aparelho.
Esse homem foi o segundo sequestrado pela quadrilha em menos de 24 horas. O primeiro havia caído em uma emboscada após combinar um encontro com uma mulher via aplicativo de relacionamento: ele combinou de buscá-la em casa e, quando tocou o interfone, foi rendido e levado a um cativeiro. Via SPTV.
Arquivo: Roubo/furto de celulares para limpar contas bancárias: Como se proteger?
O Steam Deck é, antes de tudo, um computador; um computador feito para jogos, rodando um Linux consumer-friendly e em um formato de console, mas é um computador, com Modo Desktop e tudo. Já o Tailscale é uma das queridinhas do momento, reinventando a venerável VPN corporativa (mas nada impede de você usar na sua rede doméstica) usando o modelo Zero trust networking e o protocolo WireGuard. Parece simples juntar os dois, já que o Steam Deck é um computador que roda Linux.
Parece. Mas não foi simples instalar o Tailscale no SteamOS, e ainda bem que não foi.
Will Cathcart, diretor responsável pelo WhatsApp, foi ao Twitter alertar os usuários de um aplicativo, o Hey WhatsApp, da HeyMods, que era na realidade uma emboscada para instalar malwares (vírus) em celulares e roubar dados pessoais das vítimas.
O Hey WhatsApp não era distribuído pela Play Store. Mesmo assim, o Google, a pedido da Meta, conseguiu remover o Hey WhatsApp dos celulares onde fora instalado, via Google Play Protect.
Cathcart disse que a Meta tomará outras medidas para impedir que a HeyMods continue operando e prejudicando usuários do WhatsApp. E pede para que todos fiquem atentos com os aplicativos que amigos e familiares usam para conversar pelo WhatsApp, evitando as versões alternativas e falsas — um alerta já dado pelo Manual do Usuário. Via @wcathcart/Twitter (em inglês).
Na última quarta (6), a Apple anunciou uma novidade para os vindouros iOS/iPadOS 16 e macOS Ventura: o “Lockdown Mode”, ou Modo de Bloqueio, uma configuração opcional que incrementa a segurança do dispositivo a fim de protegê-lo de ataques sofisticados, como o Pegasus, do NSO Group.
O Modo de Bloqueio limita os tipos de arquivos aceitos no iMessage, desabilita algumas tecnologias web no Safari, bloqueia por padrão o contato por tecnologias da Apple, como o FaceTime, bloqueia acessórios cabeados com o dispositivo bloqueado e impede a instalação de novos perfis de uso.
São mudanças pontuais que prejudicam um pouco a usabilidade e, ao mesmo tempo, a área de ataque possível. (O Pegasus, por exemplo, se disseminava via imagens compartilhadas por mensagens de texto.)
Por isso, a Apple foi bem cuidadosa na divulgação do recurso: ele é direcionado a pessoas que correm algum risco real de serem alvos de ataques sofisticados, como ativistas, políticos e jornalistas investigativos.
Será interessante ver até que ponto o Modo de Bloqueio prejudica o uso comum do aparelho. Segurança, como se sabe, é o resultado do equilíbrio entre proteção e comodidade. Arrisco dizer que a maior parte dos recursos do Modo de Bloqueio não é tão incômoda, mas só testando na prática para ter certeza. Via Apple (em inglês).
Em 2021, 847.313 celulares foram subtraídos (roubados ou furtados) no Brasil, uma média de 97 por hora. O dado foi revelado no anuário do Fórum Brasileiro de Segurança Pública. Com cerca de 21,3 mil subtrações a mais que em 2020, o número foi considerado estável.
A distribuição dos delitos no território nacional chama a atenção. O estado de São Paulo lidera absoluto o ranking, com 289.461 subtrações de celulares, ou 34% do total.
Nos últimos anos, os assaltos a celulares se tornaram uma preocupação grande devido às quadrilhas “limpa contas”, que invadem aplicativos bancários e de fintechs para transferirem valores. Via Uol, Fórum Brasileiro de Segurança Pública.
A Fast Shop se juntou às lojas Americanas e Renner no grupo de varejistas brasileiras vítimas de ataques hackers.
Mensagens publicadas pelos hackers no perfil oficial da Fast Shop no Twitter, na madrugada desta quinta (23), diziam que os sistemas da empresa estavam comprometidos e que eles estavam dispostos a negociar.
A Fast Shop suspendeu temporariamente site e aplicativos, e, no começo da tarde, confirmou o ataque via perfil no Twitter e disse que todos os sistemas já estavam restabelecidos, que as lojas físicas não deixaram de operar e que seus arquivos estavam em segurança. Via Neofeed, @FastShop/Twitter.
iOS/iPadOS 16 e macOS Ventura terão uma opção que burla CAPTCHAs, aqueles testes em que você precisa escrever uma sequência de letras e números ou identificar semáforos em fotos borradas. Com ela ativada, o usuário passa direto por esses “pedágios”.
A Apple vai aproveitar os sensores e sistemas de autenticação do dispositivo para sinalizar a aplicativos e sites compatíveis que é um ser humano fazendo requisições. Afinal, o objetivo do CAPTCHA é separar humanos de robôs.
O recurso se chama Private Access Tokens, e você pode vê-lo em ação neste vídeo técnico da Apple — a demonstração começa aos 3min50s. Via MacRumors (em inglês).
A Apple liberou as versões finais do iOS/iPadOS 15.5 e do macOS 12.4. De novidades, pouca coisa: melhorias no problemático aplicativo Podcasts para o iOS/iPadOS e ajustes na webcam do Studio Display no macOS.
O mais importante dessas atualizações incrementais são os remendos. No iOS/iPadOS, são quase 30 correções; no macOS, mais de 50.
Parece até atualização do Windows nos anos 2000. É o preço que se paga pela popularidade? Ou está rolando um desleixo por parte da Apple? Via Apple, 9to5Mac (ambos em inglês).
No programa de hoje, Rodrigo Ghedin e Jacqueline Lafloufa recebem Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil, para uma conversa que tomou o Brasil na última semana: os assaltos a celulares para limpar contas bancárias. Onde está o elo frágil dos sistemas de segurança do Android/iOS e dos bancos/fintechs? Android ou iOS, qual é mais seguro? E o que fazer, minimamente, para se proteger caso você se veja nessa situação? Ouça e descubra.
O agente de talentos Bruno de Paula tinha acabado de voltar de uma viagem à Espanha. Já em São Paulo (SP), logo depois de desembarcar do avião, teve seu celular furtado de dentro de um táxi. O que a princípio seria apenas um dissabor, um prejuízo limitado ao valor do aparelho, virou um rombo de R$ 143 mil: o ladrão conseguiu acessar os aplicativos bancários de Bruno e fez uma limpa em suas contas.
A magnitude do prejuízo de Bruno chamou a atenção, o caso viralizou no Twitter e teve um final feliz — na medida do possível, ou seja, ele recuperou o dinheiro perdido. Não foi, porém, um caso excepcional.
O Google lançou emblemas para extensões que atendam a certos critérios na Chrome Web Store. O objetivo, segundo a empresa, é facilitar aos usuários a descoberta de ótimas extensões e dar reconhecimento a quem as cria.
São dois emblemas: o de destaque (“featured”), concedido a desenvolvedores que seguem boas práticas de programação e as diretrizes de apresentação da loja, e o de editor estabelecido (“established publisher”), concedido a quem tem a identidade verificada pelo Google e um bom histórico de relacionamento com a empresa.
O Firefox já oferecia essa funcionalidade há tempos. Via Google (em inglês).