Tiktok, blockchain e mais nas notícias da semana
O que você vai ler hoje:
- O TikTok pode estar espiando seus dados, mas por culpa da Apple
- O novo malware que evolui via blockchain
- Ransomware sequestra fotos e vídeos de usuários
- Criptografia do WhatsApp em risco
Vulnerabilidades no iOS permitem que o TikTok espie seus dados – e ele está espiando
Do começo do ano para cá, a Apple vinha enfrentando sérias vulnerabilidades em seu sistema operacional para iPhone – o iOS. Um dos mais preocupantes permitia que quaisquer dados copiados para a área de transferência do dispositivo fossem lidos por qualquer aplicativo ativo.
Não há notificação nem configuração para restringir a capacidade de um aplicativo acessar informações do usuário; a vulnerabilidade está oculta, e os usuários não tinham como saber quando um aplicativo poderia estar roubando seus dados.
A gigante da tecnologia já desenvolveu uma nova versão do iOS, que avisará seus usuários quando um aplicativo tiver acesso aos itens copiados na área de transferência, mas o problema está longe de ser dado por encerrado.
Mais recentemente, alguns apps foram flagrados bisbilhotando esses dados que, embora não devessem estar disponíveis, tampouco deveriam ser acessados por qualquer um. Dentre eles, a nova redes social mais querida ao redor do mundo: TikTok.
Apesar do aviso emitido pelo novo iOS tanto a usuários quanto desenvolvedores, denúncias de que o aplicativo continuaria bisbilhotando a área de transferência têm surgido com alguma frequência.
De acordo com o TikTok, o problema agora é “acionado por um recurso projetado para identificar comportamentos repetitivos e de spam”. Porém, em nota oficial, representantes do TikTok dizem que “já enviaram uma versão atualizada do aplicativo à App Store, removendo o recurso anti-spam para eliminar qualquer confusão potencial”.
Fonte: Forbes
Novo malware usa rede de bitcoin como canal de comunicação para atualizações e mutações constantes
Um novo malware chamou a atenção de pesquisadores de cibersegurança neste relatório divulgado pela SophosLabs.
De acordo com o relatório, Glupteba – o malware – usa quase todos os truques para crimes cibernéticos de que você já ouviu falar e, provavelmente, muitos outros. E, como muitos malwares hoje em dia, ele é o que especialistas chamam de zumbi ou bot – um malware que pode ser controlado de longe por quem o escreveu.
Dentre uma série de recursos que possibilitam ataques significativamente nocivos, o mais interessante é como o Glupteba usa o blockchain do Bitcoin – um canal comum, mas de difícil acesso – como meio de comunicação para receber informações atualizadas. Isto é, updates de configuração que funcionam como “instruções” para o bot operar.
Além disso, o Glupteba possui uma longa lista de comandos maliciosos internos que os criminosos podem acionar, incluindo os comandos auto-explicativos de atualização de dados e upload de arquivo, detalhados no relatório. Mas também inclui, como na maioria dos bots, comandos genéricos para download e execução de novos malwares, o que significa que, mesmo se você souber tudo sobre a Glupteba, não poderá prever no que ela poderá se transformar a seguir, porque os criminosos podem atualizar o malware em execução.
A má notícia é que os muitos componentes de autoproteção da Glupteba indicam que há muitos truques disponíveis para impedir que o malware apareça nos logs de segurança.
A boa notícia é que essa complexidade toda torna o malware menos confiável e, ironicamente, mais propenso a disparar alarmes de segurança em algum momento.
Vamos ficar de olho.
Fonte: Naked Security
Ransomware canadense sequestra fotos e vídeos de usuários e alerta para ciberataques relacionados ao COVID-19
Uma nova variedade de ransomware surgiu no Canadá, mirando usuários de Android e bloqueando fotos e vídeos pessoais.
Chamado CryCryptor, o malware foi inicialmente identificado como fingindo ser o aplicativo oficial de rastreamento do COVID-19 fornecido pela Health Canada. Ele está se propagando através de dois sites falsos diferentes, que fingem ser oficiais, de acordo com pesquisadores da ESET.
Como outras famílias de ransomware, ele criptografa arquivos direcionados. Mas, em vez de simplesmente bloquear o dispositivo, o CryCryptor deixa um arquivo “read me.txt” com o email do invasor em todos os diretórios. Também é baseado em códigos-fonte abertos, facilmente encontrados no GitHub.
Quando alguém inicia o aplicativo mal-intencionado, ele solicita acesso aos arquivos no dispositivo, incluindo fotos e vídeos do usuário. Depois disso, os arquivos selecionados são criptografados usando o AES com uma chave de 16 caracteres gerada aleatoriamente.
O ransomware faz parte da leva crescente de ataques que usam a pandemia do COVID-19 para fazer suas vítimas. Embora este malware, em específico, esteja restrito ao Canadá, sua estrutura é um bom modelo de como apps de phishing se espalham ao redor do mundo e alertam para possíveis riscos similares.
Fonte: Threat Post
Criptografia do WhatsApp em risco, mas em prol da segurança
Anunciando planos “de encerrar o uso de criptografia à prova de mandado que protege a atividade criminosa”, os senadores dos EUA Lindsey Graham, Tom Cotton e Marsha Blackburn introduziram a Lei de Acesso Legal a Dados Criptografados em 23 de junho, conhecida como EARN IT Act no país.
A legislação visa romper com um dos princípios de privacidade da criptografia, que é impedir o acesso de terceiros às mensagens protegidas por essa solução de segurança.
Isso porque a criptografia impede, inclusive, que autoridades com mandado de busca tenham acesso às mensagens, o que, de acordo com os senadores, “cria oportunidades perigosas para grupos de terroristas e cibercriminosos operarem livremente”.
“Uma vez que um mandado é obtido”, explicam os autores da proposta de lei, “os fabricantes de dispositivos e os prestadores de serviços [seriam obrigados] a auxiliar a aplicação da lei no acesso a dados criptografados se a assistência ajudasse na execução do mandado”.
O projeto também impõe que as empresas relatem sua conformidade. Haveria um processo de apelação e compensação dos custos incorridos – mas a criptografia de ponta a ponta seria interrompida.
O Facebook seria mais impactado do que qualquer outro player de tecnologia – com sua emblemática plataforma de mensagens WhatsApp, de longe, sendo o maior advogado e fornecedor de criptografia de ponta a ponta em todo o mundo.
Se aprovada, a lei terá seus benefícios e suas controvérsias: por um lado, significa que nossas mensagens não estarão mais 100% protegidas de terceiros; por outro, pode impedir a proliferação de atividades criminosas e, paradoxalmente, mobilizar novas alternativas de segurança.
Resta esperar para ver.
Fonte: Forbes
Será que você é um mestre da segurança da informação?
Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.
Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.
Como manter uma empresa segura?
Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua sempresa.