Apps Android trocam dados pessoais sem o seu conhecimento

Aplicativos para smartphones e tablets Android podem conspirar contra você. Uma análise de mais de 100 mil apps populares na Google Play Store mostrou que eles podem trocar suas informações pessoais sem sua permissão.

Segundo pesquisadores da Universidade Virginia Tech, o Google analisa a segurança dos aplicativos de sua loja de maneira individual. Por isso, não pode notar quando uma brecha de segurança pode permitir o acesso indevido de dados liberados para outros apps.

Os aplicativos que fazem essa troca de informações são os que parecem mais inocentes, como aqueles para mudar o papel de parede do smartphone, liberar novos emojis ou mudar o toque do aparelho. No total, 23.495 pares de apps que colaboram maliciosamente foram encontrados.

“A má notícia é que encontramos apps que podem trocar informações indiscriminadamente. A boa notícia é que essa colaboração conspiratória ainda é muito pequena”, afirmou a pesquisadora Daphne Yao, da Virginia Tech.

Segundo os especialistas ouvidos pelo New Scientist, a descoberta é um passo importante no combate ao malware no Android, que agora é a principal plataforma de acesso à internet no mundo — deixando o Windows para trás.

Fonte: Exame

Como garantir privacidade em suas conversas

messenger_appsMuitos acreditam que um aplicativo seria privado se as mensagens fossem criptografadas. Na verdade, privacidade em mensagens é muito mais complexo que isso. No Chaos Communication Congress, Roland Schilling e Frieder Steinmetz deram uma palestra na qual explicaram em palavras simples que atributos um Messenger tem de ter para ser considerado seguro.

Os seis pilares da conversa privada

Para entender a ideia da troca de mensagens privadas, Schilling e Steinmetz propuseram que imaginemos uma conversa particular em uma festa. O que faríamos para que ninguém ouvisse ? Provavelmente, procuraríamos uma sala isolada, em que apenas as pessoas com quem queremos falar pudessem nos ouvir.

Essa é a primeira característica a respeito de conversas privadas: tem de ser confidencial. Nenhuma outra pessoa, além de você e seu interlocutor, deve ser capaz de ouvir.

O segundo ponto é autenticidade – você tem de saber se a pessoa com quem você está conversando é de fato ela. Na vida real, você reconhece o rosto. Mas com as mensagens online, é mais complicado.

Se a conversa for muito importante, você quer certeza de que seu interlocutor escute cada uma de suas palavras. Mais do que isso, quer que a pessoa escute exatamente o que você diz. Isso quer dizer que para uma comunicação online se manter privativa, você precisa saber que um terceiro não corrompeu suas mensagens. Esse é o conceito de integridade.

Vamos imaginar agora que uma terceira pessoa entre na sala e escute parte da conversa. Na vida real, esse terceiro saberia apenas da parte que ouviu, não o que você estava dizendo antes ou depois. Contudo, a internet nunca esquece de nada, e as comunicações online não são tão simples quanto as offlines. Isso nos leva a dois conceitos importantes: sigilo prévio e futuro.

Digamos que o assunto discutido fosse delicado. Nesse caso, se alguém o acusasse de algo, você negaria. Se a conversa foi privada, as únicas pessoas que conheceriam o conteúdo da conversa seriam os participantes -seria a palavra de um contra a do outro. Nesse caso, ninguém pode provar coisa alguma, nos levando ao conceito de negação plausível.

Implementando privacidade em messengers

Portanto, essas são as seis características que tem de ser implementadas em um aplicativo de mensagens para que seja considerado privado. Contemplá-las é tarefa simples caso estejamos tratando de conversas ao vivo, mas no que diz respeito a serviços de mensagens há sempre uma terceira pessoa – o serviço em si. Como os seis pilares podem ser implementados com a presença desse terceiro elemento?

A Confidencialidade é mantida por meio de criptografia. Existem diferentes formas de criptografia: simétrica e assimétrica, e ainda de chave pública. Aplicativos de mensagens privados (Schilling e Steinmetz avaliaram o Threema como exemplo) usam as duas, criam chaves compartilhadas com a pública de uma e a privada de outra pessoa. O contrário também funciona.

Portanto, a senha é idêntica para as duas pessoas e única para cada um (nenhum outro par recebe a mesma chave). O aplicativo gera a senha independentemente e mantêm confidencialidade ao não transferi-la. As duas pessoas são as únicas que as conhecem, logo depois de iniciarem um diálogo.

Esse método também é usado para assegurar integridade – alguém de fora que tentasse alterar o texto já criptografado o tornaria ilegível. Nesse caso, seu parceiro de conversa ou receberia o que você enviou ou uma mensagem de erro (porque o messenger não consegue desbloquear o texto cifrado).
Para favorecer a confidencialidade ainda mais, você pode esconder o fato de que sequer teve uma conversa. Outra camada de criptografia pode cuidar disso. A mensagem enviada é criptografada, utilizando a chave compartilhada entre você e seu interlocutor – é como guardar a mensagem em um envelope, com o endereço anotado. A partir daí você a criptografa mais uma vez – como colocar em outro envelope – aí sim, é enviada para o servidor do endereço. Nesse caso, você utiliza a senha gerada com base na sua e na do servidor.

Então, esse envelope com um envelope dentro é entregue ao servidor. Se um atacante em potencial tenta espiar o envelope, eles saberão que você o enviou, mas não poderão saber o destino. O servidor do messenger retira o segundo envelope, observa o destino (não a mensagem em si), coloca em um “novo envelope”, o pacote com outra embalagem e o envia ao destinatário. Neste ponto, um espião pode ver apenas o envelope do servidor para o remetente. Mas não o que foi gerado originalmente.

Com vários envelopes voando para tudo quanto é canto, é difícil observar quem recebeu suas mensagens. Difícil, mas não impossível: se alguém pudesse pesar todos os envelopes, encontraria dois com o mesmo peso e associaria o seu com o de seu interlocutor. Para assegurar que isso não aconteça, o sistema adiciona pesos aleatórios dentro de cada envelope, dessa forma, o envelope que você mandou e o que seu interlocutor recebeu nunca pesam a mesma coisa.

É difícil de manter a autenticidade. Alguns aplicativos de mensagens usam endereços de e-mail ou números de telefone como identidade – dessa forma o usuário é autenticado. Mas números de telefone e endereços de e-mail são dados confidenciais que provavelmente você não queira compartilhá-los com o app. Alguns – como o Threema – encorajam os usuários a utilizar identidades diferentes e trocar códigos QR para confirmar sua identidade.
Negação plausível é viabilizada por meio de envio de cada mensagem para os dois participantes. A chave é a mesma para as duas pessoas, de modo que qualquer um dos dois poderia ter enviado a mensagem. Portanto, mesmo que alguém consiga interceptar e desbloquear a mensagem, não há como ter certeza de quem a enviou.

Isso cuida da confidencialidade, autenticidade, integridade e negação plausível. E quanto o sigilo prévio e futuro? Se as chaves pública e privada de alguém são as mesmas, a partir do momento que a chave compartilhada é comprometida, o atacante pode desbloquear tanto mensagens anteriores quanto futuras.

Para limitar isso, as senhas têm de ser reemitidas periodicamente pelo servidor. Se uma senha é emitida novamente, digamos uma vez ao mês, o bisbilhoteiro seria capaz de ler as conversas apenas nesse mês e não conseguiria monitorar as comunicações a partir do momento que uma nova senha é enviada (na prática, a remissão ocorre com muito mais frequência).

Fonte: Kaspersky blog

App Meitu rouba dados dos smartphones

meituComo todo app que vira modinha, o Meitu deve cair no esquecimento dentro de algumas semanas. Mas, quando isso acontecer, os usuários já terão “vendido a alma” aos responsáveis pelo aplicativo: uma investigação aponta que o Meitu coleta discretamente diversos dados críticos do smartphone.

Para quem não sabe do que eu estou falando, o Meitu é uma app chinês com filtros e ferramentas que deixam as pessoas nas fotos com visual “fofinho”, cheio de brilho, maquiagem e olhos grandes. É uma brincadeira para selfies que atende, basicamente, a um público mais jovem. Deve servir também para quem quer sacanear os amigos, é claro.

Apesar de existir há algum tempo, o Meitu se tornou, nos últimos dias, um dos apps mais baixados do Google Play e da App Store. Você já deve ter notado isso: as redes sociais estão cheias de imagens modificadas por esse app.

Tamanha popularidade fez o Meitu cair no conhecimento de especialistas em segurança que, por alguma razão, decidiram analisá-lo minuciosamente. Foi aí que eles descobriram que o aplicativo está bem longe de ser inofensivo.

Segundo as análises, o Meitu coleta diversos dados do aparelho. Isso acontece com a maioria dos aplicativos, mas aqui a coisa atinge proporções muito grandes, começando pelo monte de permissões que o app pede no momento de sua instalação — não está claro o porquê de tantas permissões serem solicitadas.

A versão para Android se mostrou a mais intrusiva, mas a versão para iOS pode obter mais informações em aparelhos com jailbreak. De modo geral, o Meitu consegue coletar e enviar para servidores na China dados como IMEI do celular, modelo do aparelho, resolução de tela, versão do sistema operacional, IP, endereço MAC, lista de contato, mensagens SMS, entre outros.

São coletados dados suficientes para que um usuário seja identificado e localizado. E olha que a empresa responsável (também de nome Meitu) comemora em seu site o fato de ter 456 milhões de usuários no mundo todo (considerando todos os seus apps), embora a maioria deva estar na China — os aplicativos da Meitu já eram populares por lá.

O que a empresa faz com dados de tantas pessoas? Uma possibilidade forte é a venda de informações para companhias que elaboram estratégias de publicidade altamente segmentada e, portanto, potencialmente intrusiva.

À CNET, a Meitu se defendeu dizendo que, como a empresa está baseada na China, precisa incluir recursos de coleta de dados nos aplicativos para contornar os bloqueios que os serviços de rastreamento do Google Play e da App Store sofrem no país. A companhia também assegurou que os dados são enviados aos seus servidores de forma criptografada e com proteção contra ataques. Ata.

Não há planos para o lançamento de uma versão do app sem os recursos de captura de dados, pois, segundo a Meitu, ela teria que atuar fora da China para poder oferecer isso. Sair da China também não está nos planos.

Fonte: Tecnoblog

WoT: remova o quanto antes esta extensão

wot
 O conhecida Web of Trust, ou WoT, vem enfrentando sérias críticas dos seus usuários depois de ter sido revelado que os dados de navegação dos internautas poderiam estar sendo vendidos ou distribuídos por terceiros , oq e levaria a sério comprometimento da segurança.

O Web of Trust trata-se de uma extensão para os principais navegadores no mercado, bem como smartphones Android, o que possibilita aos usuários votarem em determinados sites e ajudarem, de forma comunitária, a identificar potenciais sites maliciosos e os que são seguros. Esta extensão conta atualmente com mais de 140 milhões de download.

No entanto, de acordo com os relatos do portal alemão NDR, foi recentemente descoberta uma lista que O Web of Trust trata-se de uma extensão para os principais navegadores no mercado, bem como para equipamentos móveis, que permite aos utilizadores votarem em determinados sites e ajudarem, de forma comunitária, a identificar potenciais sites maliciosos e os que são seguros. Esta extensão conta atualmente com mais de 140 milhões de download.

No entanto, de acordo com os relatos do portal alemão NDR, foi recentemente descoberta uma lista que contem os hábitos de navegação para mais de 3 milhões de utilizadores na Alemanha. Esta lista foi criada tendo como base os dados recolhidos em algumas extensões de navegadores, entre as quais se destaca a WoT.contem os hábitos de navegação para mais de 3 milhões de utilizadores na Alemanha. Esta lista foi criada tendo como base os dados recolhidos em algumas extensões de navegadores, entre as quais se destaca o WoT.

Segundo a NDR, o Web of Trust anda vendendo os dados de seus usuários a terceiros, sendo que estes são posteriormente distribuídos para outras entidades como forma de analisar os hábitos de navegação. Em alguns casos, podem ter sido comprometidas algumas informações pessoais, já que os dados descobertos incluem endereços de e-mail, nomes, endereços, datas e horários de navegação, bem como ID’s específicos de cada usuário.

Na lista encontram-se mais de 3 biliões de endereços web diferentes, sendo que a grande maioria não está anônima. Estes dados podem facilmente ser associados a usuários específicos, algo que as agências de notícias baseadas na Alemanha revelaram ter conseguido realizar sem grandes dificuldades.

No caso do WoT, a empresa afirma na sua Política de Privacidade que recolhe algumas informações associadas à navegação dos usuários, que está na própria raiz de funcionamento deste serviço. No entanto é dito que estes dados são compartilhados de forma anônima com terceiros, de forma que nenhuma informação possa ser associada a usuários específicos. Entre os dados registados na Política de Privacidade, porém, encontram-se o IP utilizado na navegação e o ID dos usuários, o que poderá estar na base para facilitação da identificação.

O WoT já respondeu a esta denúncia, assegurando que os dados obtidos pela extensão podem ser compartilhados com terceiros, mas de forma anônima. Porém, o fato de os meios de comunicação da Alemanha terem conseguido combinar usuários específicos com os dados atrelados a eles indica que a política de anonimato não está a sendo corretamente aplicada.

Depois desta situação ter sido tonada pública, as extensões do WoT foram removidas das lojas de aplicativos/extensões da Google e do Firefox. Caso você tenha a extensão do WoT instalada no seu navegador, e como medida de prevenção, é altamente recomendável que você a remova o mais rapidamente possível.

Opinião do seu micro seguro: pessoalmente fui usuário da extensão WoT durante muitos anos e é com pesar que recebo esta notícia. É lamentável e ao mesmo tempo irônico que uma empresa que utiliza em seu nome o termo “Trust”, ou seja, “Confiança” , agora não seja mais digna da confiança de seus milhões de usuários mundo afora. Minha recomendação: remova o mais rápido possível essa extensão de seus navegadores!

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tugatech e NDR

Pokemon Go: o app sensação pode demorar a estrear no Brasil

pokemongoSe você está contando os segundos para poder jogar “Pokémon Go”, game de capturar monstrinhos em realidade aumentada que em dias já ultrapassou Twitter e Tinder em usuários e causou diversas loucuras pelo mundo, segure o choro que vai ser preciso esperar mais um pouquinho.

Segundo o Wall Street Journal, a Niantic Labs, desenvolvedora do título, disse que suspendeu por tempo indeterminado o lançamento do game mobile em países além dos quais ele já está disponível: EUA, Austrália e Nova Zelândia.

O motivo foi o sucesso inesperado de Pokémon Go, que está derrubando os servidores da empresa. Em apenas dois dias, o app elevou as ações da Nintendo, principal detentora dos direitos de Pokémon, em US$ 7,5 bilhões. Um aumento semelhante não era visto desde 1983 na empresa japonesa de videogames.

Anteriormente, a Niantic havia dito que o game de caçar monstrinhos estaria disponível ao redor do mundo “em alguns dias”. Enquanto isso, muitos jogadores brasileiros e de outros países tentam burlar o bloqueio de país usando redirecionadores de tráfego ou fazendo contas em outros países.

Opinião do seu micro seguro: existem sérios riscos de acesso a dados privativos de usuários que se cadastram para jogar a nova sensação do momento “Pokémon Go”. Não ter por hora esse aplicativo entre nós pode ser um grande benefício a todos. É bom ficarmos ligados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Catraca Livre

Como desativar sua webcam para não ser espionado

Nos últimos dias Mark Zuckerberg apareceu em uma foto com fita adesiva sobre a webcam do seu computador. Se você também tem medo de ser espionado por meio dela, há algumas coisas que você pode fazer que não envolvem fita isolante.

No Windows 10, é possível desativar facilmente a câmera do seu computador. O caminho é o seguinte: Configurações>Dispositivos>Dispositivos conectados> Gerenciador de dispositivos>Dispositivos de geração de imagem> Webcam.

Ao chegar neste último item, clique sobre ele com o botão direito do mouse ou trackpad e selecione desabilitar.

Todo esse processo pode ser visto no vídeo abaixo:

Se você utiliza um computador com sistema Windows 8.1, o processo é parecido e pode ser visto neste outro vídeo, em inglês:

Já quem usa um computador da linha Mac, da Apple, precisa seguir um caminho diferente pelo sistema operacional. O vídeo a seguir, também em inglês, mostra o que fazer:

Usuários com conhecimentos avançados de informática podem optar por fazer uma desativação ainda mais eficaz da webcam, feita pela BIOS do sistema. Ele evita que um hacker com acesso à sua máquina reative a sua câmera. No entanto, o processo pode variar de acordo com o seu computador e sistema operacional.

Por que desativar a câmera do computador?

Mark Zuckerberg pode até parecer exagerado ao cobrir a câmera do seu computador com fita, mas há ameaças virtuais que podem explorar vulnerabilidades no seu sistema operacional e em seus programas que podem dar o controle da câmera a um hacker mal-intencionado.

A técnica é chamada clickjacking. O usuário é enganado e levado a uma página na qual autoriza sem saber o acesso à sua câmera. Com isso, a abordagem do hacker pode ser variada, indo da espionagem para futura extorsão à pura e simples observação.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Exame

VPN gratuito e ilimitado: sua privacidade é a moeda de troca

vpn_free_operaA Opera lançou recentemente um aplicativo de VPN para iPhones e iPads. A empresa promete melhorar a privacidade, bloquear anúncios e permitir o acesso a conteúdos restritos por região: basta ativar o Opera VPN e escolher um IP dos Estados Unidos, Reino Unido, Alemanha, Países Baixos ou Singapura. O melhor é que o aplicativo é totalmente gratuito: não possui mensalidades e nem limite de tráfego.

Mas espere: manter um serviço de VPN custa dinheiro. Como a Opera vai pagar os servidores e o tráfego consumido pelos usuários? A resposta está nos termos de serviço do Opera VPN, que revela que os dados gerados pelos usuários, incluindo os endereços das páginas acessadas por meio do VPN, poderão ser coletados pela empresa e divulgados a terceiros.

Essa é uma característica incomum nos serviços pagos de VPN, normalmente criados para proteger a conexão dos usuários e impedir a coleta de dados por pessoas não autorizadas. Como o túnel entre o seu dispositivo e o servidor de destino é criptografado, um VPN impede que suas informações sejam interceptadas, o que pode ser útil ao acessar uma rede Wi-Fi pública, por exemplo.

A maioria dos serviços limita explicitamente os dados que coletam. O Private Internet Access, por exemplo, diz que só obtém as informações essenciais para o funcionamento: o endereço de email, os dados de pagamento e, se o cliente utilizar o painel opcional, um cookie temporário. Alguns vão mais além: o AnonVPN funciona por meio de cartões pré-pagos, que não são vendidos diretamente pela empresa, assim, fica muito difícil rastrear quem está utilizando o serviço.

Modelos de negócios

Outros serviços de VPN gratuitos têm modelos de negócio diferentes. O famoso Hola, que funciona com uma simples extensão no Chrome, opera no modelo colaborativo e vende a conexão dos usuários para fornecer o serviço: quem acessa sites por meio do VPN e não paga a mensalidade do Hola Plus tem sua conexão utilizada por outro cliente. Dessa forma, seu IP é “emprestado” para desbloquear páginas restritas a brasileiros ou para fins menos nobres, como atacar servidores e acessar conteúdos ilegais.

No blog da SurfEasy, empresa da Opera que fornece o serviço de VPN, o presidente Chris Houston explica que os dados são coletados anonimamente e que os servidores do Opera VPN são diferentes dos utilizados para fornecer o VPN integrado ao Opera para desktops e o serviço pago da própria SurfEasy, que não coletam nenhum dado de navegação. O Opera VPN também planeja mostrar anúncios no futuro, o que é irônico para um aplicativo no qual uma das funções é justamente bloquear propagandas.

Claro que a empresa sabe que o Opera VPN não é para todo mundo, por isso, continuará oferecendo serviços pagos (ou limitados ao navegador) que não coletam dados. De qualquer forma, este é mais um exemplo da máxima de que, no produto gratuito, o produto é você.

Fonte: Tecnoblog