Artigo - Análise de algumas funcionalidades do Android 6

Amigos, durante algumas leituras, me deparei com um artigo citando 14 novas funções do Android 6.0 que não eram possíveis no Lollipop (5.x.x). Nesse artigo terei como objetivo uma análise de algumas das funções citadas no artigo de forma mais clara possível e resumida.

Aviso: Pode haver imparcialidade no texto a seguir.

Google Now On Tap

Pode ser uma mudança elogiada por muitos, porém a facilidade (ainda maior) de se usar o Google como buscador do SO gera um direcionamento enorme e pode acabar com as chances de outro concorrente se destacar. Fora que, os mais preocupados com a privacidade podem ter mais dificuldade de usar alternativas viáveis.

Suporte para USB Type-C

Imagem completa aqui

Se você acompanha o mundo da tecnologia já deve imaginar que essa mudança será muito bem vinda, pois o Android Lollipop já roda em alguns aparelhos, porém foram feitas adaptações no software desses aparelhos, agora, os que virem com o 6 (ou atualizarem posteriormente) terão esse suporte nativo, o que pode ajudar e muito os desenvolvedores, além de poder trazer taxas de transferências ainda maiores que o USB 3.0.

Transparência de permissões

Essa é uma das mudanças mais aguardadas pelos usuários preocupados com a privacidade e os preocupados com a segurança. Finalmente será possível controlar as permissões de APP's nativamente, antes só era possível visualizá-las. Para controlá-las somente acesso root (ou de super usuário) ou com o uso de ROM's (link contém vídeo de ~8 min) personalizadas (como a Cyanogenmod) que quebram os termos da garantia dos aparelhos (por causa do desbloqueio do boot loader).

Desbloqueio na ponta do dedo

Essa função também se tornará nativa, é um avanço, porém novamente entramos nas questões de privacidade, afinal nossa digital é única (e pode ser falsificada como é possível ver nesse vídeo e nesse artigo em inglês).

Autonomia de sobra

O modo "Doze" é uma grande aposta para os amantes de aparelhos que, por diversos motivos, não conseguem ficar o dia todo sem recarregar o aparelho, pois ele deve aumentar consideravelmente a duração das baterias (algo muito criticado pelos usuários em geral).

Adeus, apps padrão

Essa função também é muito aguardada pois antes dela, remover os APP's da fabricante era impossível (exceto com root). Até então, somente era possível desativá-los (o que ainda os fazia consumir espaço).

Backup salvador

Um backup do aparelho poderá ser realizado nos servidores da Google, pode ajudar em momentos de emergência, porém mais uma vez o SO esbarra nas questões de privacidade, pois não ficou claro (com uma política de privacidade "rígida") como esse armazenamento será mantido.

Conclusão

As mudanças para os amantes da tecnologia certamente serão bem vindas e serão uma evolução (até certo ponto) esperadas. Já as questões de privacidade e segurança estarão melhorando, porém nenhum sistema é perfeito, logo é bem provável que o root ainda possa ser uma opção interessante.

Entretanto, somente quando o sistema "sair do forno" de vez será possível obter mais detalhes e fazer mais comparações.

Referência

Tecmundo

Extra

Leitura biométrica na Play Store

Root vale à pena?

10 motivos para fazer root

Dúvidas e sugestões, traga para nosso grupo no Facebook.

Até a próxima pessoal!

Read More

Cerca de 1 milhão de certificados SSL estão vulneráveis

Cerca de 1 milhão de sites estão sob riscos de segurança porque eles usam SHA-1 algoritmo de hash; que os pesquisadores de segurança rotulou como inseguro. Grande número de sites, incluindo a banca, governo e sites do setor corporativo são SHA-1 certifica que os investigadores encontraram mais vulneráveis.

Paul Mutton pesquisador Netcraft disse; "SHA-1 certificados com base está prestes a ser banido - o / corpo diretivo Navegador Forum CA tem governado há novas tais certificados podem ser emitidos após o início de 2016, e já proíbe quaisquer certificados existentes que são válidos para além do final de 2017. "

Os pesquisadores acreditam que, devido a essas vulnerabilidades; um hacker bem financiado pode facilmente passar por um site SSL que usa um SHA-1 certificado confiável publicamente. Pior ainda, enquanto os navegadores ainda aceitar SHA-1 assinaturas, sites SSL continuam em risco, mesmo após a migração para SHA-2: Se um invasor para comprometer um certificado CA intermediário assinado com SHA-1, ele poderia gerar certificados válidos para domínios arbitrários.

Mesmo depois de todos esses preocupações com SHA-1; as autoridades já emitiu mais de 120.000 SHA-1 certificados; que Mutton encontrado muito chocante. Mas partir do próximo ano estas autoridades estão proibidos de issung estes SHA-1 certificados aos novos assinantes.

Alguns dos certificados emitidos este ano tem uma data de validade para além de 2017; que é muito chocante por causa de SHA-1 é ragarded como fraco e inseguro de algum tempo. As empresas ou proprietários que compraram esses certificados definitivamente substituí-los depois destes relatório antes da sua data de validade.

Fonte: ehacking

Read More

Let’s Encrypt, iniciativa para criptografar toda a web

No último outono americano, a fundação sem fins lucrativos EFF (Eletronic Frontier Foundation), lançou uma iniciativa chamada “Let’s Encrypt” (tradução livre: Vamos Criptografar) que visa emitir certificados digitais TLS gratuitos para qualquer site que necessite.

Hoje, a Let’s Encrypt assinou o seu primeiro certificado, um marco importante no objetivo de criptografar toda a web. A iniciativa permitirá que qualquer site da internet possa proteger seus usuários com certificados SSL/TLS que criptografam todos os dados enviados entre os usuários e o site. A iniciativa também torna a implementação HTTPS mais fácil para qualquer site ou site de compras online, afim de garantir a segurança dos dados de seus clientes.

Especificamente, a Let’s Encrypt promete ser uma autoridade certificadora com as seguintes características:
Gratuita – certificados sem nenhum custo;
Automática – instalação, configuração, bem como renovação dos certificados sem quaisquer ações de administrador;
Segura – a equipe é empenhada em ser um modelo de melhores práticas das suas próprias operações;

Transparente – os registros de todas as emissões de certificados ou revogação estarão disponíveis ao público;
Aberta – a emissão automática e o procedimento de renovação serão publicados como um padrão aberto;
Cooperativa – a iniciativa é uma organização controlada por várias empresas e existe para beneficiar a comunidade.

Acesse a notícia completa no link.

Fonte: Seginfo

Read More

Segurança Digital - Navegadores - Parte 4 (Atualização)

Amigos leitores, nesse post venho atualizar o conteúdo relacionado ao Google Chrome presente na segunda parte deste artigo, logo não entrarei no mérito de extensões hoje pois já foi falado em outras partes do artigo.

Não deixe de ler também a parte 1, parte 2 e a parte 3.

O tutorial abaixo serve para o Chrome, Chromium (e possíveis derivados), em todos os sistemas operacionais, a partir da versão 44.

Lembre-se de que esse post deixará o navegador acima da média quando se trata de configuração correta. E que os passos 1, 7, 8, 10 e 12 são opcionais, porém garantem mais segurança.

Mudanças Básicas

Para começar vá em:

Menu (três traços horizontais, no canto superior direito) > Configurações

- Na aba que abrir:

1- Buscadores:

Clique em:

Google > DuckDuckGo

2- Clique em configurações avançadas

Privacidade:

3- Marcar: "Enviar uma mensagem de "Não me rastreie" junto..."

4- Clicar em Configurações de Conteúdo

- Na janela que abrir:

Cookies:

5- Marcar "Manter dados localmente até sair do navegador..."

Plugins:

6- Marcar "Deixe-me escolher quando rodar um plugin..."

Mais radical (e seguro)

OBS: Pode comprometer a usabilidade de alguns sites.

Mídia:

7- Marcar "Não permitir que sites acessem a câmera e o microfone"

Localização:

8- Marcar "Não permitir que sites saibam minha localização física"

9- Clicar em "Concluído"

- Na janela anterior:

Senhas e formulários:

10- Desmarcar "Habilitar o autopreenchimento de formulários web em um único clique"

11- Desmarcar "Oferecer a opção de armazenamento de senhas"

Downloads:

12- Marcar "Perguntar onde salvar os arquivos antes de baixar"

Sistema:

13- Desmarcar "Continuar executando aplicações após fechar o navegador"

14- Fechar a aba "Configurações" e fechar o navegador para garantir que tudo seja salvo.

Pronto!

Talvez você possa saber disso, entretanto muitos usuários não sabem, por isso essa informação deve ser divulgada.

Dúvidas e sugestões traga para nosso grupo no Facebook.

Até a próxima!

Read More

Falha - Stagefright RCE no Android (CVE-2015-1538)

Amigos leitores, os que acompanham o mundo já devem estar cientes dessa falha que foi divulgada no mês passado.

Aviso Importante

O material a seguir tem a pretensão de ser puramente educacional e fornecer aos usuários comuns uma forma de estar mais protegido.

Lembre-se que "invadir sistemas sem o consentimento/autorização do proprietário é crime" e que crimes cibernéticos são enquadrados pela Lei "Carolina Diekmann" (que pode ser lida aqui).

Stagefright

Ela possui três pontos críticos (que formam um "combo"): é relativamente simples de ser explorada; Afeta todas as versões do Android; Pode ser explorada à distância.

O ataque funciona da seguinte forma: O atacante monta um arquivo mal formado de mídia, com o exploit embutido. Pronto, agora é só enviar para as vítimas (pode ser por MMS, site isca, engenharia social, correntes (hoax ou não), entre outras), assim que a execução da mídia ocorrer o exploit é executado em segundo plano.

OBS: Os arquivos no formato MP4 e 3GP já foram confirmados como vetores.

Caso a exploração seja completada, o aparelho pode ser comandado à distância pelo atacante por meio de códigos específicos, podendo obter acesso total (incluindo à câmera e microfones) sem o menor consentimento do usuário.

Confirmando a falha

É muito simples saber se seu aparelho está vulnerável, vá a Play Store e instale o seguinte APP:

Link: "Detector" na Play Store

Após isso abra-o e na tela inicial clique em "Fazer Análise" ou "Testar".

Pronto aguarde o teste (demorou menos de 5 minutos num Moto X1 com o Lolipop 5.1) e então veja a mensagem final.

As falhas testadas são:

CVE-2015-3876
CVE-2015-6602
CVE-2015-3864
CVE-2015-3828
CVE-2015-3824
CVE-2015-3829
CVE-2015-3827
CVE-2015-1538

Como se prevenir

-> Atualizações

Muitas fabricantes já atualizaram seus aparelhos para corrigir a falha, logo ir nas configurações e buscar por uma atualização de software pode ser talvez a melhor opção.

-> Faça você mesmo

Caso não ainda não tenham ocorrido atualizações do seu aparelho, tente os passos à seguir:

*Simples

- Desative o download automático de MMS;
- Desative o APP Hangouts (caso possua);
- Desative o download automático de mídias de outros APPS que julgar necessário (Whatsapp, Telegram, Viber, etc);

*Avançado

OBS: Tenha certeza que sabe o que está fazendo.

- Instale a CyanogenMod no aparelho;
- Utilize um IPS Móvel (como esse aqui) que pode custar dinheiro e é mais recomendado para usuários empresariais;

Referência (em inglês): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1538

Download do Exploit: Clique Aqui (cuidado com o manuseio do arquivo, certamente seu anti-vírus o detectará como infectado).

Página oficial da CyanogenMod (parcialmente traduzida do inglês):
https://wiki.cyanogenmod.org/w/About/pt-br (original: clique aqui)

"Conhecimento não é crime, crime é o que fazem com ele"

Read More

Dica - Instalando Chromium no Linux + Conteúdo Bônus

Amigos leitores, os passos para a instalação de um programa no Linux são geralmente muito simples. No caso, preciso de mais de um navegador e por questão de comodidade escolhi o Chromium, que nada mais é que: "... um projeto de navegador open-source que tem por objetivo ser seguro, rápido e da maneira mais estável poder atender à todos os usuários para experienciarem a web".

No entanto, ao estar com o Trisquel GNU/Linux instalado, percebi que o "apt-get" não encontrava o pacote do Chromium, pois o mesmo não usa repositórios do Ubuntu (do qual deriva) e sim se utiliza de seus personalizados.

Pesquisando pelos fóruns da distro, encontrei exatamente um com o título "Como instalar o Chromium?", e para minha surpresa, ao entrar lá descobri que o referido navegador não estava nos repositórios, pois não era considerado "livre" o suficiente para estar presente no Trisquel (que segue os preceitos da FSF (Free Software Foundation), muito conhecida pela figura de Richard Stalman).

Então como a distro é baseada no Ubuntu, fui ver como fazer para ter o navegador sem usar os repositórios do Ubuntu (pois existe um risco de "quebrar" o sistema ao fazer isso).

Sem mais demoras, vamos à dica. Lembrando que isso serve para qualquer distro baseada no Ubuntu ou no Debian.

Instalação

Vá no terminal e digite:

sudo add-apt-repository ppa:canonical-chromium-builds/stage

Depois aperte ENTER, espere carregar, aceite a adição de uma chave no sistema e então digite:

sudo apt-get update

Depois ENTER e aguarde terminar. Então finalmente:

sudo apt-get install chromium-browser

Depois que terminar, seu navegador estará pronto para uso.

Opcional (tradução PT-BR)

Recomendo instalar o seguinte pacote também:

sudo apt-get install chromium-l10n

Esse pacote chamado "chromium-l10n" contem várias traduções para o navegador (inclusive a PT-BR), caso ele não seja instalado, há a grande possibilidade de seu navegador estar em inglês (idioma padrão do mesmo).

Bem, é isso pessoal. Dúvidas e sugestões, venha ao nosso grupo no Facebook.

Outra coisa, se por acaso algum leitor conhecer um repositório que contenha somente o chromium me avise, pois usar PPA's não é a melhor opção por diversos motivos, os quais não entrarei em detalhes.

Referências

https://packages.debian.org/jessie/chromium-l10n (em inglês)

http://chromium.woolyss.com/ (em inglês)

http://www.chromium.org/Home (em inglês)

Conteúdo Relacionado

- Linus Torvalds, quem é?

- Campanhas da Free Software Foundation (em inglês)

- A definição de software livre

- Richard Stalman, o "Guru do Software Livre"

- Vídeo: Você é realmente LIVRE? (6 min)

- Vídeo: Os seguidores de Stallman e a FLISOL sem o Ubuntu (19 min)

- Presos à liberdade

- Review do Trisquel GNU/Linux

- Tudo sobre PPA's

Até a próxima!

Read More