Será que o ITOKEN no celular, aquele dispositivo usado para se fazer operações bancárias é seguro?
Poderia um Hacker que invadisse seu celular usando uma rede não segura como uma rede de Shopping, usar o seu itoken como se fosse você e roubar seus dados bancários para fazer operações bancárias destinadas a roubar seus fundos?
Sim isso parece que é verdade. Nesse caso o uso de iTokens em celulares passariam a não serem mais seguros. e aconteceu aqui no Brasil no Shopping AMERICAS no Recreio dos Bandeirantes.
Um novo ataque hacker foi descoberto na terça-feira (23) pelos pesquisadores do Instituto de Tecnologia da Geórgia, nos Estados Unidos. Batizado de Cloak and Dagger, algo como "Capa e Punhal", o ataque atinge todos os smartphones com sistema operacional Android — até a versão Nougat 7.1.2. A Google já foi informada sobre a existência do Cloak and Dagger.
Veja bem: esse ataque cibercriminoso não utiliza uma vulnerabilidade de sistema ou exploit do Android, mas sim permissões legítimas para aplicativos quando instalados no celular.
Cibercriminosos podem ter controle total do celular e roubar dados privados
De acordo com os pesquisadores, o ataque Cloak and Dagger permite que cibercriminosos invadam um smartphone Android e, de maneira silenciosa, consigam acesso completo ao sistema operacional. Dessa maneira, eles teriam controle total do celular e poderiam roubar dados privados, incluindo senhas de banco, redes sociais, conversas, contatos etc.
Como citado anteriormente, o Cloak and Dagger se utiliza de permissões para invadir o smartphone. Se você tem um smartphone, sabe bem do que estamos falando: quando você instala um aplicativo, um menu popup aparece mostrando o nível de acesso ao aparelho que você entrega ao app. É nesse momento que o ataque cibercriminoso age.
Como o Cloak and Dagger age
Os pesquisadores do Instituto de Tecnologia da Geórgia conseguiram inserir o Cloak and Dagger em 20 smartphones Android, e nem usuários nem sistema operacional conseguiram detectar a atividade maliciosa.
Para invadir os dispositivos, o ataque utiliza as seguintes permissões:
SYSTEM_ALERT_WINDOW ("draw on top")
BIND_ACCESSIBILITY_SERVICE (a11y")
A primeira permissão citada, como indica o The Hacker News, é uma maneira legítima que fornece ao aplicativo a capacidade de sobrepor outros aplicativos na tela do smartphone. Enquanto isso, a segunda permissão é voltada para deficientes auditivos e visuais, permitindo que o usuário utilize comandos de voz para realizar a ações ou escutar o que está na tela.
"Já que o ataque não exige um código malicioso para desempenhar tarefas trojan, ele se torna mais fácil para hackers desenvolverem e colocarem o app malicioso na Google Play Store sem detecção", analisa a pesquisa. Os envolvidos no projeto também comentaram como conseguiram incluir o app invasor na lista de downloads da Google Play:
O aplicativo foi aprovado em apenas algumas horas na Google Play
"Nós submetemos o aplicativo exigindo essas duas permissões e possuindo uma funcionalidade 'não ofuscada' para baixar e executar um código arbitrário (buscando simular um comportamento claramente malicioso): esse aplicativo foi aprovado em apenas algumas horas (e ainda está disponível na Google Play)", escreveram os pesquisadores.
Entre as capacidades do Cloak and Dagger, também estão: ataque avançado de clickjacking (roubo de clique, como uma armadilha), gravação de teclas utilizadas, ataque silencioso de phishing e instalação silenciosa de um app God Mode (controle total ao aparelho).
Google avisada; o que fazer?
Os pesquisadores deixaram claro que a Google já foi avisada, contudo essas permissões foram codificadas no Android — então uma resolução seria muito difícil. Ao que parece, a Google vai modificar essas permissões na próxima versão do sistema operacional, o Android 8.0 O, que chega ainda neste ano.
Atualização. O comentário da Google sobre o Cloak and Dagger é o seguinte: "Apreciamos os esforços em ajudar a deixar os nossos usuários seguros. Atualizamos o Google Play Protect — os nossos serviços de segurança em todos os dispositivos Android com Google Play — para detectar e prevenir a instalação desses apps. Já desenvolvemos novas proteções de segurança no Android O que vão fortalecer nossa proteção contra problemas futuros".
Saiba como se proteger (atualize o Google Play)
Enquanto isso, siga a recomendação: preste muita atenção aos aplicativos que você baixa na Google Play Store — e mais ainda fora da loja oficial. Cheque o desenvolvedor e os comentários. Além disso, é interessante desabilitar o "SYSTEM_ALERT_WINDOW" como forma de precaução.
Para isso, siga estes passos: vá até as "Configurações" do Android, então escolha "Apps" e toque no símbolo de engrenagem no canto superior direito. Agora, toque em "Sobrepor a outros apps" e desabilite (troque o Sim por Não) para qualquer app suspeito/que não precisa da permissão.
Para mais atualizações sobre este caso, acompanhe essa página específica sobre segurança.
Grampeado: Seu Smartphone Pode Ser Invadido de Diversas Maneiras.
No terceiro e último episódio da série "Phreaked Out", conhecemos os hackers que estão mudando a telefonia móvel.
A manchete foi publicada em um site confiável de notícias, li no meu iPhone. Mal pude acreditar: "Um terremoto de magnitude 9,5 destrói a califórnia, divide o estado em metade norte e metade sul", dizia. Felizmente, para a alegria dos moradores do estado ensolarado, não era verdade. Na verdade, era uma informação falsa, estratégica, inserida remotamente no telefone por meio de redes sem fio, por um hacker chamado Samy Kamkar.
Abordaremos a questão de segurança em telefonia móvel. Com a expectativa de quase 1,75 bilhão de pessoas com um smartphone em mãos até o fim de 2014, a ameaça de ataques a telefone está mais democratizada que nunca.
Qualquer pessoa com um smartphone pode ser explorada; qualquer smartphone pode ser comprometido. O controle que acreditávamos ter sobre os aparelhos está cada vez mais degradado.
Os níveis de sofisticação dos dispositivos móveis permitem que os aparelhos façam bicos como ferramentas de espionagem, capazes de configurar o pior cenário possível: virar-se contra os donos.
Uma realidade alarmante que deixa Kamkar fascinado. Encontrei o próprio Samy Kamkar – especialista em segurança, responsável pelo vírus que derrubou o MySpace em 2005 – em sua casa, digna de Tony Stark, no oeste de Hollywood, para uma série de demonstrações de invasão a telefones.
Para começar, Kamkar recriou um ataque móvel MITM ("man in the middle", um tipo de ataque em que o hacker se coloca como intermediário, fazendo o tráfego do alvo passar por seu dispositivo). Ele criou uma rede não criptografada, sem fio, que misturava táticas para enganar o ARP e o DNS, a fim de modificar o conteúdo de qualquer telefone que acessasse a rede.
A demonstração ilustrou quão empolgados os smartphones podem ficar para se plugar automaticamente em qualquer rede previamente acessada. Por exemplo, ao forjar um nome comum de wi-fi, como "linksys" ou "Starbucks", Kamkar consegue fazer os telefones pensarem que estão entrando numa rede segura. Ele admite que esse estilo de ataque, o MITM, está longe de ser novidade, mas ainda funciona porque diversos telefones continuam suscetíveis.
Você já parou para pensar que um aparelho pode passar de alvo a agressor? Logo após o truque de troca de manchetes, Kamkar nos mostrou como telefones e tablets podem servir de ferramenta para controlar drones, que então invadem um ao outro em pleno céu. Nossas câmeras registraram a primeira demonstração ao vivo do drone zumbi de Kamkar. Ele o apelidou de "Skyjack" ("Céuquestro").
PUBLICIDADE
Funciona assim: Kamkar programa um drone "mestre" para detectar quaisquer sinais de redes sem fio vindos de drones suscetíveis (neste caso, um drone Parrot AR). Assim que um sinal é identificado, o drone mestre injeta pacotes na rede desprotegida, e então é capaz de desautorizar o acesso de seu dono. Na demonstração, Kamkar programou o Parrot para dar uma pirueta assim que seus controles fossem sequestrados pelo drone mestre.
Kamkar se inspirou no serviço ousado, mas não implausível, de entrega via drones da Amazon. Controlado por tablet ou telefone, o Skyjack é capaz de explorar as fraquezas nas redes inseguras de vários modelos atuais de drones. Portanto, pense duas vezes antes de comprar uma câmera Leica M9 (que é cara) usando o serviço de drones da Amazon Prime Air, pois um hacker mal-intencionado pode redirecioná-la para a casa dele. (Para sermos justos, quando a Amazon trouxer o mercado de entregas via drone à tona, provavelmente já terá pensado nesse cenário.)
Após as filmagens, Kamkar nos contou que desenvolveu uma versão mais nova do Skyjack, que funciona em frequências de rádio de 2,4GHz, o que significa que, potencialmente, ele pode controlar a maioria dos drones disponíveis no mercado.
Glenn Wilkinson pilota o "Snoopy" sobre o Hyde Park, em Londres.
Para explorar mais a fundo a gama de ataques a telefones via wi-fi, nossa equipe foi a Londres, na Inglaterra, conhecer Glenn Wilkinson, pesquisador de segurança da Sensepost, e o drone Snoopy. Os sistemas de software e hardware do Snoopy viabilizam voos sobre multidões, mascarado como uma rede wi-fi confiável, criada para atrair smartphones e então monitorar os donos dos aparelhos, vasculhando dados em tempo real.
PUBLICIDADE
Basicamente, o Snoopy funciona da mesma forma que os ataques MITM de Kamkar. No entanto, por conta de sua capacidade aérea, o Snoopy aumenta o horizonte dos ataques e viabiliza volumes maiores de extrações credenciadas. Por exemplo, numa demonstração de 15 minutos, Wilkinson foi capaz de coletar históricos de navegação, informações de login e coordenadas geolocalizadas de 290 aparelhos incautos nas redondezas do Hyde Park.
Deixando as opções de ataques wi-fi de lado, o pesquisador de segurança Mathew Solnik, da Accuvant Labs, um famoso hacker de carros, nos mostrou um pouco de interceptação de dados telefônicos via rede celular. É impressionante.
Utilizando uma rede celular e técnincas que são de conhecimento público desde 2010, o ataque-teste de Solnik ilustrou a facilidade relativa com que alguém pode fuçar o tráfego de rede de outra pessoa. Vale esclarecer: uma interceptação celular não é uma técnica de ataque direto ao telefone de alguém.
Ataques diretos por redes celulares são extremamente difíceis, com conhecimento público limitado mesmo entre pesquisadores de segurança. Desde as filmagens do ataque de Solnik, ele está se preparando para revelar uma pesquisa pioneira na conferência Black Hat deste ano, que, segundo ele, mostra falhas de sistema que deixariam um agente malicioso atacar e controlar, remotamente, mais de 2 bilhões de celulares ao redor do mundo.
A ideia por trás destes ataques, de acordo com Kamkar, Wilkinson e Solnik, é tornar o público mais consciente do que estão fazendo nos telefones, entre campos minados de fissuras em segurança móvel. Ao apresentar as pesquisas e liberá-las em código aberto, os hackers white hats esperam provocar o público para que demandem dos fabricantes mudanças no ato.
PUBLICIDADE
Lembram-se do bug Heartbleed? Quando descobriram furos no bug de segurança, em abril de 2014, quase 50% da Internet mudou na calada da noite. Se a pesquisa não fosse divulgada ao público, não haveria protestos, e dezenas de milhares de empresas não teriam pressa para alavancar a reconstrução de toda sua segurança interna.
Ao longo da série "Phreaked Out", vimos como aparelhos de sistemas de controle urbanos, veículos e smartphones estão sujeitos a ataques quando se conectam a uma rede – celular ou wi-fi.
À medida que surgem ameaças móveis, os white hats continuam revelando falhas de segurança para proteger o público de hackers mais nefastos. Hackers éticos como Kamkar, Wilkinson e Solnik compartilham a mesma persistência e conhecimento que os black hats, só que canalizam suas habilidades em esforços para fortalecer a armadura digital de smartphones inocentes ao redor do mundo.