Hacker descobre como identificar os posts de alguém no Secret

Uma dupla de hackers de Seattle comprovou aos donos do Secret que o aplicativo não é capaz de garantir anonimato aos usuários. O que é preocupante, visto que as pessoas recorrem ao serviço justamente para contar segredos.

Ben Caudill, parceiro de Bryan Seely na pequena empresa de segurança Rhino Security Labs, mostrou à Wired que é bem simples descobrir as postagens de uma pessoa no Secret.

É necessário ter o e-mail do alvo, em primeiro lugar, e entender o funcionamento do Secret: o usuário precisa ter ao menos sete amigos inscritos no serviço para começar a ver segredos alheios. O app descobre esses amigos vasculhando o smartphone em busca de e-mails e telefones de outros usuários. No fim, mesmo que o dono do aparelho tenha 500 amigos, ele nunca saberá de onde vieram os segredos que ele vê, pois estes podem vir de apenas sete pessoas.

Para quebrar essa lógica, Caudill criou sete contas falsas no Secret usando um scripit (mas isso poderia ser feito manualmente), então ele apagou os contatos de sua lista de contatos e acrescentou as contas falsas no lugar. Por fim, incluiu o e-mail do alvo também.

Ele então criou uma outra conta e adicionou todas aquelas falsas como seus contatos. Assim, sempre que houvesse uma postagem ele saberia que ela veio do alvo, porque os demais contatos da sua lista de amigos eram falsos.

Como se vê, trata-se de uma via de mão única; não é possível descobrir o autor de um segredo a partir do segredo, só o contrário: pelo e-mail, você pega as postagens do indivíduo.

David Byttow, CEO do Secret, confirmou à Wired a existência da vulnerabilidade e disse que ela já foi bloqueada. Ainda é necessário tomar medidas para descobrir se a técnica foi explorada de forma significativa.

Golpe ameaça bloquear usuários brasileiros no WhatsApp

Uma mensagem enviada por e-mail informa ao usuário do WhatsApp que ele violou a política de privacidade do aplicativo, mencionando o item "12848-WBR", que não existe nostermos de uso. Trata-se de um golpe que ameaça bloquear a conta de forma parcial ou definitiva, segundo o UOL Tecnologia.

A mensagem (veja abaixo) diz que a violação se caracteriza pelo envio de fotos e vídeos ilícitos ou ilegais supostamente denunciados por outras pessoas. O usuário então é informado sobre a existência de um novo termo de aceitação que, caso não seja visualizado, bloqueará a conta de 5 a 90 dias.

O e-mail não indica links ou anexos. Golpes de phishing como este costumam infectar a máquina com o objetivo de roubar dados pessoais e financeiros do usuário.

Falha de segurança no Android expôs 82% dos usuários

Uma vulnerabilidade de segurança no Android expôs 82% dos usuários, que poderiam ter tido os smartphones invadidos por código capaz de comprometer dados pessoais. A ameaça foi descoberta e revelada nesta terça-feira, 29, pela empresa Bluebox.

A falha refere-se a um tipo de criptografia na plataforma que tem como objetivo criar uma "assinatura" em cada app, determinando quem é capaz de atualizá-lo e quais privilégios ele tem dentro de um celular.

O bug faz com que o certificado de segurança do aplicativo seja checado de forma errada e o desenvolvedor tenha acesso a recursos sem permissão do usuário, o que pode causar roubo de informações e utilização do aparelho para fins ilegais.

O Google diz ter corrigido o problema, que expôs modelos rodando versões do Android 2.2 até 4.4, a KitKat. Para afastar o perigo de vez, a empresa afirma que realizou uma varredura em sua loja de apps e garantiu não ter encontrado indícios de vulnerabilidade.

Estudantes criam prótese em impressora 3D para criança

Um grupo de alunos da University of Central California, nos EUA, usou impressora 3D para construir uma prótese de braço para Alex Pring, menino de 6 anos que nasceu sem um dos membros.

O projeto surgiu depois que um dos estudantes se sensibilizou com uma carta na internet postada pela mãe do garoto. Segundo ela, o seguro da família não cobria a despesa de US$ 40 mil para a elaboração da prótese. Com a impressora, a construção dos braços levou sete semanas e custou US$ 350.

A equipe incluiu estudantes de engenharia elétrica, mecânica e civil. A dificuldade de construir próteses para crianças vem do fato de que elas crescem rapidamente e, por isso, precisam substituí-las com frequência. Com esse projeto, a troca da mão custará US$ 20 e a do antebraço, até US$ 50.

Ataque pode ter quebrado anonimato da rede da Deep Web

O Tor, serviço de rede famoso por oferecer privacidade e anonimato aos seus usuários emitiu um alerta avisando que sofreu um ataque com o objetivo de revelar a identidade das pessoas do serviço. A fundação diz que qualquer um que usou a rede entre fevereiro e 4 de julho deste ano devem assumir que foram afetadas.

De acordo com a entidade, no entanto, provavelmente não se trata de uma tentativa de roubo de identidade, ou até mesmo de vigilância governamental. O Tor crê que o ataque veio de pesquisadores da Universidade Carnegie Mellon, pela equipe de respostas a incidentes de segurança.

Em uma conferência Black Hat neste ano, o grupo cancelou uma apresentação onde falariam sobre a possibilidade de “desanonimizar” o Tor, dando a entender que haviam conseguido algum jeito de burlar a criptografia do sistema. O ataque em questão pode ter sido realizado por eles para mostrar a possibilidade, embora a equipe ainda não tenha confirmado.

Ainda não se sabe, no entanto, a quantidade de dados recebidos e armazenados que foram “desenterrados” pelo ataque, mas o Tor não é otimista. “Se o ataque foi realmente relacionado à pesquisa feita pela Carnegie Mellon, então, a julgar pelo resumo da pesquisa escrito para a apresentação, o ataque conseguiu desanonimizar usuários e serviços escondidos”, diz Runa Sandvik, porta-voz do Tor Project ao Gizmodo.

Se realmente o ataque for resultado de pesquisa acadêmica, esta é a melhor das possibilidades para quem quer manter o anonimato na rede. No entanto, se isso aconteceu, significa que outras pessoas com más intenções, ou então governos, poderiam fazer o mesmo, e talvez até já tenham feito.

Hacker usa caixa eletrônico para rodar o jogo clássico Doom

Hackear um caixa eletrônico normalmente é algo que pode resultar em sérios problemas jurídicos, mas um australiano o fez de uma forma divertida. Ed Jones, que atende pelo apelido de Aussie50, conseguiu transformar a máquina em um árcade capaz de rodar o jogo clássico Doom.

Em um vídeo divulgado no YouTube, Jones agradece a seu colega Julian por resolver questões de software, cabeamento e lógica. Fica a dúvida sobre como ele conseguiu ter acesso a uma máquina do tipo para poder brincar e se ele tinha qualquer outro objetivo de hackear pelo prazer de hackear.

Ele diz que conseguiu transformar o teclado do caixa em um controle e utilizar o painel lateral como maneira de selecionar as armas. Ed Jones também diz que a impressora do recibo seria capaz de imprimir a sua pontuação ao final do jogo.

Nos comentários do vídeo no YouTube começaram a surgir pedidos para outros jogos, como Minecraft. O hacker, porém, diz que não quer mexer muito no hardware original para possibilitar a execução de jogos mais novos. Isso porque o caixa não tem um slot PCI Express, então é difícil trocar a placa de vídeo ou a memória RAM.

Você pode conferir sua peripécia no vídeo abaixo. Ao entrar em seu canal no YouTube, você também pode assistir a ele jogando Doom em outras plataformas esquisitas como um outdoor de LED.

Tecnologia de armazenamento líquido poderia guardar 1 TB em uma colher

Hoje, o suprassumo da tecnologia para armazenamento de dados nos computadores domésticos é o SSD (“unidade de estado sólido”). No entanto, no que depender em um grupo de cientistas de materiais dos Estados Unidos, uma alternativa mais “fluida” poderá dar as caras no futuro. Isso porque a pesquisa indica que dados podem ser armazenados em líquidos de forma semelhante a como guardamos nossos “0s” e “1s” em matéria sólida.

Em teoria, os pesquisadores da Universidade de Michigan e da Universidade de Nova York indicam que seria possível guardar 1 TB de dados em uma colher de “disco rígido líquido”.

Os cientistas simulam o armazenamento líquido com clusters de nanopartículas suspesnsos em líquido.Eles são mais capazes de armazenamento de bits do que os convencionais, que só entendem dois estados: 0 e 1. No entanto, as partículas como clusters podem se reorganizar para representar diferentes estados de armazenamento. Assim, 12 partículas conectadas uma esfera central pode ter até 8 milhões de estados, o que equivale a 2,86 bytes de informação.

Assim, durante a simulação, foi possível deduzir que uma colher cheia de uma solução com clusters com 12 nanopartículas seria capaz de 1 TB de dados, o que é algo interessante a comparar com a atual situação do armazenamento em smartphones.

Tudo isso par em uma escala ainda irrealística e absurdamente cara, mas Sharon Glotzer, professora de engenharia química em Michigan, diz que foram usados materiais baratos, que poderiam ser usado “aos baldes”, que permitiram a escrita e leitura de informações.

Contudo, tudo isso ainda está muito distante. A equipe indica que é o primeiro passo na longa estrata da “computação molhada”. A expectativa é que a tecnologia seja aplicada primeiro na robótica, mas em alguns anos, quem sabe, poderemos ter uma garrafinha de dados.