Apps populares podem vazar seus dados pessoais

Este artigo não fala de Trojans, mas sobre aplicativos genuínos que, ainda assim, podem vazar seus dados online. Nossos especialistas analisaram um total de 13 milhões de APKs (arquivos de pacote para Android) e descobriram que aproximadamente um quarto deles transmite dados sem criptografia na internet. Alguns desses aplicativos têm centenas de milhões de downloads, às vezes mais de meio bilhão! Não dá para chamar algo assim de “probleminha”.

Por vezes, informações são expostas online em função de algum erro do desenvolvedor – todavia não é isso que acontece na grande parte dos casos. Quando solicitados para o envio de dados de usuários para um servidor, a maioria dos apps vai usar um protocolo HTTPS seguro, que impede a interceptação. O problema está nos serviços de terceiros que os desenvolvedores incorporam sem verificação de antecedentes. Por exemplo, alguns analíticos ou de publicidade conduzem informações pela internet por meio do protocolo HTTP padrão, que não é seguro.

Que informações podem ser afetadas?

A maior parte dos vazamentos de dados que detectamos tinha a ver com o modelo do dispositivo, suas especificações técnicas, dados relacionados à rede ou aos provedores de internet, e o nome do APK (pelo qual o sistema reconhece o pacote); muitos serviços também revelaram as coordenadas do smartphone ou tablet.

Em alguns casos, informações sobre o uso dos aplicativos foram transmitidas pelo HTTP por um serviço terceirizado integrado. Dentre esses dados estavam curtidas, publicações, páginas visitadas, além de detalhes sobre o dono do aparelho – nome, telefone, data de nascimento. Descobriu-se que as chaves únicas criadas para cada pedido de autorização também eram transferidas de forma insegura. Felizmente, a maioria dos serviços não repassa logins e senhas sem criptografia, apesar de alguns o terem feito.

O que há de perigoso nisso?

Informações transmitidas por HTTP são enviadas como um texto simples, e podem ser lidas por qualquer pessoa – inclusive seu provedor de internet, por exemplo. Além disso, o caminho entre o aplicativo e o servidor da outra parte provavelmente tem vários “pontos de trânsito”, na forma de dispositivos que recebem e armazenam informação por um determinado período de tempo.

Qualquer equipamento de rede, o que inclui seu roteador doméstico, pode ser vulnerável. Se hackeado, vai permitir que criminosos tenham acesso as suas informações – o provedor de internet, por outro lado, não precisa hackear nada para isso. E a obtenção de qualquer informação sobre o dispositivo (especificamente códigos IMEI e IMSI) é o suficiente para monitorar suas ações futuras. Quanto mais completa a informação, mais você se torna um livro aberto para os outros – de anunciantes até amigos falsos que oferecem arquivos maliciosos para download.

Entretanto, os vazamentos de dispositivos e dados são apenas parte do problema; informações sem criptografia também podem ser substituídas. Por exemplo, em resposta a um pedido de HTTP de um aplicativo, o servidor pode enviar um anúncio em vídeo, que os cibercriminosos podem interceptar e substituir por uma versão menos inofensiva. Ou então podem simplesmente mudar o link dentro de um anúncio – e ao invés de baixar um jogo bonitinho ou um aplicativo para fins corporativos, os usuários correm o risco de fazer o download de algo muito mais nefasto.

O que pode ser feito

Essas questões devem realmente ser solucionadas pelos desenvolvedores de aplicativos. Mas não se pode confiar completamente que irão resolver, assim, temos algumas dicas simples que podem protegê-lo melhor.

Verifique as permissões solicitadas por um aplicativo – pode demorar, mas nunca é uma perda de tempo, mesmo quando o app tem milhões de downloads. Se, digamos, um aplicativo de mensagem instantânea quer saber sua localização, não se sinta obrigado a revelar. Saiba mais detalhes sobre as permissões do Android aqui.
Compre versões pagas dos aplicativos, se possível. Elas não mostram anúncios, o que significa menor risco de vazamento de dados. No entanto, pode ser que ainda utilizem módulos analíticos terceirizados que muitas vezes se comportam do mesmo jeito.
Utilize uma VPN – essa conexão segura vai proteger seus dados mesmo que os desenvolvedores não consigam.

Fonte: Kaspersky

Dados pessoais são amplamente vazados através de apps

smartphoneEste aplicativo utiliza a sua localização, os seus dados pessoais e a sua câmera. Você aceita os termos e condições?”. Essa frase é lida por 99% dos usuários, mas apenas uma pequena porcentagem liga para o que está escrito ao instalar um app.
Contudo, você sabia que essas informações pessoais são muito mais vazadas do que você imagina?

Segundo uma pesquisa norte-americana, os dados utilizados por utilitários mobile, incluindo os que requerem contas com login (como email, data de nascimento etc.) são enviados para, geralmente, três domínios distintos da internet. Mandar informações para esses lugares não é um problema isolado, mas sim a utilização e monetização delas.

O grande contratempo é que esses dados acabam nas mãos de empresas que podem determinar seu tipo de comportamento, nome, moradia, histórico de compras e muito mais. Em outras palavras, sua ficha pessoal (que pode incluir detalhes médicos e outras coisas importantes) pode cair no domínio de empreendedores ou outros usuários – que podem ser mal-intencionados.

No iOS, há mais chances de você ter a sua localização divulgada para outras companhias (47% dos aplicativos testados na pesquisa faziam isso), enquanto o seu nome (18%) e email (16%) ficam em segundo e terceiro lugar, respectivamente.

No Android, a situação é um pouco mais complicada: 73% dos softwares querem seu email e 49% desejam saber o seu nome. Além disso, 24% deles também procuram por informações de hardware, como o IMEI do aparelho.

No entanto, vale ressaltar que, como dito no começo da notícia, em grande parte das vezes você é quem cede esses dados de boa vontade ao concordar com termos e condições. Contudo, fica a dúvida: parte dessas informações são transformadas em sugestões de compras na sua navegação do Google e e na sua página do Facebook, mas…e a outra parte???

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Quanto podem valer seus dados pessoais no submundo da Internet

crackers

Os seus dados pessoais podem chegam a custar de US$ 5 (cerca de R$19) a US$ 10 mil (R$ 38 mil) na Deep Web –mundo obscuro da internet e desconhecido por muitos–, segundo relatório da empresa de segurança digital McAfee.

Vale lembrar que a Deep Web refere-se ao conjunto de páginas não indexadas e invisíveis a grande maioria dos usuários, já que os tradicionais portais de pesquisa não podem encontrá-las. Estima-se que a rede seja 400 vezes maior do que a internet comum e esconde um mundo de atividades criminosas que buscam anonimato.

O estudo destaca os preços das negociações relacionadas à venda de dados roubados. O valor médio por dados de cartão de crédito e débito varia de US$ 5 até US$ 45 (R$ 175), a depender do detalhamento das informações, bem como do país de origem da transação.

Além do número do cartão, os hackers colocam a venda o nome completo do dono, o endereço de cobrança, a data de vencimento, o número PIN, o número de segurança social, o nome de familiares do dono do cartão e a data de nascimento do proprietário.

Já o preço das credenciais para cartões está diretamente relacionado ao saldo bancário e podem variar de US$ 190 (R$ 739), para cartões com saldo bancário de US$ 2,2 mil (R$ 8,8 mil), a US$ 10 mil (R$ 38 mil), para cartões com limite de até US$ 16 mil (R$ 61 mil).

Embora a maior parte do relatório destaque a venda de dados roubados, há casos em que as informações são compartilhadas sem custo. Em um dos exemplos citados pela McAfee, está a divulgação dos dados de uma pessoa que se recusou a pagar o resgate no valor de 20 mil euros (cerca de R$ 81 mil) pelo sigilo.

Na Deep Web, segundo a empresa de segurança digital, também são colocadas a venda contas de serviços como o Netflix, HBO NOW e HBO GO, que podem ser encontradas por menos de US$ 10 (R$ 38).

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: UOL Tecnologia

Identidades e dados pessoais são mercadoria na deep web

crackersVocê já está acostumado a ver notícias que falam sobre o vazamento de informações de usuários por causa de brechas de segurança em grandes servidores. Em um caso recente, crackers invadiram os sistemas do serviço Ashley Madison e vazaram dados pessoais de milhares de pessoas — o que causou bastante pânico em grande parte dos usuários.

Mas você tem ideia do que é feito com os dados que são roubados nesses ataques? Muito mais do que apenas divulgar senhas e nomes, os crackers podem ganhar muito dinheiro com o que conseguem capturar nas máquinas dos serviços. Mas é claro que você nunca vai ver anúncios de venda de dados na superfície. Isso acontece na Deep Web…. Mais especificamente na Dark Web.

Lá — em fóruns e sites que só podem ser acessados com navegação por camadas —, os dados podem ser vendidos por preços que chegam aos US$ 500 em alguns casos. Mas isso só acontece com informações bancárias de relevância e que possam gerar lucros maiores para os compradores. Mas e quando falamos sobre dados individuais?

Valores cada vez menores

De acordo com um estudo da TrendMicro, nesses casos é difícil que os crackers consigam ganhar mais de US$ 1. Por esse preço, estão inclusos informações como nome completo, endereço, data de nascimento, seguro social e outros dados que podem ser usados em fraudes.

Em períodos passados, isso chegava aos US$ 4 ou US$ 5. Hoje, com o grande volume de vazamentos e quantidades imensas de dados disponíveis, os crackers foram obrigados a baixar os preços para que pudessem continuar vendendo.

O relatório da TrendMicro também mostra que dados individuais chegam aos US$ 35, mas para isso é preciso que eles sejam acompanhados de imagens de passaportes digitalizados, licenças de motorista, contas que comprovem residência e outros documentos que possam dar mais força às fraudes na internet.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

App exclui seus dados pessoais da Internet

DeleteMe

Startup criou programa que, com algumas informações, procura por dados online do usuário e permite que eles sejam removidos da rede

Que é praticamente impossível excluir todos os dados que compartilhamos por meio da Internet, já sabemos. Mas e se a maior parte dos dados pudesse ser apagada para sempre? Essa é a ideia da startup Abine.

A americana com sede em Boston é responsável pela criação do aplicativo DeleteMe. Lançado na segunda-feira (14/1) apenas para dispositivos iOS, o serviço visa a remoção de informações pessoais do usuário de muitos grandes sites que coletam dados e os vendem.

“Centenas de corretores de dados que você sequer ouviu falar rastreiam tudo o que as pessoas fazem dentro e fora da Internet”, disse a analista de privacidade da Abine, Sarah Downey, ao site de tecnologia Mashable. “Essa coleção de dados digitais está levando à criação do seu ‘eu digital’ e, cada vez mais, decisões são tomadas com base nessa versão virtual de você, como a capacidade de obter empréstimos, prêmios de seguros, preços e compras online e até se vão contratá-lo.”

O aplicativo é gratuito para baixar e ele também realiza algumas remoções sem cobrar nada. Mas, para adquirir o serviço completo, o usuário deve fazer uma assinatura trimestral que custa 25 dólares.

Como funciona

Depois de baixá-lo e fornecer algumas informações básicas para se inscrever no serviço – como e-mail, nome completo, cidade e estado onde mora, o usuário autoriza o DeleteMe Mobile a “caçar” qualquer tipo de informação sobre ele, que esteja na Internet, para que possa ser excluída.

O app exibirá uma lista com cerca de oito resultados. Aparecerão, então, duas opções: na primeira (o botão “Not Me”) o usuário pode informar ao aplicativo que aquele dado não lhe pertence ou apertar o botão “DeleteMe” para remover os dados.

“Nós construímos uma tecnologia de busca para vasculhar os maiores corretores de dados para os resultados. E, quando os usuários solicitam a remoção, nós automatizamos alguns dos processos”, acrescentou Sarah. “Muitos dos casos, no entranto, ficam para a nossa equipe – todos moradores de Boston e muitos são estudantes de direito – para fazer o trabalho duro de escrever e-mails e os enviá-los, etc.”

Por conta da políticas diferenciadas de cada corretor de dados, Abine disse que é difícil manter o controle sobre tudo o que é coletado online sobre o usuário.

“Os diferentes procedimentos de cada companhia faz com que seja quase impossível gerenciar efetivamente as suas informações pessoas e corrigir ou removê-las dos bancos de dados”, acrescentou Sarah. “Às vezes, os registros podem até mesmo reaparecer, deixando a pessoa sem outra escolha que vão iniciar o processo todo novamente, e alguns sites não oferecem aos consumidores individuais uma maneira de retirar ou contestar esse registro. Mas privacidade deve ser algo simples – e os consumidores que a querem devem ser capazes de consegui-la.”

A companhia também afirma em sua política de privacidade que todas as informações dadas pelo usuário ao aplicativo não serão redistribuídas ou vendidas a terceiros.

O DeleteMe está disponível para download na App Store, e acredito em breve também será disponibilizado para outras plataformas.

Agradeço ao Lucas, amigo e colaborador do Seu micro seguro, pela referência a esta notícia.

Fonte: IDG Now!