A privacidade está sob ataque

Depois da semana do “Trumpocalipse”, a semana passada foi preenchida de más notícias no que respeita à nossa privacidade.

Do lado do Android, péssimas notícias. Foi descoberto um backdoor num firmware que está instalado em 700 milhões de telemóveis vendidos nos EUA. O backdoor envia dados do telemóvel para o seu fabricante, na China, de 72 em 72 horas.

Foi também reportado pela anubisnetworks que cerca de 3 milhões de dispositivos Android são susceptíveis a um ataque Man-in-the-Middle que explora uma falha do sistema de updates Over-the-Air:

This analysis revealed two critical discoveries:

  • Firstly, the vulnerability described above allows for users to be subjected to significant attacks in positions where an adversary can perform a Man-in-the-Middle attack.
  • Secondly, this OTA binary was distributed with a set of domains preconfigured in the software. Only one of these domains was registered at the time of the discovery of this issue. If an adversary had noticed this, and registered these two domains, they would’ve instantly had access to perform arbitrary attacks on almost 3,000,000 devices without the need to perform a Man-in-the-Middle attack. AnubisNetworks now controls these two extraneous domains to prevent such an attack from occurring in the future for this particular case.

Do lado da Apple também tivemos más notícias. Um bug no iOS 8 permite ultrapassar o ecrã de bloqueio (com password e com ou sem Touch ID) e aceder às fotografias pessoais e mensagens.

Foi também revelado que o iPhone envia o registo de chamadas (incluindo Skype, FaceTime, Facebook Messenger, etc.) para o iCloud, onde é guardado durante 4 meses. A única forma de desactivar esse “backup” é desligar o iCloud por completo. Este caso torna-se mais grave tendo em conta que a Apple acha perfeitamente normal fazer essa operação.

O Linux também não escapou às más notícias: um bug na implementação de uma ferramenta de criptografia (cryptsetup) abriu um buraco enorme na segurança do sistema que permite a um utilizador aceder a uma shell com acesso root, bastando para isso pressionar a tecla Enter durante 70 segundos.

Apesar destes bugs e políticas duvidosas do mundo corporativo, as piores notícias vêm mesmo do sector político. No Reino Unido foi aprovada a “lei de vigilância mais extrema, alguma vez aprovada numa democracia“, que obriga os fornecedores de Internet a guardarem o histórico dos seus clientes durante um ano. Vamos ver o que acontece quando houver um “data breach” e os britânicos puderem ver por onde andam a navegar os seus familiares, amigos e governantes.

Do outro lado do Atlântico as coisas também não parecem ir pelo melhor caminho. Por exemplo, o futuro director da CIA, nomeado por Donald Trump, vê na criptografia de comunicações pessoais um factor de preocupações. Já nada nos surpreende, depois de em 2015 o sr. Donald ter dito que queria falar com Bill Gates para “fechar certas partes da Internet“. Por esse motivo, vamos ficar atentos.

(Imagem: g4ll4is, alterada e distribuída segundo licença CC BY-SA 2.0)