Segurança

O KeePassXC é ótimo no macOS, mas para quem usa o Safari ele tem um problema chatinho: não preenche automaticamente as senhas no navegador.

Existem aplicativos alternativos que suprem essa lacuna e mantêm compatibilidade com os arquivos *.kdbx, como o Strongbox e o MacPass. Esse último, gratuito e de código aberto, há muito estava defasado, sem compatibilidade com as últimas versões do macOS (Big Sur e Monterey) nem com os chips M1, da Apple.

Não mais. Em fevereiro, o MacPass foi enfim atualizado (versão 0.8) e voltou a funcionar sem sustos nas últimas versões do macOS. Digo, quase: uma mini-atualização, a 0.8.1, foi lançada às pressas para sanar uma falha que travava o app quando se tentava salvar alterações no banco de dados.

O ícone do MacPass ainda não segue o padrão estabelecido no Big Sur, mas… né? Detalhes. Baixe a última versão aqui ou, usando o Homebrew, instale-o com o comando brew install --cask macpass.

16

A Polícia Civil de São Paulo investiga a participação da facção PCC na onda de furtos e roubos de celulares para desfalcar contas bancárias via Pix.

Reportagem da Folha de S.Paulo desta terça (12) detalhou o golpe com base no depoimento de um homem de 22 anos ligado ao esquema:

O homem preso na semana passada contou, segundo a polícia, que insere o chip do celular furtado ou roubado em um segundo aparelho para “quebrar” senhas e então acessar o telefone da vítima.

A partir daí, um segundo “especialista” entra em ação, para “quebrar” senhas bancárias e acessar as contas. “Ainda estamos investigando como fazem isso”, afirma o delegado.

Na sequência vem o “tripeiro”, como é conhecido o responsável pelo gerenciamento dos “conteiros” — pessoas que negociam o uso de seus dados bancários em troca de um percentual do lucro — ou então de contas abertas com documentação falsa. É ele quem coordena saques e transferências.

Compreender o golpe ajuda a levantar defesas mais eficazes.

Com base nesse relato, presume-se que uma das melhores é definir um PIN (senha) para o chip/SIM card. Dessa forma, toda vez que o celular for reiniciado ou o chip/SIM card for inserido em outro aparelho, será necessário inserir o PIN, uma senha numérica de quatro dígitos, para ativá-lo.

A Apple explica como configurar o PIN no iPhone — segundo a reportagem, o modelo de celular mais visado. No Android, procure a opção “Configurar bloqueio do SIM” nas configurações do sistema.

Esta página traz os códigos PIN padrões das operadoras brasileiras.

De volta à Folha:

Tudo, de acordo com o delegado, é muito rápido, para evitar que bancos tenham tempo de bloquear as contas das vítimas. “Tem que ser, no máximo, no mesmo dia”, explica. Por isso, ele ressalta, quem teve o celular levado deve registrar logo o caso, além de avisar o banco.

Vale lembrar que, no caso do iPhone, o acesso ao Buscar, que permite localizar e bloquear ou excluir o conteúdo do celular remotamente, dispensa o segundo fator de autenticação. Se perder o celular, faça isso o mais rápido possível, comunique a operadora, os bancos, troque senhas e registro um boletim de ocorrência. Via Folha de S.Paulo.

Atualização (11h45): Acrescentada orientação de como configurar o PIN do SIM card em celulares Android.

1

Em breve, o aplicativo da Uber ganhará um novo botão, “Ligar para a Polícia”, que ao ser acionado entrará em contato com a Polícia Militar e repassará, automaticamente, dados do carro, da corrida e do passageiro e motorista.

O botão é fruto de uma parceria da empresa com a Secretaria de Estado da Polícia Militar do Rio de Janeiro. Inicialmente, ele será disponibilizado na Baixada Fluminense, como projeto-piloto. Depois, será expandido para todo o Estado.

Esta é a primeira parceria do tipo que a Uber fecha no Brasil. Via assessoria de imprensa da Uber.

A Apple liberou uma pequena, mas importante atualização na sexta (1º) para o iOS, iPadOS (15.4.1) e macOS (12.3.1). No iOS/iPhone, ela corrige uma falha que fazia o celular consumir mais bateria que o normal. Nos três sistemas, tapa duas falhas do tipo “dia zero” que, segundo a empresa, já estavam sendo exploradas.

Em 2022, a Apple já corrigiu cinco falhas do tipo “dia zero” — preocupantes porque expõem os sistemas a ataques antes mesmo que a Apple saiba que elas existem. Via BleepingComputer, Apple (ambos em inglês)

O Google liberou uma atualização emergencial do Chrome (versão 99.0.4844.84) a fim de corrigir uma falha grave do tipo “dia zero” descoberta na sexta-feira (26), código CVE-2022-1096. A falha atinge o motor JavaScript V8. Ao ser explorada (e segundo o Google, ela já está sendo), a falha pode travar o navegador e abrir brechas para a execução remota de códigos.

É a segunda vez em 2022 que o Google libera uma atualização de emergência devido a uma falha do tipo “zero dia” no Chrome. A outra, código CVE-2022-0609, foi corrigida em fevereiro.

15

Vez ou outra, o WhatsApp GB, uma variante pirata/alternativa do aplicativo oficial do WhatsApp para Android, volta ao noticiário pelo risco que ensejam de banimento temporário da conta do usuário. Via Núcleo, Folha de S.Paulo, O Globo, G1.

O assunto não é novo. Pelo menos desde 2018 já havia alertas relacionados ao WhatsApp GB, ou GBWhatsApp. E, antes disso, de outros aplicativos similares, como WhatsApp Plus e WhatsApp Holo.

O WhatsApp GB oferece “super poderes”, como ver mensagens e status apagados pelos remetentes, e alguns recursos menos polêmicos, mas inexistentes no aplicativo oficial, como temas visuais diferentes.

O problema é que o WhatsApp/Meta proíbe o uso de aplicativos alternativos para acessar a rede do WhatsApp e ameaça com suspensão aqueles que se arriscam a usá-lo. Deve ser uma dor de cabeça tão frequente que o WhatsApp GB é citado nominalmente na documentação do aplicativo a respeito de banimentos temporários.

Além do risco no uso, a obtenção do WhatsApp GB também é perigosa. O aplicativo não está disponível na Play Store, ou seja, é preciso baixá-lo de sites desconhecidos. Numa dessas, a pessoa interessada pode dar o azar e instalar um aplicativo adulterado/malicioso no celular.

Por tudo isso, e por mais tentador que sejam os recursos exclusivos do WhatsApp GB e de outros aplicativos alternativos, fica o conselho: evite-os.

17

Cuidado com “VPNs para acessar o Telegram” como forma de burlar o bloqueio do aplicativo determinado pelo Supremo Tribunal Federal (STF) nesta sexta (18). Dada a natureza de uma VPN, é o tipo de coisa que pode ser uma isca para hacking, golpes e invasões.

Ao conectar-se a uma VPN, todo o tráfego do/para o seu celular ou computador passa por um servidor de terceiro, o da VPN. Alguém mal intencionado poderia interceptar essa conexão e coletar dados ou meta dados. Esta matéria do nosso arquivo explica o que é uma VPN e como ela funciona.

Se for usar uma VPN, use uma conhecida e de boa reputação. Algumas sugestões (a lista não é exaustiva):

  • VPNs confiáveis que oferecem planos gratuitos limitados: ProtonVPN e TunnelBear.
  • VPNs confiáveis pagas: Mullvad, NordVPN e SurfShark.

Surfshark e NordVPN já anunciaram no Manual do Usuário.

Um cuidado, porém: na decisão, o ministro Alexandre de Moraes determinou sações civis e criminais, além de multa diária de R$ 100 mil, a “pessoas naturais e jurídicas que incorrerem em condutas no sentido de utilização de subterfúgios tecnológicos para continuidade das comunicações ocorridas pelo Telegram”.

O jeito certo de proteger sua conta no Instagram de invasões de hackers

17

Invasões a contas/perfis no Instagram viraram uma epidemia nos últimos meses (ouça nosso podcast do assunto). Vez ou outra sabemos de histórias aterrorizantes de pessoas que, mesmo com a autenticação em dois fatores (2FA, na sigla em inglês) ativada, tiveram seus perfis invadidos e usados por criminosos para a aplicação de golpes contra amigos e parentes.

(mais…)

2

A Mozilla libera nesta terça (8) o Firefox 98. A nova versão não traz muitas novidades. O destaque é uma revisão no fluxo de downloads, que não exibe mais a janela perguntando se o usuário deseja baixar ou abrir o arquivo prestes a ser baixado. Agora, o Firefox baixa o arquivo automaticamente — como todos os outros navegadores modernos.

Mais importante que esta grande versão foi uma menor, lançada na última quinta-feira (5), que corrigia duas falhas graves do tipo “dia zero” (códigos CVE-2022-26485 e CVE-2022-26486) e que já estavam sendo exploradas em situações reais. As versões Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 e Focus 97.3.0 corrigem-nas e se o seu estiver configurado para receber novas versões automaticamente, já deve estar atualizado. Via OMG! Ubuntu! e Mozilla (ambos em inglês).

Site da Americanas volta a funcionar depois de quatro dias sob ataque hacker

Os sites da Americanas ficou quatro dias fora do ar devido a um ataque hacker ocorrido no sábado. Ele voltou a funcionar nesta quarta (23), mas os outros do grupo, não — Sou Barato e Shoptime seguem indisponíveis e o Submarino está voltando “de forma gradual”. A operação das lojas físicas não foi afetada. Via Folha de S.Paulo.

A comunicação da Americanas foi criticada. A empresa soltou três comunicados ao mercado, nos dias 19, 20 e 23 (todos PDF). No primeiro, disse ter suspendido os sites preventivamente sob o “risco de acesso não autorizado”, e que não havia “evidência de comprometimento das bases de dados”.

No comunicado do dia 20, a Americanas disse que voltou a suspender os sites “assim que identificou acesso não autorizado”, sem explicações detalhadas — que acesso é esse? De onde está vindo? Quais os estragos causados?

No último, da quarta, reiterou que os quatro dias até então fora do ar foram motivados por “incidente de segurança do qual foi vítima entre os dias 19 e 20 de fevereiro” e que “não há evidência de comprometimento das bases de dados”.

Raphael Hernandes, da Folha de S.Paulo, ao questionar a comunicação da Americanas durante a crise:

Os sistemas serem desligados para proteger os dados de clientes, conforme apuração da Folha, não significa que não houve algum vazamento. Não se sabe muito, pois, até o momento, a Americanas opta pelo silêncio.

O NSO Group, empresa israelense de ciberespionagem, entrou no noticiário há alguns meses devido ao Pegasus, sua super ferramenta de hackeamento de celulares. Apesar dos holofotes, ela não é a única do tipo. Pequenas startups norte-americanas também têm se dedicado à guerra virtual, e uma delas, a Boldend, que tem entre seus clientes o governo dos Estados Undidos, chamou a atenção recentemente por um conflito de interesses envolvendo um famoso investidor.

A reportagem do New York Times descobriu que a Boldend, fundada em 2017 em San Diego, Califórnia, conseguiu desenvolver uma ferramenta capaz de hackear o WhatsApp. A brecha foi fechada pelo Facebook/Meta em janeiro de 2021, antes que pudesse ser explorada em situações reais, segundo uma apresentação da Raytheon, outra empresa do setor, a que o jornal teve acesso.

O mais curioso é que nessa apresentação da Ratheon foi revelado também que, entre os investidores da Boldend, está o Founders Fund, fundo de investimento de risco do bilionário Peter Thiel, ex-PayPal, fundador da Palantir e conselheiro e um dos primeiros investidores do Facebook/Meta, dono do… WhatsApp. Estima-se que o Founders Fund tenha colocado US$10 milhões na Boldend.

A próxima reunião do conselho do Facebook/Meta será animada. Via New York Times, Forbes (ambos em inglês).

3

O iOS 15.4, que começou a ser testado nesta quinta (27) e ainda não tem data para ser lançado, finalmente permitirá o desbloqueio do iPhone com o Face ID usando máscara. (Veja um print do MacRumors.) A Apple diz que isso será possível “reconhecendo detalhes únicos ao redor dos olhos”. A novidade só funcionará no iPhone 12 e posteriores e será preciso refazer o cadastro com a máscara. O uso de óculos de grau ajudará o sistema a ser mais preciso, mas ele não funcionará com óculos escuros. Via MacRumors (em inglês).

Backup e sincronia de arquivos sem nuvens comerciais, só com software livre

29

Admitamos desde já: somos preguiçosos. Quando algo funciona, ainda que não da maneira ideal, a tendência é deixar estar, seguir a vida. Essa era a minha postura em relação a backups remotos. Por muito tempo usei nuvens comerciais, os iCloud, Dropbox, Google Drive e OneDrive da vida, como único backup do tipo.

Resolvi mudar isso no final de 2021, motivado por aquela cisma com a Apple. Meu objetivo era substituir o iCloud, que usava para sincronizar arquivos entre celular e computador, e que por conveniência e inércia acabava sendo o meu único backup remoto.

(mais…)

5

A Apple liberou novas versões dos seus sistemas operacionais que, entre outras correções, traz a que tapa uma falha grave no Safari 15 divulgada em 14 de janeiro. A falha atinge a API IndexedDB e possibilita o vazamento de dados de um site a outros abertos na mesma sessão. Baixe agora o iOS 15.3, iPadOS 15.3, macOS 12.2 (e atualizações especiais para o Big Sur e o Catalina) e watchOS 8.4. Via MacMagazine.

O Banco Central (BC) comunicou nesta sexta (21) o vazamento de 160,1 mil chaves Pix sob responsabilidade da Acesso Soluções de Pagamento. Os dados vazados são de natureza cadastral, “que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, segundo o BC. Os afetados serão avisados exclusivamente pelo aplicativo ou internet banking da instituição de relacionamento. Via Banco Central, O Globo.