HTTPS (cadeado verde) não é garantia de segurança

Sejamos honestos, quando a maioria das pessoas veem um cadeado verde com a palavra seguro à esquerda de uma URL, pensam que realmente estão em um ambiente protegido. O mesmo vale para “esse site usa uma conexão segura” ou URLs que começam com as letras “https”. Cada vez mais sites passam para HTTPSL. A maioria não tem escolha. Mas afinal, qual o problema? Quanto mais medidas de segurança melhor, não é mesmo?

Estamos prestes a revelar um pequeno segredo: aqueles símbolos de “segurança” não garantem que um endereço está seguro. Um site de phishing, por exemplo, pode de forma legítima exibir esse cadeado verde reconfortante ao lado do endereço https. Então o que está acontecendo? Vamos descobrir.

Conexão segura não significa um site idem

O cadeado verde significa que o site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informação transmitida entre você e a página. Nesse caso, a URL começa com HTTPS, com o último “S” significando “Seguro”.

Claro, dados transmitidos criptografados são ótimas premissas. Significam que a informação trocada entre seu navegador e o site não está ao alcance de terceiros – provedores, administradores de rede, cibercriminosos, entre outros. Isso permite a inserção de senhas e detalhes de cartão de crédito sem olhos curiosos.

O problema é que cadeados verdes e os certificados não dizem nada sobre o site em si. Uma página de phishing pode simplesmente obter esse certificado e criptografar todo o fluxo com você.

De forma simples, o cadeado simplesmente garante que ninguém mais pode espionar os dados inseridos. No entanto, sua senha ainda pode ser roubada pelo site, caso seja falso.

Phishers usam e abusam disso: de acordo com a Phishlabs, um quarto dos ataques desse tipo são executados por sites HTTPS (há dois anos, eram menos de 1%). Além disso, mais de 80% dos usuários acreditam que a mera presença do símbolo significa que o site é seguro, o que os leva a não pensar duas vezes antes de inserir seus dados.

Mas e se o cadeado verde não estiver onde deveria?

Se a barra de endereço não tiver cadeado, significa que o site não usa criptografia, ou seja, troca informação com seu navegador por meio de HTTP comum. O Google Chrome começou a rotular tais páginas como inseguras. Embora possam ser legítimas, não criptografam tráfego entre você e o servidor. A maioria dos proprietários não querem que o Google classifique seus sites como inseguros, de forma que a migração para HTTPS é questão de tempo. De qualquer forma, digitar dados sensíveis em qualquer ambiente sem o “s”é má ideia – qualquer pessoa mal-intencionada pode estar de olho.

A segunda variante se trata de uma fechadura cruzada com linhas vermelhas acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido. Ou seja, a conexão entre você e o servidor é criptografada, mas não há garantia que o domínio de fato pertence a empresa indicada no site. Esse é o caso mais suspeito -normalmente tais certificados são usados apenas para testes.

De maneira alternativa, se o certificado expirou e o proprietário não foi atrás de renová-lo, navegadores trataram a página como insegura, o que visualmente, reflete em um aviso com uma fechadura vermelha. Nesse caso, considere esse alerta como indicação para evitá-los -a preocupação deve ser duplicada se pensar em digitar dados pessoais.

Como não cair em uma armadilha?

Para resumir, a presença do certificado e do cadeado verde significam apenas que a transmissão entre você e o site está criptografada, e o certificado foi emitido por uma autoridade confiável. Entretanto, isso não previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.

Portanto, fique ligado, não importa se a primeira impressão sobre o site parece segura.

  • Nunca digite informações de login, senhas, credenciais bancárias, ou outra informação pessoal em sites sobre os quais você não tem certeza acerca da autenticidade. Para isso, verifique o nome do domínio – e com bastante cautela. Os nomes de sites falsos podem diferir do original, até mesmo por apenas simples letra. Certifique-se que links são confiáveis antes de clicar.
  • Sempre leve em conta o que um site em particular oferece, caso pareça suspeito e se você realmente precisa se registrar.
  • Faça uma verificação do link em um site como o Virus Total.
Fonte: Kaspersky

Dicas úteis para estudar on line

Atualmente há uma série de cursos online que podem ajudar você a acelerar a sua carreira. Mas há certos cuidados que devem ser tomados antes da escolha da instituição e do curso a ser realizado. É preciso estar atento a certos aspectos na hora da tomada da decisão, para não haver arrependimentos. E, lembre-se, acreditar que este tipo de curso dispensa dedicação é um mito.

 

Confira, a seguir, algumas dicas de especialistas para quem deseja se preparar por meio desta modalidade de estudo:

1- Pesquise sobre a instituição

Antes de se matricular, é importante conhecer a instituição escolhida. A tradição e idoneidade são essenciais. Verifique se ela está devidamente cadastrada nos órgão regulares e se possui o credenciamento necessário para oferecer tais cursos. Aproveite também para saber sobre a validade do certificado no mercado e o seu reconhecimento.

2- Se possível, conheça o estabelecimento

Visitar as sedes e polos ajuda a conhecer a estrutura da escola e a maneira como está organizada, se possui laboratórios à disposição dos alunos e as suas instalações. Além disso, procure saber se a escola possui aulas presenciais e, caso seja possível, assista a uma dessas apresentações, pois assim será uma maneira de conhecer os métodos de ensino.

3- Avalie a qualidade do material

Para quem realiza um curso de educação a distância, a qualidade do conteúdo do material didático é essencial. Informe-se sobre como ele está disponível (online, para impressão ou enviado no domicílio), se o seu valor está incluso no preço do curso, como ele é preparado, se possui erros e se está adequado à modalidade de curso pretendida.

4- Verifique se há meios de contato com a instituição e professor

Além do material didático e da estrutura da escola, o aluno deve se preocupar com os meios de comunicação que a instituição oferece. É importante que as ferramentas para obter informações ou tirar dúvidas sejam acessíveis, ágeis e eficientes. Cheque também quais são as opções de contato entre aluno e professor, se há chats e reuniões online, encontros e ou livre comunicação via telefone ou e-mail.

5- Acesse a grade curricular

Nem sempre pelo nome do curso é possível saber todos os assuntos abordados. É imprescindível analisar a grade curricular do ensino, conhecer as disciplinas, o que será abordado em cada aula e ver se o foco ensinado condiz com aquele que o aluno precisa para obter uma preparação satisfatória.

6- Analise currículo dos professores

É essencial conhecer o potencial do quadro de professores da instituição. Procure saber sobre a formação e capacitação técnica, bem como a experiência dos profissionais em relação ao ensino a distância. Os educadores devem possuir uma formação sólida e que corresponda às necessidades dos alunos.

7- Converse com atuais e ex-aluno da instituição

O contato com alunos que estão realizando ou que já concluíram um curso na instituição pode dar subsídios para a tomada de decisão. Pesquise também órgãos de atendimento ao consumidor, que podem trazer registros de reclamações e a condução para a resolução das mesmas.

Fonte: IDGNow!

Promoção imperdível para a copa na Rússia? Desconfie…

A Kaspersky Lab identificou uma nova campanha de phishing disseminada por e-mail com uma falsa promoção para a Copa do Mundo de Futebol, que ocorre a partir de junho na Rússia. O e-mail, escrito em português e direcionado para os usuários brasileiros, promete uma viagem exclusiva aos ganhadores da promoção com dez pacotes com tudo pago para assistir à uma partida de futebol.

Os usuários que recebem a falsa promoção intitulada #PartiuRússia são instigados a clicar em um link, que direciona para uma página com um formulário com o passo a passo. Nesta página, os clientes devem fornecer informações sobre seu cartão de crédito e informar se a bandeira é Visa Infinite ou Black.

Para executarem essa campanha de phishing, os cibercriminosos registraram um novo domínio que parece legítimo – o website conta com uma seção de Perguntas Frequentes, Como Participar, bem como descrição dos prêmios – porém todo o conteúdo no servidor da Web não passa de uma fraude. Além das informações do cartão de crédito, os cibercriminosos roubam informações pessoais da vítima, como data de nascimento, CPF, entre outros – como na imagem abaixo.

“Mais uma vez fica claro como os cibercriminosos brasileiros têm utilizado campanhas de phishing com assuntos atuais para atrair cada vez mais vítimas. Por ser um país grande e com muitos usuários online, o Brasil é muito visado, o que aumenta a disseminação de campanhas maliciosas de uma forma fácil e rápida”, diz Thiago Marques, analista de segurança da Kaspersky Lab.

A campanha maliciosa é bem agressiva e está direcionada especificamente para vítimas brasileiras que estejam morando no País ou ligadas a ele de alguma forma.

Recomendações

Para evitar cair em golpes que prometem viagens, descontos e promoções, a Kaspersky Lab recomenda:

Desconfie de links recebidos

Mesmo que a conversa não seja com um desconhecido, é preciso duvidar da veracidade da mensagem, ainda mais se inclui uma promoção; procure sempre confirmar no site oficial da empresa qualquer informação.

Cuidado com o mouse (ou o touch)

Nunca clique em links de e-mails suspeitos, banners em sites ou acesse sites desconhecidos. Quando você tiver que visitar um banco on-line ou uma loja de varejo, digite manualmente o URL em vez de clicar em um link.

Tenha uma solução de segurança robusta no seu celular e outros dispositivos

Usar um software, como o Kaspersky Internet Security, que irá bloquear o acesso aos sites maliciosos, scripts que tentam alterar seu roteador e assim você terá uma navegação mais tranquila.

Notificações

Não autorize as notificações em qualquer website, mesmo que a pergunta não seja relacionada a isso. Revise sempre as configurações avançadas no seu navegador, seja no desktop ou smartphone e remova os sites desconhecidos que estão autorizados a emitir notificações.

Fonte: Computer World

Cuidar bem das suas senhas: Fundamental, sabe por que?

Há algumas semanas, talvez você tenha visto algumas notícias preocupantes: pesquisadores analisaram cada cantinho da dark web e encontraram uma coletânea secreta com 1,4 bilhão de logins e senhas violados.

É isso mesmo: 1,4 BILHÃO. Seus dados de acesso podem estar entre eles e, caso você use a mesma senha para várias contas, você está desprotegido contra os hackers. Há anos os usuários encontram dificuldades para administrar suas senhas, então – digamos – que já passou da hora de melhorar sua segurança online.

O que aconteceu?

A descoberta da semana passada é um alerta para todos que usam a Internet e enfrentam dificuldades para administrar suas senhas online. O banco de dados de 41 GB foi encontrado em um fórum clandestino. Além disso, pacotes com logins/senhas foram armazenados em texto simples para que os hackers possam facilmente encontrar o que procuram.

De acordo com a análise feita até o momento, a maioria das senhas violadas é verdadeira e foi obtida por meio de centenas de violações de dados de sites como o LinkedIn, MySpace, Last.FM, e Netflix. Muitos nomes de usuários e senhas podem ser antigos, talvez de sites e serviços que você nem use mais. Mas, considerando que os usuários geralmente usam as mesmas senhas em diversas contas, ainda assim elas podem ser muito valiosas para os hackers, possibilitando violações de contas em uso.

Resumindo, o banco de dados fornece aos cibercriminosos uma forma rápida de realizar fraudes e roubar identidades.

O problema com as senhas

A descoberta evidenciou um problema de longo prazo com as senhas. Elas foram muito úteis nos primórdios da Internet, quando só precisávamos lembrar de uma ou duas senhas. Mas tudo mudou. Há dez anos, a Microsoft notou que um usuário da internet tinha cerca tinha 25 contas online. Esse número deve ter crescido absurdamente.

Cerca de 80% dos americanos fazem compras pela internet e não pensamos duas vezes antes de criar uma nova conta online. Afinal, salvar nossas informações nestas contas torna nossas vidas mais fáceis, certo? A resposta é sim até sua conta ser hackeada e suas informações de pagamento serem roubadas.

Bom, mas o que pode ser feito?

Como tornar a vida mais fácil… e mais segura

Felizmente, há uma solução: use um administrador de senhas. Ele ajuda a gerar senhas muito seguras, exclusivas e difíceis de usar para cada uma das suas contas online. Além disso, a ferramenta:

• Armazena e insere seus dados de acesso com segurança para que possa acessar a conta quando navega na web, ou seja, você não precisa se lembrar delas;

• Fornece uma maneira fácil de mudar senhas. Se já usou mais de uma vez ou alguma informação vazou ou foi roubada, o Password Manager da Trend Micro, por exemplo, pode te ajudar a atualizar todas as suas contas com senhas fortes e exclusivas;

• Agiliza e facilita a administração de suas senhas em qualquer local, em qualquer dispositivo ou navegador, incluindo um Mac – e pode ser aberto com um simples toque em dispositivos Android e iOS;

• Te ajuda a importar as senhas salvas em seu navegador, que não é um lugar seguro;

• Identifica e reporta senhas fracas;

Não importa o quão bem você acha que protegeu a sua vida digital, as organizações com as quais você interage online continuam a ser violadas, expondo seus logins no processo. Os administradores de senha devolvem o controle da situação para que você possa economizar tempo (e memória!) para fazer o que realmente importa na vida. Guardar senhas, definitivamente, não precisa ser uma delas.

Fonte: IDG Now!

Como proteger seu cartão de crédito no mundo on line

A praticidade das transações realizadas online trouxe consigo uma série de cuidados extras que são necessários a quem costuma usar cartão de crédito para realizar compras via web. Embora cada vez mais os brasileiros estejam usando a internet para adquirir bens e serviços, como indica pesquisa recente realizada pelo Serviço de Proteção ao Crédito (SPC Brasil) e pela Confederação Nacional de Dirigentes Lojistas (CNDL), ainda existe muito receio em torno da segurança envolvendo as transações.
Segundo a mesma pesquisa, apenas 20% dos consumidores de e-commerce se sentem seguros fazer compras via internet.

Cuidados básicos envolvendo compras online

  • A princípio, é necessário se atentar a uma sequência de preocupações essenciais que precisam se tornar habituais. Seguir esses pontos básicos já garante proteção aos casos de fraudes mais comuns envolvendo clonagem de cartão ou delitos similares.
  • Dê preferência ao uso de cartão de crédito. O uso cartão de débito não garante o mesmo nível de prevenção contra golpes e proteção na hora de efetivar as transações online.
  • Saiba identificar sites seguros para se comprar. É possível identificar as páginas com conexão segura quando o protocolo HTTP, no início da barra de endereços, no canto superior esquerdo da tela está verde.
  • De modo algum deixe informações sobre o cartão de crédito salvas no email ou em redes sociais, ainda que estejam em campos acessíveis apenas a você.
  • Mantenha o antivírus do celular e do computador atualizado e evite fazer transações em conexões de internet de lugares públicos, como cafés, shoppings etc.

Além de ter esses cuidados, é possível investir em um plano mais elaborado de segurança. Hoje em dia, você consegue adquirir proteção adicional junto a administradoras do cartão de crédito. O Mastercard SecureCode, por exemplo, é uma proteção adicional para manter transações seguras e privadas. Por meio do serviço, o portador do cartão conta com um código privado para realizar a compra, o qual funciona como uma camada adicional de segurança, já que apenas você e a instituição financeira têm conhecimento dele. A Visa possui um sistema de segurança próprio também, no qual confirma o pedido enviando um PIN para o celular do dono do cartão segundos após a compra, a fim de legitimar a transação.

Considere reservar cartões apenas para transações online

Para quem precisa realizar constantemente transações via internet, uma alternativa interessante é separar o cartão de crédito convencional e realizar transações online com um cartão reservado unicamente para essa finalidade. O mercado de transações online já oferece alternativas como cartões com função pré-paga, que permite carregar previamente uma quantidade de dinheiro específica capaz de suprir as necessidades.

Outras instituições financeiras também operam com cartões de crédito virtuais. Nesse modelo, o número, o limite e a data de validade são temporários. Isso significa que, em uma eventual publicação das informações privadas, a volatilidade que caracteriza o serviço pode proteger o usuário de maiores consequências.

Por fim, falando justamente em navegador, não deixe de conferir as configurações do seu browser, sobretudo a função de autopreenchimento, que pode acabar liberando dados salvos anteriormente do seu cartão. Para fazer isso, vá em configurações, selecione a opção “Avançado”, em seguida “senhas e formulários” e então desative a opção de preenchimento automático.

Fonte: Tecmundo

Dicas para se proteger de ataques no Home Office

O trabalho remoto (home office ou fora do escritório) oferece grandes vantagens. Mas é preciso levar a sério a segurança dos dados e informações

trabalho remoto (eestá cada vez mais em pauta nas empresas e, quem aderiu, descreve grandes vantagens. Porém, um alerta se faz necessário: como tratar a questão da segurança dos dados e informações? O ponto inicial a se pensar é que quando o funcionário trabalha de casa existem dois cenários possíveis. No primeiro, o funcionário trabalha remotamente utilizando um computador corporativo. Já no segundo cenário, o trabalhador usa uma máquina própria para executar as tarefas do trabalho.

A primeira situação é, em termos de segurança, a mais ideal. Uma máquina corporativa está em compliance com as políticas de segurança da empresa. Nessa máquina, o usuário não possui acesso de administrador, ele só utiliza aplicativos e ferramentas liberados pela equipe de segurança. É possível fechar uma VPN (rede privada) com a empresa e ter o tráfego monitorado e seguro pela equipe de segurança corporativa.

Já com a máquina pessoal, o usuário que trabalha remotamente está muito mais vulnerável e aumenta o risco de exposição, tanto pessoal quanto das informações confidenciais da empresa. Provavelmente, ele não possui uma solução corporativa de antimalware, não consegue fechar uma VPN com a empresa e, talvez o mais preocupante, possui acesso administrativo, podendo executar malwares e abrir as portas da empresa para outras ameaças a qualquer momento.

Compartilho algumas dicas que podem ajudar a melhorar a segurança no home office.

1 – Prefira trabalhar com computadores corporativos

Como dissemos anteriormente, é preferencial que o funcionário, ao trabalhar remotamente, utilize um equipamento homologado pela empresa. Na impossibilidade disso, o computador precisa ter no mínimo uma boa solução de antimalware em funcionamento.

2 – Não se conecte a um Wi-Fi aberto

Uma rede wireless aberta é uma porta de entrada para hackers. Ao se conectar a uma rede wireless aberta você se expõe a riscos, podendo ter informações pessoais e corporativas comprometidas.

3 – Configure a rede doméstica corretamente

Poucas pessoas sabem, mas os vírus e emails maliciosos não são a única porta de entrada para um ataque. Em uma residência, configurar o wireless corretamente é muito importante para fechar uma porta de entrada para os criminosos. O modem utilizado para conexão em geral possui como usuário e senha padrão o clássico admin/admin. Isso permite que qualquer pessoa mal-intencionada configure o modem de sua casa, podendo redirecionar sua conexão para links maliciosos. Nós já identificamos em um cliente um caso onde o modem da casa de um executivo foi

comprometido dessa forma. Por isso, é preciso modificar o usuário e senha fornecendo mais segurança para esse ponto de acesso.

4 – Realize backups periodicamente

Nas empresas, é comum a realização de um backup periódico para evitar problemas como perdas de informações, seja em casos de incidente de segurança até, por exemplo, máquinas estragadas. O usuário quando se conecta remotamente, principalmente de um computador pessoal, acaba não fazendo o backup. O perigo disso está justamente na perda das informações, se a máquina acaba estragando, o funcionário perderá o trabalho feito, um prejuízo de tempo e dinheiro para a empresa.

5 – Tenha cuidado com as senhas e acessos

Ao trabalhar utilizando um computador pessoal, é recomendado que o funcionário utilize um perfil sem acesso administrativo, essa medida não impossibilita a entrada de malwares, mas é mais uma barreira que dificulta a ação dos criminosos. Utilize o perfil administrativo apenas para instalar os aplicativos imprescindíveis. Diferente da máquina homologada pela empresa, o computador pessoal não conta com uma política de troca de senhas. Portanto, o funcionário deve se lembrar de trocar suas senhas periodicamente, utilizando senhas complexas.

Fonte: IDG Now!

Cuidados com as permissões aos apps no Android

No que diz a respeito à infecção por malware, o Android possui um excelente mecanismo de defesa – o sistema de permissões de aplicativos. Ele define uma série de ações que são (ou não) permitidas a um app. Por definição, os aplicativos do Android funcionam em um sandbox – um ambiente isolado. Se querem acesso, editar ou deletar dados fora dessa “caixa de areia”, precisam de permissão do sistema.

Permissões são divididas em diversas categorias, mas iremos discutir apenas duas: normais e perigosas. Permissões normais cobrem ações como acessar internet, criar ícones, conexão de Bluetooth, e por aí vai. Essas são garantidas por definição e não requerem aprovação do usuário. Se um app precisa de uma “perigosa”, a confirmação é requerida.

Permissões perigosas

Essa categoria inclui nove grupos de permissões nas quais apps conectam-se de alguma forma com sua privacidade e segurança. Cada grupo contém diversas que um aplicativo pode requerer.

Se o usuário aprova uma permissão, o app recebe todas do mesmo grupo automaticamente, sem qualquer confirmação adicional. Por exemplo, se um aplicativo recebe permissão para ler SMS, então será capaz de enviar SMS, ler MMS, e realizar outras operações desse grupo.

Calendário / O que permite

  • Ler eventos armazenados no calendário (READ_CALENDAR).
  • Editar eventos antigos e criar novos (WRITE_CALENDAR)

Por que é perigoso: se você usa ativamente seu planejador diário, o aplicativo saberá tudo sobre sua rotina e talvez possa compartilhá-la com criminosos. Além disso, um aplicativo defeituoso pode acidentalmente apagar todas as reuniões importantes do calendário.

Câmera / O que permite

  • Acesso à câmera (CÂMERA) deixa o aplicativo usar seu celular para tirar fotos e gravar vídeos

Por que é perigoso: Um app pode gravar vídeos secretamente ou tirar fotos a qualquer momento.

Contatos / O que permite

  • Ler contatos (READ_CONTACTS)
  • Editar contatos ou adicionar novos (WRITE_CONTACTS)
  • Acessar a lista de contas (GET_ACCOUNTS)

Por que é perigoso: um aplicativo pode copiar toda sua agenda. Esses dados são altamente atrativos para spammers e falsários. Essa permissão também garante acesso a lista de todos os contatos usados em aplicativos no dispositivo – Google, Facebook, Instagram, e outros.

Localização/ O que permite

  • Acesso a sua localização aproximada (ACCESS_COARSE_LOCATION), fornecendo informações baseadas em dados da estação base de celular e pontos de acesso WiFi.
  • Acesso a sua localização exata (ACCESS_FINE_LOCATION), baseada em dados GPS.

Por que é perigoso: o aplicativo sabe onde você está o tempo inteiro. Pode por exemplo, permitir com que um ladrão entre na sua casa enquanto você está ausente.

Microfone / O que permite:

  • Gravar áudio do microfone (RECORD_AUDIO).

Por que é perigoso: o aplicativo pode gravar tudo que está sendo dito próximo ao seu celular. Todas as conversas. Não apenas quando você fala ao telefone, mas o dia inteiro.

Telefone / O que permite:

  • Ler o estado do telefone (READ_PHONE_STATE) permite ao aplicativo saber seu número, informações atuais de rede de celular, o status de chamadas ocorrendo e por aí vai.
  • Fazer chamadas (CALL_PHNONE)
  • Ver a lista de chamadas (READ_CALL_LOG)
  • Mudar a lista de chamadas (WRITE_CALL_LOG)
  • Adicionar uma mensagem de voz (ADD_VOICEMAIL)
  • Usar o VoIP (USE_SIP).
  • Processar permissões de chamadas (PROCESS_OUTGOING_CALLS) permite ao aplicativo ver quem está ligando, desligar o telefone ou redirecionar a chamada para outro número.

Por que é perigoso: ao fornecer permissão de telefone, você autorizava que o app faça praticamente qualquer coisa associada às comunicações por voz. Ele também saberá quando e para quem você ligar – e pode ligar para qualquer lugar, incluindo número pagos, por sua conta.

Sensores corporais / O que permite

  • (BODY_SENSORS) – essa permissão fornece acesso aos seus dados de saúde de certos sensores, como monitores cardíacos.

Por que é perigoso: se você usar acessórios como sensores corporais (não os sensores de movimento embutidos), o aplicativo recebe dados sobre o que está acontecendo com seu corpo.

SMS / O que permite

  • Enviar mensagens SMS (SEND_SMS)
  • Ler mensagens SMS salvas (READ_SMS)
  • Receber SMS (RECEIVE_SMS)
  • Receber WAP (RECEIVE_WAP_PUSH)
  • Receber MMS (RECEIVE_MMS).

Por que é perigoso: permite ao aplicativo receber e ler suas mensagens SMS e enviar (por sua conta, claro). Por exemplo, criminosos podem usar essa permissão para inscrever vítimas em serviços pagos indesejados.

Armazenamento / O que permite

  • Ler o cartão SD e outros pontos de armazenamento de dados (READ_EXTERNAL_STORAGE)
  • Salvar registros de armazenamento ou cartão SD (WRITE_EXTERNAL_STORAGE).

Por que é perigoso: o aplicativo pode ler, alterar, ou remover qualquer arquivo no telefone.

Fonte: Kaspersky blog