A empresa de cibersegurança ESET descobriu que muitos dos serviços de encurtamento de URLs usam técnicas publicitárias agressivas, como scareware: anúncios que dizem aos utilizadores que os seus dispositivos estão infetados com malware perigoso, tentando convencê-los a instalar apps maliciosas ou participar em inquéritos duvidosos. Outros anúncios indesejados apresentam conteúdo pornográfico, direcionam para serviços de SMS pagos, ativam notificações no browser ou oferecem prémios falsos.

Os serviços de encurtamento de URLs podem ser muito úteis, permitindo reduzir o tamanho de URLs longos, recolher dados sobre os dispositivos dos visitantes ou até monetizar cliques. A forma mais comum de monetização é apresentando anúncios ao utilizador que clica no URL encurtado, produzindo algum lucro para quem o gerou.

No entanto, ESET descobriu também que alguns destes serviços descarregam ficheiros de calendário para dispositivos iOS e distribuem malware para Android, incluindo um bloqueador de anúncios falso que executa software malicioso adicional como trojans e adware agressivo recebido do seu servidor C&C (comando e controlo).

No primeiro caso, as vítimas têm que clicar no botão de subscrever para os seus calendários serem preenchidos com eventos que as informam falsamente que o seu dispositivo está infetado com malware e embebem links para mais scareware. Os utilizadores podem permanecer seguros não aceitando a subscrição do calendário ou, se já o fizeram, apagando os eventos importados sem clicar nos links embebidos.

O segundo caso é mais complicado: normalmente as vítimas pretendem obter uma app fora da loja oficial Google Play e acabam por instalar um bloqueador de anúncios falso que a ESET chama Android/FakeAdBlocker. Tal como no primeiro caso, este malware preenche o calendário da vítima com eventos de scareware, mas para além disso exibe anúncios no browser, notificações enganadoras, conteúdo pornográfico e um balão de diálogo que imita uma app de mensagens legítima.

A ESET identificou também centenas de instâncias em que foram descarregados trojans bancários mais perigosos. Os utilizadores afetados devem desinstalar o Android/FakeAdBlocker, que é identificável por não ter nem ícone nem nome na lista de apps. Desinstalar o malware não remove os eventos de scareware que foram criados no calendário, sendo necessário apagá-los manualmente ou através de uma app. Se o Android/FakeAdBlocker tiver descarregado trojans no processo de infeção, estes também devem ser removidos.

A ESET recomenda evitar clicar em links contidos em anúncios de encurtadores de URLs, não aceitar subscrições a calendários indesejados no caso do iOS e só instalar apps da loja oficial Google Play no caso do Android. Para a máxima segurança, podem-se usar soluções como o ESET Mobile Security em combinação com estas recomendações. Screenshots e detalhes do malware aqui descrito encontram-se aqui (artigo em inglês).

​Mais informação: https://www.eset.com/pt/
Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Encurtadores-de-URLs/

A ESET, empresa líder em soluções de cibersegurança, recomenda usar uma chave de segurança física como único método de 2FA (autenticação de dois fatores) no Twitter, uma vez que tal passou a ser uma possibilidade. Embora o serviço já permitisse usar uma chave de segurança como um de vários fatores de autenticação, agora é possível fazê-lo de forma exclusiva.

Usar chaves de segurança como método de 2FA não é novidade para o Twitter. Em 2018, a opção foi introduzida como um de vários métodos de 2FA. No entanto, era necessário ativar também outra forma de 2FA simultaneamente.

Embora o senso comum diga que qualquer tipo de 2FA é melhor que nada, segundo a ESET, chaves de segurança físicas fornecem salvaguardas mais eficazes contra roubo de contas do que, por exemplo, 2FA baseada em SMS. De facto, até códigos gerados por apps de 2FA podem ser roubados por malware.

Chaves de segurança oferecem a melhor proteção para uma conta no Twitter porque têm proteções integradas para garantir que mesmo se uma delas for usada num website de phishing, a informação partilhada não pode ser usada para aceder à conta. As chaves de segurança conseguem distinguir entre websites legítimos e maliciosos, bloqueando tentativas de phishing que SMS ou códigos de verificação não bloqueariam.

Assim, se ainda não ativou nenhum método de 2FA na sua conta Twitter, a ESET recomenda que o faça logo que possível, seguindo o guia oficial do serviço. E se tiver essa possibilidade, uma chave de segurança física é o melhor método disponível.
​
Mais informação: https://www.eset.com/pt/
Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/2FA-no-Twitter/

A maior parte das pessoas visita dezenas, por vezes até centenas, de websites por dia. Lê-se uma notícia aqui, consultam-se as redes sociais ali, depois vê-se um vídeo num website de streaming e clica-se num link que um amigo enviou... Como saber que todos estes websites que se visitam são seguros e que nenhum deles é, por exemplo, um website de phishing?

Aqui ficam alguns passos a tomar para verificar que o website onde se foi parar é legítimo e seguro, evitando perder dados ou descarregar malware para um dispositivo, recomendados pela empresa global de cibersegurança ESET.

URLs mal escritos e caracteres ambíguos
Ataques homógrafos e URLs mal escritos são das táticas mais comuns que os cibercriminosos usam para enganar pessoas a visitar os seus websites maliciosos. Os ataques homógrafos baseiam-se em domínios com nomes muito semelhantes a outros, mas com caracteres visualmente ambíguos ou adições indiscerníveis.

Um subterfúgio relacionado é o chamado typosquatting, que envolve o registo de nomes de domínio parecidos com os de websites populares, mas com gralhas comuns, como por exemplo, "gogle.com" ou "gooogle.com". Ambos estes exemplos são agora propriedade da Google e redirecionam para o website esperado, mas existem tantas possibilidades que é impossível cobrir todos os casos.

Assim, é importante ter cuidado redobrado a copiar ou clicar num URL e verificar sempre se se está no website correto. Alguns produtos de segurança, como os da ESET, incluem deteção de ataques homógrafos, avisando quando se acede a uma página web suspeita.

Verificar se um website é malicioso
Se se tiver a sensação que algo está errado com o website que se está a visitar ou, ainda melhor, que se está a pensar visitar mais ainda não o fez, existem várias ferramentas online para verificar se é malicioso. Uma lista que compila estas ferramentas pode ser encontrada em https://zeltser.com/lookup-malicious-websites.

Em alternativa, é possível fazer uma pesquisa WHOIS para descobrir o dono do domínio que se está a visitar. Neste caso, um dos sinais de que o domínio pode ser malicioso é se tiver sido registado recentemente. Por exemplo, o Facebook nunca poderá ser um domínio registado em maio de 2021!

Política de privacidade
Quando se está a navegar num website e não se sabe se é legítimo ou não, algo a verificar deve ser a existência de uma política de privacidade. Todos os websites legítimos têm uma, uma vez que são obrigados por leis de proteção de dados a explicar como protegem e processam os dados dos utilizadores. Se um website não tiver isto, então provavelmente não tem interesse nas leis de proteção de dados existentes em todo o mundo e algo está errado.

Informação de contacto
Qualquer empresa legítima que esteja interessada em construir uma relação duradoura com os seus clientes tem informação de contacto listada no seu website no caso de alguma coisa correr mal. Normalmente, consiste num formulário de contacto, email ou número de telefone.

Existem alguns sinais que se deve ter em conta para determinar se um negócio é legítimo ou não. Por exemplo, se se ligar para o número de telefone listado no website e este estiver inativo ou a pessoa do outro lado não soar profissional, provavelmente trata-se de um esquema. Passando este teste, deve-se também verificar se a informação de contacto oficial obtida com uma pesquisa rápida num motor de busca coincide com a que está listada no website.

O "S" em HTTPS
Uma dica muito usada para verificar se um website é seguro é verificar se usa o protocolo HTTPS. Isto porque o HTTPS assegura que a comunicação entre o servidor web e o navegador do visitante é fortemente encriptada. No entanto, nada garante que o website com HTTPS é mesmo o website de um banco ou apenas uma boa imitação concebida para roubar dados de acesso.

Hoje em dia, os cibercriminosos conseguem facilmente obter um certificado SSL/TLS completamente válido para os seus websites fraudulentos, da mesma forma que um negócio legítimo o faz. Assim, o uso de SSL ou TLS por si só não é um indicador de que um website é seguro. No que toca a certificados, uma boa referência é ver a organização que os emitiram. Se os dados que um website processa são sensíveis, mas o seu certificado é grátis ou de baixo custo, deve-se questionar a legitimidade do website e investigá-lo mais a fundo.

Soluções de segurança
Usar uma solução de segurança completa é uma boa forma de se proteger contra a maior parte das ciberameaças, incluindo website maliciosos. Software de segurança como o da ESET analisa páginas web com um motor de monitorização integrado que procura conteúdo malicioso e bloqueia o acesso ao website se encontrar alguma coisa potencialmente perigosa. Ferramentas deste tipo também conseguem comparar websites e URLs com listas de websites e URLs maliciosos conhecidos, e utilizar tecnologia anti-phishing.

Fazer tudo isto pode parecer muito trabalho para ficar seguro, e ainda existem outras coisas a que se deve prestar atenção, como anúncios intrusivos ou erros gramaticais, que também podem indicar que um website é fraudulento. No entanto, não deixa de ser importante, e grande parte dos passos podem ser automatizados com software de segurança.

Mais informação: https://www.eset.com/pt/
Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Como-saber-se-um-website-e-seguro/

Os investigadores da ESET, empresa líder em cibersegurança, descobriram uma nova campanha de cibercrime por parte de um grupo APT ("Advanced Persistent Threat") a que chamaram BackdoorDiplomacy. Este grupo tem como alvos ministérios de negócios estrangeiros e empresas de telecomunicações em África e no Médio Oriente desde pelo menos 2017.

Para vetores de infeção iniciais, o grupo usa dispositivos vulneráveis expostos na Internet, como servidores web e interfaces de gestão de equipamento de rede. Uma vez no sistema, os atacantes recorrem a ferramentas de código aberto para recolher dados e movimento lateral (avançar pela rede). A principal forma através da qual o grupo ganha acesso ao seu alvo é uma backdoor que a ESET chama Turian, por ser derivada da backdoor Quarian. Tanto sistemas Windows como Linux, incluindo unidades USB a eles ligadas, já foram alvo destes ataques.

A backdoor Quarian foi usada contra o Ministério dos Negócios Estrangeiros da Síria em 2012 e contra o Departamento de Estado dos EUA em 2013. Esta tendência de visar ministérios de negócios estrangeiros continua com a backdoor Turian: foram descobertas vítimas nos ministérios de negócios estrangeiros de vários países em África, bem como na Europa, Médio Oriente e Ásia.

Outros alvos do grupo incluem empresas de telecomunicações em África e pelo menos uma ONG no Médio Oriente. Em cada um destes casos, os atacantes empregaram técnicas semelhantes, mas modificaram as ferramentas usadas, mesmo em regiões próximas geograficamente, provavelmente para tornar a monitorização do grupo mais difícil.

A ESET explica em detalhe o funcionamento do BackdoorDiplomacy neste artigo em inglês.

Mais informação: https://www.eset.com/pt/
Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/BackdoorDiplomacy/

A ESET, empresa líder em soluções de cibersegurança, divulgou os principais resultados de deteção de ameaças para o período de janeiro a abril de 2021, com destaque para a exploração de vulnerabilidades do Microsoft Exchange por parte de múltiplos agentes maliciosos com o objetivo de comprometer milhares de servidores de email.
​
No curso dos quatro primeiros meses do ano, a pandemia de COVID-19 continuou a liderar as manchetes em todo o mundo, embora tenha perdido algum do seu protagonismo na paisagem das ameaças à cibersegurança. Entre os perigos mais preocupantes, a ESET realça o abuso das mais recentes vulnerabilidades e falhas de configuração com foco na obtenção de elevados retornos ao investimento, como o abuso do Remote Desktop Protocol (RDP), maior número de ameaças de criptomoeda, e um aumento acentuado de deteções de malware bancário em ambiente Android.

Mas o principal destaque do relatório de ameaças da ESET vai para a cadeia de vulnerabilidades que permite a um cibercriminoso apoderar-se de qualquer servidor de Exchange ao seu alcance. Este ataque tornou-se numa crise global e os investigadores da ESET identificaram mais de 10 tipos diferentes de atores ou grupos maliciosos que provavelmente tiraram partido desta vulnerabilidade.

Neste relatório constam ainda os resultados de investigações exclusivas da ESET, que oferecem um olhar mais detalhado para os grupos APT Turla e Lazarus, incluindo ainda informações sobre um mecanismo malicioso em iOS que, tirando partido de runtime patching para mudar o comportamento do programa, executa comandos shell em dispositivos iOS jailbroken e comprometidos.

O ESET Threat Report T1 2021 analisa ainda as descobertas mais notáveis por parte dos investigadores da ESET, como uma série em curso de investigação sobre trojans bancários latino-americanos, revelação dos malwares Kobalos e Operation Spalax, um ataque do tipo supply-chain direcionado que se centra em jogos online na Ásia, e uma nova backdoor do grupo Lazarus que foi utilizada para atacar uma empresa de logística de transporte de mercadorias na África do Sul.

Além destas descobertas, o relatório também revisita as várias conversas virtuais levadas a cabo pelos especialistas de investigação da ESET nos primeiros quatro meses de 2021, introduz outras conversas planeadas para os próximos meses, e oferece uma visão geral da participação da ESET nas MITRE ATT&CK® Evaluations que emularam os grupos adversários Carbanak e FIN7.

Para mais informações, consulte o ESET Threat Report T1 2021 no site WeLiveSecurity.

Mais informação: https://www.eset.com/pt/
Foto de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/ESET-Threat-Report-T1-2021

A Apple acaba de lançar várias atualizações que resolvem uma série de problemas de segurança, incluindo três vulnerabilidades “zero-day”[1] que têm estado a ser ativamente exploradas.

Duas das vulnerabilidades afetam o tvOS usado pelas “boxes” para televisão Apple TV 4K e Apple TV HD, enquanto a terceira é uma vulnerabilidade na versão Big Sur do macOS, usada em todos os desktops e notebooks da marca, explica a empresa de cibersegurança ESET.

“A Apple está a par de um relatório que indica que este problema pode ter estado a ser ativamente explorado”, pode ler-se no boletim de segurança da Apple que descreve as vulnerabilidades agora desvendadas.

Com a referência interna CVE-2021-30713, a vulnerabilidade “zero-day” descoberta no macOS Big Sur pode ser usada por um atacante para ultrapassar a funcionalidade “Transparency Consent and Control Framework” da Apple, que pede aos utilizadores permissão sempre que uma ação ou pedido por parte de uma aplicação tem impacto direto na sua privacidade.

O Transparency Consent and Control Framework é o sistema que, no macOS controla quais os recursos aos quais as aplicações têm acesso, tais como permitir a determinados programas o acesso à webcam e/ou ao microfone para poder participar em reuniões virtuais, videoconferências, etc. A vulnerabilidade em questão permite a um atacante ganhar controlo total do disco e permissão para gravação do ecrã, bem como outras permissões sem o consentimento explícito do utilizador – o qual deveria ser o comportamento predefinido.

De acordo com a ESET, esta descoberta foi feita pelos investigadores da Jamf, empresa especializada em soluções empresariais Apple, ao analisarem o malware XCSSET, o qual já está a ser utilizado desde 2020.

A partir do momento em que o malware infeta o dispositivo, ele integra-se com aplicações legítimas, que já têm permissões, para assim poder realizar capturas de ecrã sem o consentimento do utilizador. Estas capturas podem incluir praticamente tudo, desde sessões de videoconferência até browsers abertos em serviços de banca online. Quanto às duas vulnerabilidades que afetam a linha de produtos Apple TV, estas prendem-se com a componente WebKit, o motor de código aberto que a Apple usa no seu browser Safari, na app Mail e em várias outras aplicações nativas. Ambas as vulnerabilidades foram resolvidas com o lançamento da versão 14.6 do tvOS.

A ESET recomenda a todos os utilizadores de equipamentos Apple que ainda não tenham recebido a mais recente versão do macOS Big Sur para que forcem a sua atualização imediatamente.

Em abril, a Apple já tinha resolvido uma outra vulnerabilidade “zero-day” do macOS particularmente severa, a qual permitia ao malware ultrapassar os mecanismos integrados de proteção do sistema operativo.

Mais informação: https://www.eset.com/pt
Fotos de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Apple-Zero-Day

As ameaças a infraestruturas físicas já são notícia nos principais meios de comunicação generalistas. No dia 7 de maio, um oleoduto norte-americano da empresa Colonial Pipeline, responsável pelo transporte de combustíveis, sofreu um ciberataque de ransomware por parte do grupo DarkSide, que comprometeu os equipamentos informáticos de gestão do sistema. E já foi confirmado que o CEO da empresa autorizou o pagamento de 4,4 milhões de dólares em resgate!
​
A gravidade do ataque pode ser comprovada, por exemplo, pela intervenção rápida do Presidente Joe Biden, que desde então assinou uma ordem executiva destinada a melhorar as ciberdefesas do país, uma decisão que vem contrariar o argumento de alguns especialistas de que os ataques a fornecedores de serviços essenciais são exagerados.

Embora a Colonial Pipeline tenha, entretanto, retomado as suas operações, a ESET lembra que este tipo de manobras a infraestruturas críticas não mostra sinais de abrandar, e são habitualmente levadas a cabo por sequências de ataque há muito conhecidas, o que sugere que os atacantes não necessitam de zero-days sofisticados para comprometer redes de fornecimento essenciais. O Win32/Filecoder.DarkSide em causa está em ação desde outubro de 2020. O mesmo aconteceu num conjunto de ciberataques na Ucrânia, em que as características específicas do malware NotPetya (também conhecido por Diskcoder.C) também já tinham sido identificadas.

Os esforços de operadores de infraestruturas físicas para fortificar a sua segurança são evidentes, mas em muitos sentidos tratam-se ainda de preparativos que não refletem as ameaças crescentes a este tipo de alvos, seja por envolverem equipamentos antiquados ou protocolos de comunicação com falhas na sua “armadura”. Além disso, estes operadores têm a dificuldade acrescida de muitas vezes não conseguirem aliciar especialistas em segurança de Silicon Valley ou outros círculos tecnológicos para irem trabalhar em instalações remotas com tecnologia desatualizada.

Em todo o caso, à medida que se eleva o risco de segurança para redes de fornecimento de luz, água, combustível ou redes de comunicações é expectável que se verifique um foco renovado na proteção de infraestruturas críticas.

A apropriação do nome e imagem dos mais ricos e famosos é uma estratégia favorita de criminosos em busca de enganar e enriquecer às custas de utilizadores online.
​
A ESET, uma empresa líder em cibersegurança, partilha hoje algumas das formas mais comuns a que os scammers recorrem para passarem por celebridades, fazendo derreter os corações e, sobretudo, as contas bancárias dos utilizadores.

Ofertas falsas de criptomoedas
As ofertas falsas de criptomoeda banalizaram-se com a popularidade desse ativo digital e, habitualmente, acontecem em canais de YouTube ou contas de Twitter com uma grande base de seguidores sequestrados por agentes maliciosos. O esquema costuma envolver a solicitação de dinheiro digital para um endereço bitcoin, com a promessa de o valor ser duplicado como parte da campanha. No entanto, como seria de esperar, os utilizadores que caiam na armadilha não voltam a ver as suas criptomoedas. Para dar maior legitimidade ao esquema, os agentes maliciosos assumem também muitas vezes a pele de grandes figuras do mundo da tecnologia, como o fundador da Microsoft, Bill Gates, ou o CEO da Tesla e SpaceX, Elon Musk.

Vídeos enganadores no Facebook ou Instagram
Algumas celebridades tiram partido de plataformas como o Facebook ou Instagram para entrarem em contacto direto com os seus fãs, uma atividade partilhada também por scammers que recorrem às emissões ao vivo nas redes sociais para enganar os utilizadores. Para isso, os agentes maliciosos criam contas falsas que condizem com as páginas reais das celebridades, incluindo publicações, imagens e vídeos. No entanto, o nome terá erros ortográficos ou será suplementado com palavras como “TV”, “fan page”, ou outras.

Nos vídeos ao vivo, os scammers tentam aliciar os utilizadores com descrições como “os primeiros 1000 a comentar recebem 1000 euros”. Depois, os utilizadores que interajam com o vídeo recebem instruções sobre como receber aquele montante, que incluem enviar informação pessoal sensível ou mesmo dinheiro das suas contas. Além de perderem o seu dinheiro, os dados destes utilizadores podem voltar a ser usados para outros esquemas maliciosos.

Apelos falsos de apoio a causas solidárias
Outra tática comum envolve criar contas falsas que personifiquem celebridades e entrar em contacto direito com fãs em todo o tipo de plataformas digitais. Embora não seja uma estratégia sofisticada, o impostor procura enganar os utilizadores pedindo-lhes para contribuir para causas solidárias que supostamente estão a apoiar, ou mesmo oferecendo-lhes bilhetes para concertos privados inexistentes a troco de transferências de dinheiro.

Pedidos fraudulentos de investimento
Finalmente, a ESET destaca as tentativas de scammers de lucrar com os utilizadores mais inexperientes convencendo-os a usarem o seu dinheiro em “investimentos” supostamente apoiados pelas celebridades. Este tipo de manobras não é novidade, envolvendo a promessa falsa de multiplicação do investimento rápida e facilmente. Normalmente, esta técnica assume a forma de anúncios popup que se fazem passar de artigos sobre incríveis retornos do investimento, complementados com manchetes bombásticas sobre como uma celebridade investiu naquela empresa ou produto e lucrou imenso com isso.

Permanecer seguro
Identificar agentes maliciosos nas plataformas de redes sociais não deve ser uma tarefa difícil. O Facebook, Instagram e Twitter usam um sistema de verificação de perfis que permite aos utilizadores distinguir entre celebridades reais e impostores.

A respeito das manobras com alegados fins solidários ou relacionados com oportunidades de investimento, a sua veracidade também pode ser testada com uma busca rápida no Google. Se passarem o teste, o utilizador tem ainda a possibilidade de contactar diretamente a entidade para descobrir mais sobre a colaboração com uma celebridade específica.

Como sempre, a ESET recomenda aos utilizadores que permaneçam vigilantes e questionem qualquer ação que levante o mínimo de suspeitas, mantendo sempre presente a ideia de que se algo parece demasiado bom para ser verdade, o mais provável é que não seja genuíno.

Mais informação: https://www.eset.com/pt/
Foto de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Personificacao-de-celebridades/

A ESET, uma empresa líder em cibersegurança, somou mais um cobiçado prémio, com o seu Endpoint Security a reconquistar a distinção “AAA” no teste Enterprise Endpoint Protection da SE Labs para o primeiro trimestre de 2021.
​
A SE Labs, empresa independente líder em avaliações a soluções endpoint, aplicações de rede e serviços na cloud, levou a cabo um teste a 9 soluções de segurança entre janeiro e março de 2021 com o objetivo de analisar a eficácia dos produtos na deteção e proteção contras ameaças em tempo real. O ESET Endpoint Security conseguiu uma classificação de precisão total de 1,116, a segunda pontuação mais elevada (99%) entre as soluções testadas.

O ESET Endpoint Security é projetado para proteger as empresas graças a uma combinação de solução de antivírus robusta e software de segurança de rede. Nos testes a que foi sujeito, o Endpoint Security da ESET foi exposto a uma mistura de ataques direcionados e ameaças de mundo real baseadas na web. Os resultados estão à vista: o ESET Endpoint Security é extremamente eficiente no bloqueio de URLs maliciosos, tratamento de exploits, e classificação correta de aplicações e websites legítimos de forma consistente.

Ricardo Neves, Marketing Manager da ESET Portugal, comentou a propósito: "Ficamos extremamente satisfeitos por sermos reconhecidos pela SE Labs com um prémio AAA pela terceira vez. Esta distinção reflete o nosso compromisso em oferecer às empresas as melhores soluções de cibersegurança, sobretudo num tempo em que a complexidade e o volume das ameaças é maior."

"Estes testes em ambientes de mundo real são cruciais para confirmar que as organizações estão seguras com as soluções da ESET. Com a cibersegurança a ser uma prioridade é importante que as empresas invistam em soluções de qualidade", concluiu.

Veja o relatório completo aqui.

Mais informação: https://www.eset.com/pt/
Foto de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/ESET-Endpoint-Security-distinguido-pela-SE-Labs/

A ESET, uma empresa líder em cibersegurança, alerta para duas falhas de segurança da funcionalidade AirDrop da Apple que permitem a hackers aceder aos números de telemóvel e endereços de email associados tanto ao dispositivo emissor como ao recetor. A funcionalidade, que facilita a transferência de ficheiros entre Macs, iPhones e iPads, está presente em mais de 1,5 mil milhões de dispositivos Apple.

As duas vulnerabilidades são classificadas como graves e afetam o protocolo de autenticação do AirDrop, segundo o estudo de uma equipa de investigação da Universidade Técnica de Darmstadt na Alemanha.

Um cibercriminoso que pretenda abusar das falhas apenas tem que estar próximo da vítima e possuir um dispositivo com uma placa Wi-Fi para comunicar através do protocolo Apple Wireless Direct Link, utilizado pelo AirDrop e AirPlay. O atacante consegue obter os dados de contacto da vítima quando esta liga o AirDrop e começa a procurar recetores. No caso em que a vítima é o recetor, basta que ela conheça o emissor malicioso para este ganhar acesso aos seus identificadores.

Segundo o estudo, os dados das vítimas roubados através destas vulnerabilidades estão obscurecidos, mas são facilmente revelados com ataques de força bruta ou dicionário.

Os identificadores roubados podem depois ser usados, por exemplo, em campanhas de phishing, sendo também possível que as combinações de números de telemóvel e endereços de email sejam vendidas na dark web, onde outros cibercriminosos as podem explorar para uma variedade de fins maliciosos.

A ESET recomenda que os utilizadores de dispositivos Apple desativem a funcionalidade AirDrop nas definições de sistema e não abram o menu de partilha enquanto as vulnerabilidades não são corrigidas.

Mais informação: https://www.eset.com/pt/
Foto de alta resolução: https://fotos.aempress.com/WhiteHat/Apple-AirDrop