Android - Impedindo que seu celular seja desligado na tela de bloqueio

Amigos, esse é o meu primeiro post aqui no blog no qual irei falar sobre um aplicativo que previne que seu celular seja desligado acidentalmente. O aplicativo chama-se "Smart Lockscreen Protector" e está disponível somente para o android. Quando instalado e ativado impede que seu celular seja desligado antes de ser desbloqueado.

Instalação

Instalá-lo é bem simples, vá na "PlayStore" de seu smart e digite "Smart Lockscreen Protector" (sem aspas) ou acesse esse link aqui.

Ativação

Android Kit Kat (4.4.x)

Para ativá-lo, abra o aplicativo e clique em "Enable Lockscreen" para que a chave fique em "ON".

Após isso, clique na caixa de seleção ao lado de "Enable Notification" para que ele permaneça na barra de notificações e não seja fechado pelo sistema.

Demais Versões

Para ativá-lo, abra o aplicativo e clique em "Enable Lockscreen" para que a chave fique em "ON".

Opções extras para aparelhos "rootados"

Após ativar o aplicativo, é possível para quem possui acesso root no aparelho, customizar o menu de desligamento do celular.

Para isso vá até o aplicativo novamente e clique em "Enable Custom Power Menu" para que a chave ao lado mude para "ON".

Então na aba "Power Menu Options", logo abaixo, escolha entre as opções que desejas adicionar e marque-as em suas respectivas caixas de seleção do lado direito.

As opções são:

"Power Off" (desliga o telefone)
"Reboot" (reinicia o telefone)
"Airplane" (liga/desliga o modo avião)
"Sound" (controla o perfil de som)

Versões Suportadas

Segundo o desenvolvedor, qualquer android depois do 2.2 pode usar seu aplicativo sem problemas. Eu testei nas versões 4.2, 4.3, 4.4.2 e 4.4.4 e tudo correu bem.

Aviso para a versão 4.2 (Jelly Bean)

A opção de menu "Airplane" não está funcional mesmo com o aparelho tendo acesso root.

Atenção

O aplicativo aqui apresentado somente funciona com a tela de bloqueio parão do android.

Link para o aplicativo direto na "PlayStore": https://play.google.com/store/apps/details?id=com.nezdroid.lockscreenprotector&hl=pt_BR

Agradeço que tenha lido meu primeiro post e que possa compartilhar com seus amigos e parentes, afinal em caso de roubo é mais fácil rastrear o aparelho ligado.

Read More

McAfee alerta para ameaças em jogos

A McAfee está fazendo um alerta para crianças e pais não serem alvos de malwares escondidos em jogos e aplicativos para dispositivos móveis. Com a popularidade e fácil acesso aos jogos online, cibercriminosos utilizam esses aplicativos para espalhar malwares a fim de infectar os aparelhos e roubar informações pessoais dos usuários.

No ano passado, o jogo Flappy Bird fez enorme sucesso entre os usuários de smartphones e tablets com mais de 50 milhões de downloads. Em seguida apareceram centenas de clones do jogo, muitos deles fraudulentos. No primeiro trimestre de 2014, a McAfee divulgou que 79% das 300 amostras de clones do jogo continham malwares que permitiam ao criminoso, entre outras atividades, realizar chamadas e enviar mensagens sem a permissão do usuário, instalar aplicativos adicionais, extrair dados da lista de contatos, rastrear localizações e estabelecer acesso remoto para o total controle do dispositivo.

Thiago Hyppolito, engenheiro de produtos da McAfee, explica que antes de baixar algum jogo no smartphone os usuários devem ter alguns cuidados básicos. “É importante sempre baixar jogos de sites e lojas oficiais e ter uma ferramenta no celular que mostre que aquele jogo ou aplicativo é realmente seguro e não irá ter acesso a informações confidenciais como lista de contatos e mensagens. As pessoas precisam tratar o smartphone como um computador e não apenas como um telefone”.

As ameaças para dispositivos móveis são as que mais crescem atualmente. Segundo pesquisa da McAfee já existem mais de 4,5 milhões de ameaças móveis e apenas no primeiro trimestre o crescimento de ameaças foi de 167% em relação ao mesmo período do ano anterior.

Para garantir mais segurança no smartphone é importante ter sempre a última versão dos aplicativos e do sistema operacional, já que os fabricantes costumam lançar novas versões para corrigir falhas descobertas nas versões anteriores. É fundamental também ter uma ferramenta de segurança completa para o smartphone como o McAfee MMS Gratuito.

Uma dica para os pais que deixam as crianças brincarem com seus smartphones é utilizar ferramentas que bloqueiam as funções do aparelho que não são usadas pelas crianças. Na solução McAfee LiveSafe, a empresa oferece a possibilidade de criar diferentes perfis para o smartphone ou tablete e assim permitir o acesso apenas às funções e aplicativos que interessam a cada usuário. “É possível, por exemplo, criar um perfil apenas com jogos e vídeos, impedindo que a criança tenha acesso a e-mails, realize ligações ou baixe algum arquivo prejudicial ao dispositivo”, explica Hyppolito.

Fonte: Cyber Security

Dica do pessoal do Grupo do Facebook

Read More

Pesquisa mostra que desenvolvedores de apps não sabem proteger dados dos usuários

Uma pesquisa divulgada nesta semana pela Aspect Security revelou que uma boa parte dos desenvolvedores de apps realmente não sabe lidar com segurança. Feito na forma de um questionário, entregue a 1.425 desenvolvedores de 695 empresas pelo mundo, o estudo mostrou, por exemplo, que 80% dos participantes não sabem proteger dados e informações de usuários.

Este resultado ruim talvez explique o número alarmante de vazamentos e casos de informações expostas que aconteceram nos últimos meses anos. Mas o problema maior é que ele não é o único apontado alarmante pelos resultados da pesquisa.

Além dele, o questionário mostrou que só 51% dos desenvolvedores avaliados demonstrou algum conhecimento em relação ao gerenciamento de sessões seguranas (Secure Sessions Management), enquanto apenas 34% deles sabiam algo sobre a implementação de controle de acesso de URLs. Por fim, somente 26% entendiam de modelos de ameaças e avaliação de arquitetura de segurança (Threat Modeling and Security Architecture Review).

Há o que "comemorar", no entanto. Mesmo com poucos mostrando conhecimento sobre alguns pontos cruciais, os desenvolvedores ainda demonstraram ter domínio sobre alguns dos assuntos. 

Quase 80% deles mostrou saber como evitar ataques de injeção de scripts, e uma parcela pouco maior que 70% saberia prevenir vulnerabilidades XSS (cross-site) e usar SSL nas aplicações criadas.

Execução – A “prova” foi entregue no decorrer de um ano a profissionais envolvidos em diferentes áreas da indústria de desenvolvimento, da financeira (pouco mais de 400 participantes) a militar (cerca de uma dezena), passando pela de software de TI e de saúde.

A maioria dos participantes (quase 50% deles) tinha menos de 2 anos de experiência na área, mas uma parte considerável dos avaliados  (perto dos 25%) passava dos 10 anos de atuação. Ainda assim, apesar da variedade, o resultado obtido foi similar em todos estes setores – o que mostra que o problema está bem longe de ser isolado.

Boa parte dos desenvolvedores (quase 500 deles, na verdade) obteve uma nota entre 60 e 70, que equivale a um já preocupante D. Porém, mais de 550 deles se mostraram ainda mais despreparados quando o assunto é segurança e acabaram com um F na avaliação – ou seja, uma nota entre 0 e 59. Menos de 350 avaliados, portanto, conseguiram um C ou um B, e cerca de 50 desenvolvedores obtiveram um A (entre 90 e 100). Se quiser checar todos os dados da pesquisa, clique aqui.

Fonte: Info

Read More

Clone do Snapchat, Puffchat veio cheio de falhas de segurança

Lançado em novembro, o aplicativo Puffchat surgiu na App Store e na Play Store prometendo ser uma alternativa segura ao Snapchat. Mas um especialista em segurança britânico descobriu que a história é bem diferente: o app não chega a apagar nada do que é enviado e é cheio de brechas, que permitem a um invasor inclusive tomar posse das contas.

Thomas Hedderwick relatou todas as brechas em um post em seu blog, e mostrou que o Puffchat gerencia dados de usuários de forma errada já no momento do cadastro. Endereços de e-mail, senhas e datas de nascimento são enviados aos servidores “seguros” do aplicaitov pelo protocolo HTTP, e não por HTTPS, por exemplo.

Essas informações ainda ficam expostas na API hospedada no site do aplicativo, e uma busca no código, segundo Hedderwick, traria nome de usuário, data de aniversário e e-mail usado. Graças a essa exposição, é possível fazer praticamente de tudo, em qualquer conta, pela API do aplicativo. O especialista chegou a se adicionar com a conta do CEO da companhia, Michael Suppo, por exemplo, e ainda conseguiu enviar mensagens e fotos.

Hedderwick também descobriu pelo código que as fotos e mensagens não são apagadas de verdade. Ou seja, o Puffchat não chega a cumprir nem sua premissa básica: “[O conteúdo] é baixado no seu telefone toda vez que você solicita suas mensagens, o cliente apenas não as mostra para você”, escreveu. As fotos, inclusive as que trazem material explícito, podem até ser acessadas no site da startup.

No mesmo post em seu blog, o especialista britânico afirmou ter entrado em contato com os responsáveis pelo Puffchat de diferentes formas, mas em todas as ocasiões acabou ignorado. Resolveu, então, publicar o texto para alertar os usuários.

A resposta do CEO da startup não foi das mais educadas, no entanto. Apesar de ter prometido consertar todas as falhas mostradas por Hedderwick, Suppo também ameaçou processá-lo caso não removesse todas as postagens feitas sobre o aplicativo. Tudo porque a empresa “leva a segurança dos usuários muito a sério” – mas aparentemente não o suficiente para implementar medidas básicas antes de lançar o programa no mercado.

Fonte: Info

Read More

Brecha de segurança em apps para iOS dá acesso a arquivos do usuário

Falhas graves de segurança foram encontradas em três aplicativos para iOS, o Easy File Manager, o WiFi HD Free e o FTPDrive. O responsável pelo achado foi o hacker Bruno Oliveira, consultor sênior de segurança da Trustwave. Segundo ele, as brechas permitem que invasores leiam e até mesmo apaguem arquivos de um iPhone.

A descoberta foi revelada pelo brasileiro durante o evento de segurança AppSec, realizado nesta semana nos Estados Unidos. Oliveira pesquisou mais de uma dezena de aplicativos criados para armazenar e compartilhar arquivos, e vulnerabilidades foram encontradas nesses três. Segundo o hacker, o Easy File Manager é talvez o mais problemático, já que “permite a um possível invasor ver, listar, publicar e deletar arquivos” de um dispositivo com iOS.  

As consequências para quem utiliza um dos apps do trio são diversas. Um cracker pode, por exemplo, roubar informações pessoais do usuário armazenadas no dispositivo. E a situação pode ser ainda pior caso o aparelho esteja conectado a uma rede corporativa.

“Nesse caso, o mesmo invasor poderia utilizar o dispositivo para acessar, monitorar e investigar a rede”, diz Oliveira. “Ou pior: até atacá-la, utilizando como sistema base o aparelho iOS comprometido.” Em um iPhone com jailbreak (desbloqueado), o ataque pode ser ainda mais devastador, já que não há limitações do sistema que impeçam um cracker de praticamente tomar o controle do smartphone ou tablet – e possa até mesmo apagar o sistema operacional.

Prevenção – Aos usuários, a recomendação para evitar tais problemas é não baixar apps de fabricantes desconhecidos – ou, no caso, um dos três mencionados, ao menos até que correções sejam feitas. Já as empresas precisam dedicar uma atenção especial à segurança no desenvolvimento de seus software, evitando vulnerabilidades do tipo. “Isso inclui condução de testes de penetração em suas aplicações, antes de estarem disponíveis para os usuários”, diz o hacker. E, claro, também é preciso se preocupar com a segurança dos próprios aparelhos.

Oliveira também destaca a importância de realizar “constantes treinamentos de conscientização dos funcionários”, para assim deixá-los a par “das melhores práticas de segurança”. Para as companhias, ainda vale a implementação de controles de segurança que possam “isolar um dispositivo móvel do resto da rede, caso o aparelho esteja comprometido”.

Papel da Apple – Para Oliveira, a empresa “realiza um bom trabalho de prevenção de malware na loja virtual”. “É quase impossível impedir falhas de software em aplicativos”, diz ele, caracterizando o trabalho como exaustivo e interminável. E completa: “um app só se mostra vulnerável a partir da descoberta da falha por um pesquisador”. Ou seja, de certa forma, o papel da Apple de evitar apps maliciosos está cumprido. O que falta é atenção por parte dos desenvolvedores.

Fonte: Revista Info

Read More

Como obter lista de programas instalados de uma máquina atacada

E ai pessoal!

Sobrou um tempo essa semana então vamos a alguns tutoriais.

O tutorial de hoje é um módulo do Metasploit para obter uma lista com todos os programas instalados em uma máquina que já foi previamente atacada pelo Metasploit e já temos uma sessão aberta.

Se você não sabe como conseguir uma sessão de uma pesquisada no blog, já temos alguns posts sobre isso, atacando as mais diversas falhas.

E vamos lá!

Primeiramente, utilizei o comando sessions -l para obter a lista das sessões abertas.

Uma coisa muito importante é lembrar o número do id da sessão, neste caso 2. Precisaremos disso mais para frente.

O módulo que vamos utilizar é o post/windows/gather/enum_applications.

A única informação que precisamos é o id da sessão, como comentei anteriormente.

Com isso pronto podemos rodar o módulo e se tudo der certo obteremos uma lista com todos os programas.

E ai está!

Com isso podemos a partir dai lançar outros exploits ou buscar informações interessantes.

Eu fico por aqui! Bons estudos!

Read More

Câmara abre inscrições para Hackaton 2013; prêmios são de R$5 mil

Inscrições estão abertas de 2 a 20 de setembro. Para participar é preciso ser brasileiro e ter idade igual ou superior a 18 anos.

 

A Câmara dos Deputados promoverá entre os dias 29 de outubro e 1º de novembro um concurso hacker que premiará programadores e desenvolvedores de todo o País que criarem aplicativos voltados para ampliar a transparência na divulgação do trabalho parlamentar. A iniciativa é parte das comemorações dos 25 anos da Constituição Federal.

Para participar, é preciso apresentar um projeto de solução web que facilite o acesso às informações sobre a atividade legislativa e utilize os dados públicos para a promoção de um conhecimento mais aprofundado sobre a atuação do Congresso Nacional.

Serão selecionadas as 50 propostas consideradas mais criativas e alinhadas ao interesse público. Seus autores terão todas as despesas com passagem aérea, hospedagem, alimentação e traslado custeadas pela Câmara.

Durante os quatro dias de concurso, os participantes poderão desenvolver os aplicativos a partir dos dados disponíveis no portal da Câmara na Internet e de outras bases públicas.

Uma comissão avaliadora formada por técnicos da Casa e representantes da sociedade irá escolher os três grandes vencedores, que receberão o prêmio de 5 mil reais cada um, com patrocínio do Sindicato dos Servidores do Poder Legislativo Federal e do Tribunal de Contas da União (Sindilegis).

As inscrições estão abertas a partir da próxima segunda-feira (2) e vão até o dia 20 de setembro. Para participar é preciso ser brasileiro e ter idade igual ou superior a 18 anos no momento da inscrição.

As propostas, que devem ser inscritas exclusivamente por meio de formulário disponível no site www.camara.leg.br/hackathon, podem ser assinadas individualmente ou por equipes de até três integrantes.

Fonte: IDG Now

Read More