WhatsApp pode não estar protegendo totalmente os seus dados

Se você tem um smartphone, é bem provável que tenha o WhatsApp instalado. O aplicativo adicionou nos últimos meses a encriptação de ponta a ponta como camada extra (e necessária) para a segurança de seus usuários. Contudo, algumas indicações vazadas na internet mostram que o WhatsApp não está protegendo a sua privacidade de maneira completa: endereços privados de IP são visíveis para servidores externos.

Outros sites ainda sabem quem você é (o IP é o ‘endereço’ do seu dispositivo) e o horário que acessa o link.

Isso significa que o protocolo fica visível em servidores que não são do WhatsApp. Assim que você compartilha links de outros sites dentro do aplicativo, os servidores e os bots do WhatsApp agem para garantir a integridade dos dados referentes ao link — isso para garantir se o domínio não é falso ou malicioso. Caso você se lembre, quando um link é compartilhado, um “preview” da página é mostrado na tela de conversa, com uma imagem e o título de uma matéria, por exemplo.

O problema acontece nesta tarefa — também chamada de ping, baseado no protocolo ICMP. Ao partir para um domínio fora do WhatsApp, é necessária uma conexão que inclui o IP do usuário. Então, os sites estão conseguindo enxergar este IP privado. Ou seja: servidores de outros sites ainda sabem quem você é (o IP é o ‘endereço’ do seu dispositivo) e o horário que acessa o link.

Fonte: Tecmundo

Sites brasileiros de compras a serem evitados, segundo o Procon

perigoDesde 2012, o Procon-SP elabora uma lista com os sites de e-commerce que você deve evitar. Ela foi crescendo e agora conta com 513 empresas, que vendem produtos de tecnologia, itens por compra coletiva e outros. Repasse aos seus amigos!

Os sites da lista receberam muitas reclamações de clientes, foram notificados pelo Procon e não responderam à notificação. Assim, o órgão define que foi impossível “qualquer tentativa de intermediação entre as partes” e classifica o site como não-recomendado.

A lista completa do Procon-SP está disponível aqui. Vale notar que uma loja é descrita como “no ar” se estava funcionando quando foi incluída pelo órgão; ela pode já ter saído do ar. Por isso, visitamos todos os sites da lista para descobrir quais ainda estão na ativa – são 34 no total.

Abaixo, os sites marcados com *asterisco foram marcados pelo Procon como “fora do ar” mas estão na ativa. Eles podem ter mudado de dono, ou realmente voltado dos mortos para aplicar mais golpes.

Eis as lojas denunciadas pelo Procon-SP que ainda estão no ar:sitesA lista foi atualizada recentemente porque estamos na Semana do Consumidor. Para se proteger nas compras online, recomendamos também que você visite o Reclame Aqui ou Reclamão.com para saber se a loja acumula queixas – especialmente as não-respondidas. E se o preço da loja foi muito menor do que se vê no mercado, é bom desconfiar.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo

Coleta suspeita de dados de internautas é nova ameaça global

fast_internetA empresa de cibersegurança norte-americana FireEye divulgou nos últimos dias alguns dados preliminares sobre uma investigação que está acompanhando uma nova ameaça online, a qual vem coletando informações de usuários de diferentes regiões do mundo com objetivo ainda desconhecido.

A investigação faz parte da coleção de insights de inteligência da companhia e ainda não foi concluída, mas alguns detalhes já foram descobertos após seis meses de levantamento de informações.

De acordo com a FireEye, a ameaça chama a atenção por estar utilizando como fonte algumas ferramentas comuns de mercado para coleta de dados analíticos como informações pessoais e dados de navegação de internautas, como o Google Analytics.

“O que estamos vendo é uma tendência de grupos que estão usando serviços web legítimos, como redes sociais, serviços de armazenamento em nuvem e plataformas que estão disponíveis gratuitamente para transformá-los em meios de coletar informações para reconhecimento em larga escala, a fim de aprender mais sobre os alvos desejados”, explicou Nick Rossmann, gerente de inteligência da FireEye.

A invasão não está nas ferramentas em si, mas se aproveita de sites pequenos, mal-programados e pouco seguros para instalação de um sniffer capaz de interceptar dados de tráfego de usuários que acessam o conteúdo destas páginas comprometidas. Entre os dados coletados pelo grupo ainda desconhecido estão informações como idade, local de acesso, sexo, idioma e interesse.

Além disso, os usuários que acessam esses sites são redirecionados para um script do tipo Witchcoven que também coleta informações sobre o sistema utilizado para acessar o site, como navegador, versão do Java e de softwares Adobe — o que poderia ser utilizado para criação de malwares customizados para afetar um usuário de acordo com suas vulnerabilidades.

A operação tem escala global e está atingindo diferentes países do mundo, mas está concentrada principalmente na Europa e nos Estados Unidos, onde respectivamente 50% e 33% do total dos sites infectados estão. Na América Latina, Chile, Bolívia, Uruguai e Equador também apareceram como países com sites comprometidos.

Segundo a FireEye, ainda é cedo para indicar com certeza quem são os responsáveis pela coleta de informações, mas a companhia afirma que a ameaça não parece ser um ataque cibercriminoso comum, já que até agora a ação não está visando ganhos financeiros e nenhum tipo de malware está sendo distribuído através dos sites afetados.

Por isso, a tese principal é que o ataque que pode estar sendo patrocinado por algum país, visando atender interesses nacionais do atacante. Em especial, a companhia suspeita que a origem da coleta possa ser a Rússia, já que alguns países de interesse geopolítico estratégico para o governo russo, como a Ucrânia e Geórgia, estão entre os mais afetados. Além do mais, diversos dos sites afetados estão em língua russa.

“O que nós imaginamos é que o grupo por trás desse ataque esteja atrás de alguns alvos específicos, como diplomatas norte-americanos e europeus, executivos, oficiais de governo latino-americanos e indivíduos e organizações ligados a países do leste europeu, particularmente Geórgia e Ucrânia”, afirmou Rossmann.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech Corporate

Suspeita: descoberto malware pré-instalado no Xiaomi Mi4

xiaomi_mi4A compra de um smartphone Android não garante ao usuário que o sistema operacional instalado está livre de aplicativos maliciosos e que pretendem coletar informações sobre seus usuários.

São diversas as situações conhecidas, e com resultados nem sempre positivos. Recente notícia infroma que os dispositivos Xiaomi Mi 4 estão sendo comercializados com malware já pré-instalado.

A informação de que estes smartphones estavam sendo vendidos com um pouco mais de aplicativos do que seria esperado veio de uma empresa de segurança norte americana, a Bluebox, que analisou vários equipamentos deste modelo em busca de códigos maliciosos.

Os resultados dos testes efetuados não foram muito positivos para a Xiaomi, pois em diversos equipamentos foram encontradas provas de que existia malware, com vários graus de perigosidade.
Ao todo foram seis softwares diferentes os encontrados, como o Yt Service sendo o mais complicado de lidar por contornar algumas medidas de segurança que a Google colocou no seu sistema operacional.

Em particular o Yt Service consegue enganar o Android ao permitir que os seus servidores sejam vistos como os oficiais da Google e assim terem acesso privilegiado dentro do sistema operacional.
Os demais aplicativos, apesar de serem menos perigosos, levam os usuários perderem a confiança nos produtos dessa marca que está prestes a estrear no Brasil.

Depois de ter sido tornada pública a informação descoberta pela Bluebox nos Xiaomi Mi 4, a empresa chinesa apressou-se e veio a público desmentindo a notícia de que os seus equipamentos tivessem esse malware instalado.
Nas palavras do brasileiro Hugo Barra, responsável internacional da empresa, os modelos analisados podem não ser equipamentos produzidos diretamente pela Xiaomi e que estes devem ter tido as suas ROMs alteradas.

“We are certain the device that Bluebox tested is not using a standard MIUI ROM, as our factory ROM and OTA ROM builds are never rooted and we don’t pre-install services such as YT Service, PhoneGuardService, AppStats etc.

Bluebox could have purchased a phone that has been tampered with, as they bought it via a physical retailer in China.

Xiaomi does not sell phones via third-party retailers in China, only via our official online channels and selected carrier stores.”

Mesmo com este desmentido oficial da Xiaomi muitos usuários não deixaram de ficar preocupados com a possibilidade dos seus smartphones estarem infectados com malware e que este lhes vem obtendo acesso aos seus dados pessoais abrindo caminho para outros riscos.
A verdade é que o problema existe e a Bluebox detectou-o no Xiaomi Mi 4, mas é necessário confirmar se os aparelhos analisados eram originais ou cópias muito bem feitas dos mesmos. A dúvida, no entanto, permanece latente deixando todos os já usuários desse celular muito preocupados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Alerta: Orbit Downloader sob suspeita

orbit-downloaderOs pesquisadores de segurança da ESET descobriram algo interessante durante a execução de uma análise do Orbit Downloader, popular aplicativo para gerenciamento e aceleração de downloads, desenvolvido pela empresa Innoshock.

Os especialistas da ESET analisaram o Orbit Downloader para determinar se ele pode ser classificado como um aplicativo potencialmente indesejados, expressão derivada do Inglês, PUP, “Potential Unwanted Application”.

O aplicativo gera receita para o seu desenvolvedor através da exibição de anúncios e sendo fornecido juntamente com outros softwares de terceiros. Isso é uma prática até comum para muitos dos softwares gratuitos no mercado, mas o que os pesquisadores da ESET descobriram não foi exatamente isso.

Eles descobriram que em algum momento entre 25 de dezembro de 2012 (versão 4.1.1.14) e 10 de Janeiro de 2013 (versão 4.1.1.15) um componente malicioso foi adicionado ao principal executável (orbitdm.exe) do Orbit.

Este novo componente realmente transforma o aplicativo em uma ferramenta ataques distribuídos de negação de serviço (DDoS).

“Tendo em conta o tempo de presença no mercado e a popularidade do Orbit Downloader (ele é listado como um dos principais downloads em sua categoria em vários sites populares da Internet), isso significa que o programa pode estar gerando gigabits (ou mais) de tráfego na rede, tornando-se uma ferramenta eficaz e ao mesmo tempo atraente para ataques distribuídos de negação de serviço (DDoS)”, observou Aryeh Goretsky da ESET.

“Em um computador de teste em nosso laboratório com uma porta Ethernet gigabite, solicitações de conexão HTTP foram enviadas a uma taxa aproximada de 140 mil pacotes por segundo, com fonte falsifica de endereços IP alocados no Vietnã”, Goretsky acrescentou.

Pelo menos dois tópicos abordando este assunto foram criados no fórum oficial do Orbit Downloader, mas até agora não há nenhuma resposta por parte do desenvolvedor.

Até que o problema seja resolvido, o Orbit Downloader não está sendo mais disponibilizado para download em alguns conhecidos sites da rede como Softpedia, Softonic, DownloadCrew e MajorGeeks. Os softwares da ESET foram atualizados para detectar o Orbit Downloader como (Win32/DDoS.Orbiter.A) e neutralizar a versão maliciosa do aplicativo.

Alguns sites como o Softpedia estão aconselhando seus usuários a desinstalar o aplicativo.

Opinião do seu micro seguro:  enviei o arquivo instalador do Orbit Downloader para análise da Emsisoft. Recebi resposta de uma analista da equipe dessa empresa de segurança digital informando que no momento atual o componente malicioso DDoS não está mais presente. No entanto, saliento a todos que o Orbit Downloader é um software gratuito que traz no conteúdo de seu instalador softwares de terceiros de qualidade prá lá de duvidosa.  O chamado uso do recurso “OpenCandy” é uma forma um tanto quanto invasiva que os desenvolvedores de software utilizam para monetizar seus produtos.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte:  Softpedia e pplware