Notícias da semana: Grave vulnerabilidade no PayPal

Entre as notícias sobre cibersegurança desta semana pdoemos destacar: o processo de solução da vulnerabilidade Heartbleed no OpenSSL avança cada vez mais lento; uma semana de descobertas interessantes dos nossos

Entre as notícias sobre cibersegurança desta semana pdoemos destacar: o processo de solução da vulnerabilidade Heartbleed no OpenSSL avança cada vez mais lento; uma semana de descobertas interessantes dos nossos amigos da Global Research and Analysis Team (GReAT) da Kaspersky Lab; uma grave vulnerabilidade na autenticação de dois fatores do PayPal.

Novidades sobre Heartbleed

Já faz um tempo que não falamos sobre este assunto. O perigoso bug presente na biblioteca de criptografia OpenSSL e que pode ser explorado para roubar informações confidenciais dos usuários ainda não desapareceu. Apesar de várias empresas terem lançado parches para proteger seus softwares contra esta vulnerabilidade, os especialistas afirmam que o empenho e as ações iniciais que foram colocadas em prática para solucionar este grave problema, poucos tiveram avanços concretos.

Mesmo uma década a partir de agora, no entanto, ainda esperam encontrar milhares de sistemas, incluindo os críticos, ainda vulnerável

Rob Graham, da Errata Security, é um dos especialistas encarregados de analisar como avançam as soluções em torno da falha do OpenSSL. Seus relatórios indicaram que, no início, poucos dias depois que tornou-se público a presença do bug, mais de 600 mil sistemas eram vulneráveis. No entanto, um novo relatório – três meses depois -, revelou que só a metade dos sistemas haviam solucionado o erro.

“Isso indica que as pessoas deixaram de se interessar e solucionar o inconveniente”, escreveu Graham no seu blog. “Ao longo da próxima década, devemos ver uma diminuição lenta dos sistemas com este problema, devido que as máquinas antigas serão substituídas. Mas, inclusive dentro de 10 anos, ainda haverá certos sistemas com vulnerabilidades críticas”.

Instrumentos de vigilância e Campanhas de fraude

Uma equipe de pesquisadores da Kaspersky Lab e Citizen Lab na Universidade de Toronto divulgaram um relatório sobre as controversas ações da empresa italiana Hacking Team. Segundo o relatório, o Hacking Team vende a eles equipamentos de vigilância aos governos e às forças de segurança estatais de diferentes países ao redor do mundo. Os principais instrumentos de espionagem desenvolvidos pela empresa italiana estão desenhados especialmente para intervir nos dispositivos móveis de usuários investigados pela polícia.

Graças a esta tecnologia, as agências e as forças de segurança têm a capacidade de seu monitorar a localização geográfica, utilizar o microfone dos dispositivos, interceptar qualquer mensagem enviada desde os smartphones e roubar qualquer informação do telefone dos usuários que estão sendo espionados.

Os pesquisadores da Kaspersky Lab também fizeram uma pesquisa sobre uma interessante campanha de fraude realizada nesta semana, conhecida como Luuuk. A campanha permitiu que os cibercriminosos roubasse mais de meio milhão de euros, cerca de 1,5 milhões de reais, de um dos principais bancos da Europa. Segundo detalharam os especialistas da Kaspersky Lab, os cibercriminosos usaram um malware similar ao Zeus, que serviu para enganar 200 clientes com ataques ” man-in-the-browser”.

Uma grave vulnerabilidade no PayPal

Na quarta-feira passada, uma vulnerabilidade apareceu n versão móvel do PayPal. Este bug, segundo informaram os especialistas da Duo Security, poderia fornecer a potenciais cibercriminosos a possibilidade de contornar o mecanismo de autenticação de dois fatores e habilitar a transferência do dinheiro da conta da vítima para qualquer outra conta.

A falha tem a ver com a forma como o PayPal lida com a autenticação nos seus aplicativos do iOS e Android. O PayPal tem conhecimento do problema, mas o parche que soluciona o problema só estará pronto no final de julho. A vulnerabilidade de segurança no PayPal é grave, por isso os usuários devem monitorar suas contas até que o mesmo seja corrigido.

Lançaram um parche para um bug de segurança no Android

Uma séri de vulnerabilidades no código de execução do Android 4.3 foi corrigido na versão KitKat – a última versão do sistema operacional. Infelizmente, esse erro teria afetado quase todos os usuários do Android. O pior é que a implementação do correção no Android dependerá quase que inteiramente da vontade das operadoras de telefonia móvel para fornecer correções do Google para seus clientes. Nesse sentido, quase todos os usuários do Android poderão continuar vulneráveis​​.

Tradução: Juliana Costa Santos Dias

Dicas