Spotify e Alexa enfrentam problemas com cibersegurança. Rússia nega estar roubando informações sobre vacinas. Apple lança iPhones hackeáveis.
O que você vai ler:
- Pesquisadores contrabandeiam 234 skills ilegais na Alexa Store
- Rússia nega estar roubando informações sobre vacinas contra COVID-19
- Hackers agora podem destruir dispositivos via USB
- Erro de segurança no Spotify permite que usuários invadam o plano Família de outros usuários
- Apple lança iPhones hackeáveis – e isso é ótimo
Pesquisadores contrabandeiam 234 skills ilegais na Alexa Store
Um grupo de acadêmicos contrabandeou 234 skills (recursos, ou habilidades) ilegais na Alexa Skills Store para evidenciar os problemas das políticas de segurança do dispositivo.
Os acadêmicos disseram que também identificaram 52 skills problemáticas já disponíveis na loja da Alexa, todas voltadas para crianças.
Isso ocorreu durante um estudo de 12 meses, recentemente concluído, sobre o processo de revisão e aprovação da Alexa Skills Store. Os resultados são ainda piores do que parecem, porque os acadêmicos tentaram fazer o upload de 234 aplicativos que vão contra as políticas de segurança e conseguiram aprová-los, todos, sem muita dificuldade.
A equipe de pesquisa disse quedas 234, apenas 41 skills foram rejeitadas durante o primeiro envio, mas conseguiram subí-las tranquilamente na loja oficial após uma segunda tentativa.
Com a pesquisa, os estudiosos alertam para a necessidade de políticas mais rígidas em dispositivos IoT.
O relatório completo está disponível aqui.
Rússia nega estar roubando informações sobre vacinas contra COVID-19
Na semana passada, revelamos as suspeitas de que hackers russos estariam roubando informações sobre a vacina contra o COVID-19 de organizações acadêmicas e farmacêuticas aqui no Ocidente.
Agora, porém, o governo russo negou as alegações de que hackers patrocinados pelo estado estão envolvidos nos ataques.
Em depoimento, o Ministro de Finanças da Rússia, Anton Siluanov, diz: “não há hackers trabalhando para o governo russo; portanto, nosso governo não se responsabiliza por nenhuma ação de eventuais hackers, nem as coordena”.
Ele acrescenta, ainda, que ninguém foi empregado com o objetivo específico de acessar os sites das empresas farmacêuticas.
E finaliza: “não faz sentido hackers estarem envolvidos nessas atividades porque a Rússia está tentando desenvolver sua própria vacina contra o coronavírus”.
Hackers agora podem destruir dispositivos via USB
Quando você conecta seu dispositivo a um carregador com cabo USB, há uma negociação entre os dois, estabelecendo a carga mais poderosa que o dispositivo pode suportar com segurança. Essa negociação é gerenciada entre o firmware no dispositivo e o firmware no carregador e pressupõe que ambos irão funcionar bem entre si.
Agora, os pesquisadores comprovaram que um carregador comprometido pode anular essa negociação, pressionando mais o cabo do que o dispositivo pode manusear com segurança, provavelmente destruindo o dispositivo e potencialmente incendiando-o.
Um ataque é muito simples. Com o malware carregado em um smartphone, um invasor se conecta ao carregador, substituindo seu firmware e essencialmente armando-o como uma arma para o que for conectado a ele em seguida.
A reviravolta interessante aqui é que o malware pode até estar no dispositivo de destino. Um invasor envia esse código malicioso para o seu telefone. Na primeira vez em que você se conecta a um carregador rápido e vulnerável, o telefone substitui o firmware. Na próxima vez em que você se conectar ao mesmo carregador para energizar seu dispositivo, seu telefone ficará sobrecarregado.
A equipe responsável por essa descoberta produziu um vídeo demonstrando como esse ataque funcionaria.
Erro de segurança no Spotify permite que usuários invadam o plano Família de outros usuários
Membros do fórum subreddit do Spotify estão reclamando que estranhos parecem estar invadindo suas contas familiares, permitindo que eles tenham acesso a uma assinatura premium.
Um cliente, por exemplo, afirma que quatro perfis desconhecidos foram criados em sua conta Família. "Não faço ideia de como entraram no meu plano", escreveu ele, no Reddit. “Descobri por acidente enquanto mudava minha assinatura. Nem tenho certeza de quando isso aconteceu ou por quanto tempo está acontecendo.”
Embora os membros do plano Família não possam acessar diretamente as contas uns dos outros, o Spotify recentemente introduziu uma lista de reprodução compartilhada, o que significa que hackers que invadirem a conta da família podem afetar os fluxos de música compartilhados.
Eles também podiam ver os nomes de outros membros da família, potencialmente crianças, no site do Spotify.
Infelizmente, o stream não oferece autenticação de dois fatores e não notifica o titular da conta principal quando um novo membro da família é adicionado, o que significa que os freeloaders geralmente não são detectados.
Ainda não há muitos detalhes a respeito dos casos, mas fato é que a segurança do Spotify poderia ser mais forte.
Apple lança iPhones hackeáveis – e isso é ótimo
A Apple tem a reputação de bloquear o iPhone, sob uma perspectiva de segurança, para evitar o uso de estranhos ou de hardwares e softwares desconhecidos – isto é, que não sejam originados em sua própria fábrica.
O que é bom para os consumidores, pois torna muito mais difícil invadir o aparelho. Porém, isso é péssimo se você é um pesquisador de segurança que quer saber como evitar ciberataques nesses dispositivos.
A ideia de “iPhones hackeáveis” surgiu pela primeira vez na da Black Hat de 2019, em Las Vegas, uma conferência de cibersegurança focada em pesquisadores hackers, que invadem dispositivos para notificar falhas de segurança e possibilitar que elas sejam corrigidas.
Quase exatamente um ano depois, o programa SRD (Security Research Device) da Apple transformou o iPhone para hackers em realidade.
Com o lançamento do programa SRD da Apple em 22 de julho, os pesquisadores de segurança poderão caçar bugs muito mais assertivamente no iOS. A Apple disse que os iPhones, que serão voltados exclusivamente a esse trabalho, e conhecidos como “dispositivos de pesquisa de segurança”, virão com políticas únicas de execução e contenção de código.
Isso significa que o sistema de arquivos estará acessível para inspeção, de modo que os pesquisadores não precisem recorrer a um log de falha ou dispositivos jailbroken.
Os aparelhos já estão sendo disponibilizados para os pesquisadores por meio de requisição diretamente com a Apple.
Mantenha seus dispositivos seguros. Consulte a assessoria de especialistas da Compugraf.
