GIF animado com dois quadros. No primeiro, homem de camiseta azul com a frase “Tech T-Shirt, a peça mais confortável e mais sustentável”. No segundo, homem vestindo camiseta preta, logo da Insider e a frase: “Garanta 15% de desconto apenas em março com o cupom MANUALDOUSUARIO15”

Segurança

Passaporte digital e biometria em aeroportos; A linha de ajuda em segurança digital da MariaLab

24/3/23, 8h00 •

Neste episódio do Guia Prático, Jacqueline Lafloufa e Rodrigo Ghedin conversam sobre a ideia de um passaporte digital e a identificação por biometria em aeroportos do mundo inteiro — parece ficção científica, mas o debate já começou.

No segundo bloco, Ghedin recebe a Paty Mori, da MariaLab, para uma conversa a respeito da Maria D’Ajuda, a primeira linha de ajuda em segurança digital feita por feministas do Brasil voltada a mulheres, pessoas não binárias, LGBTQIAP+ e organizações da América Latina.

Apoie o Guia Prático

Gosta do podcast? Se puder, apoie o nosso trabalho e ajude a mantê-lo no ar. A assinatura custa apenas R$ 9 por mês, ou menos de R$ 0,30 por dia. Se preferir, assine com desconto no plano anual por Pix, a partir de R$ 99.

Indicações culturais

  • Ghedin: O filme Assédio sexual [HBO Max], de Barry Levinson.
  • Jacque: O livro The truth will set you free, but first it will piss you off! [sem edição no Brasil], de Gloria Steinem.

Créditos

Lembre-se: serviço de armazenamento de dados na nuvem não é backup

21/3/23, 10h11 •

Josh Hill, CEO da Koingo Software, um pequeno estúdio de aplicativos, perdeu todas as fotos e vídeos que tinha em sua conta no Apple Fotos/iCloud.

O estrago aconteceu quando ele subiu mais de 6 mil fotos e vídeos de uma vez só à nuvem da Apple. “Ao editar e excluir algumas fotos, topei com um problema com o Fotos.app, que no fim levaram ao sumiço completo de toda a minha biblioteca na nuvem.”

O estrago foi tão grande que Josh suspendeu as operações da sua empresa.

Continue lendo “Lembre-se: serviço de armazenamento de dados na nuvem não é backup”

Falha em celular do Google permite “desfazer” edições em prints

20/3/23, 9h52 •

Quando falamos de atualizações de segurança para sistemas operacionais modernos, em geral falamos de correções preventivas ou para falhas ainda não exploradas.

O pacote de março do Android do Google, porém, foge à regra.

A mais grave (CVE-2023-21036) é uma que atinge os celulares Pixel e permite recuperar as imagens originais de prints (“screenshots”, imagens da tela) alterados pela ferramenta nativa de edição do Android (“Markup”).

Ela afeta todos os Pixel 3 em diante, o que significa que todos os prints com informações sensíveis ocultadas pela ferramenta nativa do sistema nos últimos cinco anos estão vulneráveis.

Na prática, o Android dos celulares Pixel estava compartilhando a imagem original, editada, mas contendo o histórico de edição. Esse histórico pode ser recuperado, e é aí que mora o perigo.

Por mais que a falha tenha sido corrigida, as imagens que estão por aí não se beneficiam dessa correção.

O site acropalypse é uma prova de conceito que demonstra como a falha age. (Esta imagem do criador da ferramenta, Simon Aarons, é uma boa explicação.)

No mesmo pacote, o Google revelou uma falha (CVE-2023-24033) em modems Exynos, da Samsung, que (teoricamente) permite que atacantes tomem o controle do celular fazendo uma ligação telefônica especial.

Ainda não se sabe se essa falha pode ser explorada no mundo real. Na dúvida, a recomendação é para desativar os recursos de ligação via Wi-Fi e 4G (VoLTE) até que as correções sejam liberadas.

Problema: aparentemente, alguns celulares em certas operadoras impedem a desativação do recurso, como demonstrou este usuário do Reddit.

Via Pixel Envy, @ItsSimonTime/Twitter, ArsTechnica (todos em inglês).

FBI recomenda o uso de bloqueadores de anúncios

27/2/23, 9h55 •

O FBI, espécie de polícia federal dos Estados Unidos, emitiu uma recomendação curiosa à população no final de 2022: instalem bloqueadores de anúncios em seus dispositivos.

O alerta diz respeito a “ciber criminosos que se passam por empresas usando serviços de publicidade de buscadores web para enganar usuários”. Os criminosos publicam anúncios em buscadores como o Google a fim de instalar malwares do tipo ransomware (sequestro de dados) ou que roubam senhas e dados financeiros.

A menção aos bloqueadores é uma das três medidas de proteção individual recomendadas pelo FBI:

Usar uma extensão de bloqueio de anúncios ao fazer pesquisas na internet. A maioria dos navegadores web permite ao usuário adicionar extensões, incluindo extensões que bloqueiam anúncios publicitários. Esses bloqueadores de anúncios podem ser ligados e desligados dentro do navegador para permitir anúncios em certos sites e bloqueá-los em outros.

Siga a dica do FBI e instale um bloqueador de anúncios no seu celular e/ou computador. Via TechCrunch (em inglês).

Quadrilhas que furtam celulares para limpar contas bancárias chegam aos EUA; Apple segue em negação

25/2/23, 9h44 •

Um ano depois da onda de assaltos das quadrilhas “limpa contas” no Brasil, o problema chegou aos Estados Unidos, como reportado pelo Wall Street Journal.

Lá, a julgar pelos relatos, os assaltantes agem mais em bares, observando e até interagindo com as vítimas de modo a forçá-las a inserirem a senha do iPhone. Depois, o mesmo roteiro daqui se segue: iPhone furtado, acessos à Conta Apple bloqueados e contas bancárias varridas.

O cerne do problema é o mesmo: a fim de facilitar a vida dos clientes, alguém precisa apenas da senha de desbloqueio do iPhone para alterar a senha da Conta Apple.

Em nota ao WSJ, a Apple disse que eventos do tipo são raros e demandam várias etapas físicas para serem bem sucedidos. “Continuamos a avançar as proteções para ajudar a manter as contas de usuários seguras”, concluiu um porta-voz.

Enquanto a Apple segue em negação, há duas medidas que ajudam a mitigar estragos — uma delas negligenciada pela reportagem do jornal norte-americano:

  • Trocar a senha do iPhone por uma alfanumérica. As de quatro ou seis dígitos são fáceis de serem observadas e memorizadas por terceiros.
  • Usar o Tempo de Uso para restringir alterações de código e da conta no iPhone (em Conteúdo e Privacidade). Isso cria uma senha alternativa, de quatro dígitos, para mexer nessas áreas sensíveis.

Via Wall Street Journal (em inglês).

Brasil ama o metaverso? Vale a pena pagar pelo Twitter ou Instagram?

24/2/23, 14h00 •

Neste Guia Prático, Jacqueline Lafloufa e Rodrigo Ghedin comentam as assinaturas pagas lançadas por Meta (Facebook, Instagram) e Twitter — a segurança como produto, as implicações do aumento da visibilidade dos usuários pagantes —, e Jacque entrevista Marcela Gava, da consultoria Gartner, para tratar de uma pesquisa que mostrou o brasileiro bastante interessado em fazer compras no metaverso.

Continue lendo “Brasil ama o metaverso? Vale a pena pagar pelo Twitter ou Instagram?”

Cuidados com o celular no bloquinho de Carnaval

16/2/23, 14h23 •

O Carnaval deste ano é o primeiro pós-pandemia e também o primeiro pós-onda de assaltos das quadrilhas que furtam celulares para acessar aplicativos bancários.

Há diversos guias por aí com dicas de como proteger o celular em meio à folia. Darei meus pitacos aqui e conto com a ajuda de quem me lê para complementá-los nos comentários.

Se couber no orçamento, adotar um celular alternativo, simples, daqueles tipo Nokia tijolão, me parece uma boa.

O celular do tipo mais barato à venda no Brasil, o Positivo P26, está saindo por menos de R$ 100 em várias lojas. Some a isso o custo de um chip pré-pago e uma recarga.

É um investimento meio salgado, mas talvez um preço justo a se pagar por tranquilidade. Considere também que um celular do tipo oferece o básico da comunicação, mas carece de algumas regalias modernas, como aplicativos de caronas, fotos decentes e acesso às redes sociais.

Caso opte por levar seu celular principal mesmo, deixá-lo dentro de uma pochete/doleira é uma boa medida de segurança. E tenha um plano de contingência mínimo. Minha sugestão:

  • Anote o IMEI do celular de antemão para facilitar o registro do BO e os bloqueios do aparelho e da linha/número junto à operadora caso o pior aconteça.
  • Presumo que seu celular já tenha uma senha; se não, arrume isso agora — estamos em 2023, não tem motivo para não bloquear o celular com senha.
  • Ative a senha (PIN) do chip (SIM card).
  • Relembre/memorize sua senha de acesso à conta Google (Android) ou Apple (iOS). Ela será útil para acessar o Encontrar seu smartphone (Android) ou o Buscar (Apple) a fim de localizar, bloquear e/ou apagar remotamente os dados do celular.

Guias de segurança que encontrei por aí: @orrice/Twitter, Núcleo, Folha de S.Paulo.

Ao trocar de número de celular, cuidado para não deixar sua conta no Telegram exposta

15/2/23, 9h16 •

Quando você troca de número de celular, o Telegram não remove automaticamente o número antigo. Paula Gomes, chapa deste Manual do Usuário, descobriu isso da pior maneira possível.

Ela trocou de número de celular e, um tempo depois, alguém que comprou um chip que seu número antigo, “reciclado” pela operadora, ganhou acesso à sua conta no Telegram. A pessoa “saiu de uns grupos, entrou em outros e adicionou contatos”, relatou no Twitter.

O Telegram menciona esse cenário, da troca de número, em sua documentação. O texto é confuso. Há três possibilidades: descartar o número antigo, mantê-lo enquanto outro é usado temporariamente (durante uma viagem internacional, quando o usuário troca o seu chip por um local) e continuar usando ambos os números.

Aparentemente (não entendi muito bem), se você se autentica com o novo número em sua conta antiga, os dois números, antigo e novo, ficam vinculados à mesma conta. Para remover o antigo, é preciso acessar as configurações e removê-lo manualmente.

Como o login não depende necessariamente do número de telefone, muitas pessoas não se atentam a isso. Talvez achem que a lógica do WhatsApp, que não vincula mais de um número à mesma conta e exclui contas antigas vinculadas a números desativados depois de feita a migração para o novo, valha para o Telegram também, o que não é verdade.

(O modelo do Telegram, que prioriza a disponibilidade em múltiplos dispositivos, abre algumas brechas do tipo. Deltan Dalagnol que o diga…)

Bom, fica a dica. Outra medida útil para evitar situações como a que a Paula passou é ativar a senha do Telegram (autenticação em dois fatores). Nesse caso, mesmo que alguém herde seu número antigo e ele ainda esteja vinculado à sua conta no Telegram, essa pessoa não conseguirá acessá-la sem a senha.

Cofres de usuários do LastPass vazaram em incidente de agosto

29/12/22, 8h33 •

O LastPass avisou na quinta-feira (22) que na invasão sofrida em agosto, divulgada no início de dezembro, cofres criptografados que armazenam as senhas dos usuários foram levados.

Além da demora em divulgar essa informação, a forma com que fez gerou críticas. Especialistas em segurança digital e até rivais dizem que o LastPass está minimizando a gravidade da situação e que o último comunicado, dias antes do Natal, preparou o terreno para jogar a culpa de possíveis senhas comprometidas nos usuários.

O The Verge fez um bom apanhado dessas reações.

A essa altura, não é exagero dizer que o uso do LastPass é um risco. Se for o seu caso, talvez seja uma boa tirar um dia para migrar para outra solução (1Password, Bitwarden e KeePassXC são alternativas recomendáveis) e trocar as senhas pelo menos dos serviços mais sensíveis. Via LastPass.

iOS/iPadOS 16.2 e macOS 13.1 trazem novo aplicativo Freeform e correções de segurança

14/12/22, 8h57 •

A Apple lançou nesta terça (13) o iOS/iPadOS 16.2 e o macOS 13.1. O destaque da atualização é o novo aplicativo Freeform, uma folha em branco infinita com suporte a colaboração em tempo real. Parece interessante para se usar com a canetinha no iPad.

Nos Estados Unidos, as atualizações liberam a criptografia de ponta a ponta do iCloud. O recurso é opcional e vem desativado por padrão. No resto do mundo, o recurso só chega no início de 2023.

Outros recursos dignos de menção é o modo karaokê para o Apple Music e a nova restrição ao AirDrop, que passa a funcionar de modo público em blocos de 10 minutos — depois disso, ele reverte para o modo limitado a contatos.

Mesmo que os novos recursos não lhe chamem a atenção, as atualizações são importantes devido à segurança: as listas de correções (iOS/iPadOS, macOS) são grandes e contêm falhas graves, que permitem a execução remota de código. watchOS e tvOS também foram atualizados. Via Apple (em inglês).