Apps para iOS podem estar gravando sua tela sem o seu conhecimento

Se você usa um iPhone ou um iPad, tome cuidado: alguns apps para iOS estão monitorando a tela do seu dispositivo a fim de enviar informações de uso para as suas desenvolvedoras. E o pior, eles não pedem permissão e tampouco informam você a respeito disso.

Segundo o site TechCrunch, apps populares de hotelaria, moda, companhias áreas e até bancos, entre outros, fazem isso. Uma das tecnologias usadas por eles é a Glassbox, que conta com um o recurso “session replay” (repetir sessão) que grava as sessões de uso e permite ao desenvolvedor rever ali tudo o que o usuário fez.

Com isso, essas companhias podem gravar a tela do aparelho e capturar toques, pressão, deslizar de dedos e até mesmo textos digitados no teclado do iOS. Essa tecnologia é capaz, inclusive, de capturar tela e enviar o conteúdo à desenvolvedora, que usaria tudo isso para saber o que funciona e o que não funciona dentro de seus apps.

Quem descobriu a existência desse espião dentro dos apps foi o blog The App Analyst, que há pouco tempo encontrou o Glassbox dentro do aplicativo da companhia aérea Air Canada. Como se a prática não fosse ruim o suficiente, a empresa não criptografa informações sensíveis das telas obtidas de seus clientes, o que pode ter contribuído para o vazamento de 20 mil perfis de usuários do app da empresa em agosto de 2018.

Informações

Em análise, o App Analyst descobriu que aplicativos como Air Canada, Hollister, Expedia, Hotels.com, Singapore Airlines e Abrecrombie & Fitch, monitoram a tela e enviam informações e nem todos ocultam dados sensíveis antes de transmitir a imagem.

Alguns dados foram ocultados antes de serem enviados, mas informações como endereço e email estavam visíveis em alguns deles. Contudo, é fato que nenhum dos aplicativos analisados pelo especialista citava o monitoramento em sua política de privacidade.

Empresas respondem
As únicas empresas que se manifestaram sobre o tema até agora foram a Abercrombie, Air Canada e a Glassbox.

A Abercrombie afirmou que o Glassbox “contribui para uma experiência de compra tranquila, nos permitindo identificar e direcionar qualquer problema que os consumidores possam encontrar em sua experiência digital”.

Já a Air Canada afirmou que “usa informações fornecidas pelos clientes para garantir a capacidade de oferecer suporte às suas necessidades e resolver qualquer problema que possa interferir na viagem”. A empresa confirmou que isso inclui dados coletados do aplicativo, mas garantiu que “não captura — nem é capaz de capturar — telas do telefone fora do app da Air Canada”.

A Glassbox afirmou que não força seus clientes a citarem a sua existência nas suas políticas de privacidade nem é capaz de obter dados e capturas de tela fora dos apps nos quais a sua tecnologia está presente.

Fonte: Tecmundo

Android suscetível a ataques através de imagem em PNG

Smartphones com sistemas Android e iOS possuem vulnerabilidades e, sim, podem ser hackeados. Infelizmente, a plataforma da Google está um pouco atrás quando falamos sobre cibersegurança. Agora, três novas vulnerabilidades afetam dispositivos Android rodando versões 7.0 Nougat até 9.0 Pie — ou seja, milhões de smartphones novos.

Identificadas como CVE-2019-1986, CVE-2019-1987 e CVE-2019-1988, as falhas já foram corrigidas pela Google no patch Android Open Source Project (AOSP). Contudo, como infelizmente as fabricantes de smartphones (Samsung, Sony, LG, Huawei etc) são detentoras dos pacotes de atualização de seus celulares, muitos dispositivos continuam desprotegidos.

A Google fez sua parte. Fabricantes, por favor, não demorem tanto para atualizar seus smartphones

As vulnerabilidades exploram falhas na renderização de imagens “.PNG”. Em uma delas, a mais severa, cibercriminosos podem criar uma imagem PNG que execute código arbitrário em smartphones vulneráveis.

“O mais grave desses problemas é uma vulnerabilidade de segurança crítica no framework que pode permitir que um invasor remoto usando um arquivo PNG especialmente criado execute código arbitrário dentro do contexto de um processo privilegiado”, disse a Google no patch de segurança.

A imagem infectada pode ser enviada para usuários Andorid via email ou app de mensagens, como WhatsApp e Telegram. Basta a vítima visualizar a imagem para ser o código malicioso começar a rodar.

Enquanto a vulnerabilidade é grave, a Google afirmou que ainda não encontrou relatos de vítimas que tenham sido hackeadas especificamente por meio deste ataque. Além disso, a companhia alertou as fabricantes um mês antes da publicação agora em fevereiro.

Fonte: Tecmundo

Cibercriminosos usam Google Tradutor para aplicar golpes

Cibercriminosos estão usando o Google Tradutor para esconder links maliciosos na tentativa de enganar vítimas para, claro, roubar dados dos mais desatentos, alertou um pesquisador de segurança da Akamai.

A porta de entrada para os hackers é destravada por um e-mail phishing. E aqui não há nada de muito engenhoso para se fazer valer da sua atenção. Em post publicado no blog da Akamai, o pesquisador relata que ele recebeu um e-mail notificando que sua conta do Google havia sido acessada de um novo dispositivo Windows. “Como eu não lembrava de ter acessado nenhum novo aparelho, decidi abrir o e-mail para examinar mais de perto”, conta ele. Mas ao conectar em sua conta do Gmail em um desktop, logo ele percebeu sinais de que o aviso era falso.

O ataque

Ao abrir o e-mail, ao invés de direcionar o link diretamente para o domínio com intenções maliciosas, a mensagem leva supostamente para a página do Google Tradutor carregada dentro do próprio e-mail, onde será exibida a barra de tradução.

Segundo a Akamai, o golpe é bem mais convincente quando o usuário abre o e-mail a partir do smartphone, onde a tela de exibição tem seu espaço limitado. Entretanto, na versão móvel, toda a engenharia do phishing parece muito mais convincente.

“Usar o Google Tradutor dá uma série de coisas; ele preenche a barra de URL com muitos textos aleatórios, mas o mais importante é que a vítima logo vê um domínio legítimo do Google. Em alguns casos, esse truque ajudará o criminoso a desviar as defesas do ponto final”, reforça o pesquisador Larry Cashdollar.

Fazer-se valer de marcas e empresas conhecidas é um truque comum de phishing, e geralmente funciona se a vítima não estiver prestando atenção. “Os criminosos que realizam ataques de phishing querem jogar as pessoas para fora do jogo, para que usem o medo, a curiosidade ou até mesmo a falsa autoridade para fazer a vítima agir primeiro e questionar a situação mais tarde”, explica Larry. “Quando isso acontece, é inteiramente possível – esperado, em alguns casos – que a vítima não preste atenção aos pequenos detalhes que afastam o golpe. No meu caso, o atacante está usando uma mistura de curiosidade e medo. O medo de que minha conta seja comprometida e a curiosidade sobre quem fez isso”, alerta.

Como se proteger de um ataque phishing – A desconfiança no mundo online nunca é excessiva. Mas dada às campanhas cada vez mais sofisticadas dos meliantes da internet, filtrar um e-mail idôneo de um spam ambicioso tem se tornado quase um jogo de sete erros.

Por via das dúvidas, especialistas recomendam que você não clique em links de e-mails de remetentes desconhecidos. Em todo caso, separamos um guia com dicas que pode ajudar.

Fonte: itmídia

Microsoft “piora” aplicativo no Win 7 para forçar migração para o Windows 10

A “morte” do Windows 7 já está marcada para o dia 14 de janeiro de 2020, quando a Microsoft deixa de oferecer suporte — e, claro, espera que muita gente que ainda não migrou faça a transição para o Windows 10. Aos poucos os aplicativos deixarão de funcionar em sua plena forma e agora um dos programas primordiais da plataforma deixa de oferecer uma de suas principais ferramentas.

O Windows Media Player e o Windows Media Center (também na versão Windows 8 e Windows 8.1) não vão mais apresentar os metadados que trazem informações como título, gênero e artistas para as músicas e diretor, atores, capa e guia de TV para filmes. Ou seja, os dados que não foram baixados em sua máquina deixarão de atualizar as descrições de conteúdo.

A alteração não afeta nenhuma outra funcionalidade, como reprodução, navegação em coleções, streaming de mídia e assim por diante. “Somente recursos secundários que exigem o download de novos metadados são potencialmente afetados”, comunicou a companhia de Redmond, em nota oficial. Para continuar tendo acesso a isso, será necessário usar alguma alternativa, como o VCL Media Player.

O “sucateamento” de utilitários pode continuar, justamente para forçar os usuários a trocar o SO pelo Windows 10 ou outras opções. Ainda não há uma data específica para os metadados do Windows Media Player começarem a “desaparecer” no Windows 7, mas pode acontecer muito em breve.

Fonte: Tecmundo

Facebook paga jovens para coletar seus dados

Quando a temporada 2018 virou muita gente imaginou que o pior ano do Facebook teria sido deixado para trás, incluindo os casos de invasão de privacidade — vide Cambridge Analytica. Mas… este ano já começou com a rede social tendo que se explicar, justamente sobre o mesmo assunto: uma matéria-bomba do TechCrunch detalha um esquema usado pela companhia para garimpar dados de usuários mediante a um “programa de pesquisa” remunerado com uso de um app espião chamado Facebook Research.

Antes de mais nada, é preciso lembrar do app de segurança Onavo, comprado por Mark Zuckerberg e oferecido aos seus consumidores para ser uma alternativa de Rede Particular Virtual (ou VPN) para navegar por aí sem deixar rastros. Acontece que esse utilitário vinha sendo usado pelo próprio Facebook para coletar dados na surdina — o que causou o seu banimento da App Store no ano passado. Em seguida, devido a esse episódio, ele teria se transformado no “Project Atlas”.

O Onavo é um bom exemplo para descrever o que o Facebook vem fazendo com esse “estudo” desde 2016 — e, para muitos, o Facebook Research seria seu “sucessor espiritual”. Segundo a apuração, a companhia vem pagando cerca de US$ 20 mensais (mais eventuais taxas) a usuários de 13 a 35 anos, para que eles instalem esse aplicativo, disponível para iOS e Android.

Seu anúncio vinha sendo feito discretamente, sem o nome da rede social, em apps como o Snapchat e o Instagram. De acordo com relatos no Quora, outra forma de participar seria receber um convite de alguém já dentro do programa — e os rendimentos poderiam chegar a US$ 1 mil por mês.

Facebook Research pede até cópia da tela de compras na Amazon

E o que exatamente esse “programa de pesquisa” pede e o que o app garimpa dos participantes? Bem, a empresa é capaz de visualizar pesquisas na web, informações de localização, mensagens privadas em aplicativos de mídia social e outros dados, segundo o especialista em segurança do Guardian Mobile Firewall, Will Strafach, disse ao TechCrunch. Os participantes são até mesmo “convidados” a fazer um screenshot de uma página mostrando o que eles compraram na Amazon.

Os serviços de testes Beta BetaBound, uTest e Applause ajudaram a distribuir o aplicativo e inicialmente não mencionam nas páginas de inscrição desse programa que os usuários estão permitindo ao Facebook acessar seus dados. A rede social só é mencionada quando menores de idade precisam levar aos pais um formulário para assinatura.

Facebook responde

Não demorou mais do que 7 horas para que o Facebook respondesse à investigação do TechCrunch. A rede social disse que vai desabilitar o app de pesquisa no iOS e assegurou que ele não é uma “continuação” do Onavo, embora ambos compartilhem de códigos semelhantes. Um porta-voz emitiu o seguinte comunicado:

“Fatos importantes sobre este programa de pesquisa de mercado estão sendo ignorados. Diferente do que dizem os primeiros relatos, não havia nada ‘secreto’ sobre isso; foi literalmente chamado de Facebook Research App. Não havia ‘espionagem’, pois todas as pessoas que se inscreveram para participar passaram por um processo claro de integração, pedindo permissão, e foram pagas. Para concluir, menos de 5% das pessoas que optaram por participar desse programa de pesquisa de mercado eram adolescentes — todos eles com formulários de consentimento assinado pelos pais.”

Para muitos especialistas, essa seria uma estratégia questionável e até mesmo “desesperada” para o Facebook voltar a compreender os usuários mais jovens, que há algumas temporadas vêm trocando a plataforma pelo Snapchat, YouTube, Instagram e outros — isso também explica o investimento de Zuckerberg no Lasso, um clone do TikTok, e no LOL, uma aba dedicada aos memes virais.

Embora haja o consentimento dos participantes, a estratégia de marketing e os próprios termos de uso não deixam muito claros o completo funcionamento desse app espião. É, ao que parece, o Facebook começou 2019 da mesma forma que terminou 2018. E esse assunto promete não terminar por aqui.

Fonte: Tecmundo

Cuidado com sites falsos que anunciam leilões da Receita Federal

Você aí que está procurando por itens mais baratos na seção de leilão de produtos apreendidos pela Receita Federal, tome cuidado: uma página falsa vem se passando pelo órgão, inclusive com uma identidade visual semelhante, com o objetivo de obter seu dinheiro, por meio de pagamento de boleto de mercadorias inexistentes, e de dados como RG, CPF e comprovante de endereço.

Embora, os cuidados com links e sites maliciosos sejam amplamente divulgados, uma pessoa já caiu neste golpe, segundo da Delegacia da Receita Federal em Jundiaí (SP). A Polícia Federal está de olho e vale reforçar que todos mantenham seus navegadores atualizados, tenham opções de antivírus e antiphishing e sempre desconfie de endereços com erros gráficos e de português, ou aqueles que pedem por informações que você não daria facilmente para os outros por aí.

A Receita esclarece que os leilões de mercadorias não são realizados em sites privados. O único canal disponível é o Sistema de Leilões Eletrônicos, acessado por meio do site da Receita Federal. Para participar, é necessário ter um certificado digital no Centro Virtual de Atendimento ao Contribuinte — e-CAC.

Fonte: Tecmundo

Mega vazamento: 2,2 bilhões de senhas circulam pela rede

No começo do mês, o pesquisador de segurança Troy Hunt revelou que um vazamento, batizado de Collection #1, tinha exposto os e-mails de 773 milhões de pessoas e mais de 21 milhões de senhas. Em seguida, o pesquisador de segurança da informação Brian Krebs informou que existiam outros pacotes de credenciais, o Collection #2 até o Collection #5, que tinham até dez vezes o tamanho do vazamento original. Agora, diferentes pesquisadores de segurança da informação tiveram acesso e analisaram esses últimos quatro pacotes de dados. A conclusão é de que eles abrigam os nomes de usuários e senhas de 2,2 bilhões contas únicas, quase três vezes mais do que o primeiro pacote.

“Essa é a maior coleção de credenciais que já vimos”, disse à revista Wired Chris Rouland, pesquisador de cibersegurança da empresa Phosphorus.io. Boa parte desses arquivos é velha, composta por material de outros vazamentos, como do Yahoo, LinkedIn e Dropbox. Esses dados já vinham circulando na internet em fóruns e programas de torrent – apenas uma fração seria inédita. Ainda assim, o Hasso Plattner Institute, na Alemanha, afirmou que 750 milhões das credenciais não faziam parte do seu catálogo de informações vazadas. Já Rouland 611 milhões de credenciais não faziam parte da Collection #1 – é comum que em grandes compilações de dados exista informação duplicada.

Os pesquisadores também chamam a atenção para a livre circulação do material na internet. É comum que vazamentos inéditos sejam vendidos por valores altos na rede e percam valor conforme envelhecem, dando tempo para que seus proprietários ou empresas tomem ações para combater invasões. Segundo os pesquisadores, a fácil disponibilidade indica que as credenciais perderam apelo, mas não significa que não possam ser úteis para para hackers menos habilidosos, que ainda podem tentar descobrir se as senhas e logins funcionam.

Rouland não revelou quais companhias foram afetadas pelo vazamento, mas disse estar tentando contato com elas e que também está aberto a conversar com representantes de empresas que acreditam terem sido afetadas.

Troy Hunt publicou em seu site – haveibeenpwned.com – uma ferramenta em que usuários podem checar se foram afetados pelo vazamento Collection # 1. O recurso também mostra se um e-mail já foi afetado em outras falhas de segurança, como a da rede social Myspace ou a do serviço de música Last.fm. A recomendação dos especialistas é que as pessoas troquem as senhas das contas caso elas estejam listadas na ferramenta de Hunt. Os pesquisadores da Plattner Institute em Potsdam criaram uma outra ferramenta para que usuários descubram se fazem parte do segundo pacote em diante.

Fonte: Estadão