Falha de segurança feia no Skype para iOS. Pior: É notícia velha.
A falha, um bug de XSS (cross-site scripting) foi descoberta por Phil Purviance, um consultor de segurança. O funcionamento é bem simples: Uma mensagem enviada via Skype contendo um iFrame carrega automaticamente um bloco de código remoto, executa com privilégio e pwna seu iPad ou iPhone completamente.
No vídeo acima ele demonstra como é possível roubar todo o banco de dados da agenda de telefones do iPhone de alguém, apenas enviando uma mensagem no Skype.
O mais assustador é que não é preciso nenhuma ação por parte do usuário, exceto aceitar uma chamada de chat de um desconhecido, o que pode ser inevitável, se o desconhecido se chamar Megan Fox.
Em teoria o modelo de sandbox do iOS deveria prevenir maiores danos, mas há arquivos que são globais, como a Agenda de Telefones, que pode ser bem valiosa. Imagine o DEA colocando as mãos na agenda da Lindsay Lohan, por exemplo.
Phil comunicou o bug ao departamento competente (?!) da Skype mês passado, que prometeu postar uma correção o quanto antes. Estamos esperando.
Fonte: iPhone Hacks
As Fotos de Celular da Scarlett Johansson nua pelada sem roupa e a insegurança natural dos dispositivos móveis
Hoje a Internet pegou foto. Incontáveis milhares de internautas ocuparam altares profanos fazendo oferendas a Lorde Satã agradecendo pela divulgação, por um grupo anônimo de hackers de fotos da atriz Scarlett Johansson vestindo seu traje de dormir pelada.
As imagens teriam sido roubadas de um Blackberry, mas não parece ser nenhum bug específico da plataforma, já que outras celebridades cujas imagens pessoais foram igualmente surripiadas usavam celulares de marcas diferentes.
Entre as divulgadas e prometidas pelo mesmo grupo, temos Vanessa Hudgens, Renne Olstead, Natalie Portman, Dianna Argon, Miley Cyrus, Jessica Alba, Kat Dennings, Christina Aguilera e Blake Lively.
Note, não é um caso de mulheres BURRAS como Paris Hilton e Pamela Anderson, que aceitam ser filmadas com a promessa de que “não vou mostrar pra ninguém”. As fotos em questão são pessoais, nenhum foi vazada por um ex-namorado.
ICANN reservará US$ 60 mil para se proteger de gTLD mal-intencionados
Semana passada a ICANN, a entidade sem fins lucrativos responsável por gerenciar os TLD´s, publicou sua previsão orçamentária para os próximos anos e um detalhe chocante salta aos olhos, prende-se ao crânio e inocula ácido pela jugular do leitor. Dos US$ 185 mil que custaria um domínio .meiobit, US$ 60 mil seria reservado para a entidade defender-se de eventuais processos.
Congresso de squatters brasileiros aprova os gTLD´s
Para quem não sabe, no ano que vem estará liberado o registro de domínios mais criativos (e oportunistas) do que os atuais. São os gTLD. Além de .meiobit, empresas e organizações poderão registrar domínios como .rio, .cerveja ou .ponto pela bagatela de US$ 185 mil. Quem registrar este último fica me devendo uma cerveja que pode ser paga no Rio de Janeiro, de preferência antes de 21 de dezembro de 2012.
Segundo previsão da Icann, que ficará responsável por isso, devem ser registrados 500 domínios em 2012, totalizando um faturamento de US$ 92,5 milhões. Perto do salário médio dos leitores do Meio Bit pode parecer pouco, mas o montante mais do que dobra a receita esperada para a entidade no período (veja mais aqui).
Hoje, a Icann vive de alguns centavos pagos por registrars. Cada domínio .com, por exemplo, garante a eles US$ 0,18. Como cada gTLD deverá ser registrado diretamente com eles, o valor sobe para os estratosféricos US$ 185 mil por domínio.
A parte mais engraçada é que há toda uma polêmica sobre a necessidade dos gTLD. Se a situação atual já permite bizarrices como o .br.com imagine a confusão épica quando tivermos à diposição gTLD genéricos como .games, .auto ou .jobs.
Com informações do Paid Content.
Crédito da foto: MST
Paquistão quer banir criptografia da Internet. Parabéns a todos os envolvidos
O governo do Paquistão quer banir toda e qualquer transmissão de dados criptografados pela internet, inclusive VPNs. Ao contrário do que se possa pensar, a nova regra não é motivada por um saudosismo da década de 90, mas sim pelo bom e velho hábito democrático de controlar a comunicação alheia e garantir com isso um nível mínimo de entendimento nacional.
Afinal, quem em sua sã consciência seria contra o governo paquistanês?
Paquistão: único país do mundo onde apenas protestos pró-governo são permitidos
Crimes políticos à parte, a desculpa é monitorar conversas entre terroristas, mas por questões práticas a proibição da criptografia nunca deve ser implantada.
Sem ela é quase impossível usar internet banking e uma simples compra online pode virar um martírio. Isso sem falar nas facilidade de roubar dados pessoais e financeiros.
Para apresentar os efeitos nefastos de uma proibição à criptografia, convocamos algumas pessoas com conhecimento de internet amplamente superior ao dos oficiais paquistaneses. Alguns se dispuseram a prestar consultoria gratuita. Veja o que disseram:
Agências governamentais de segurança investem pesado em auditoria de hardware: “o problema do inferno”
'chip de criptografia hackeado... de fábrica'
Se você trabalha para a TI uma grande corporação, deve estar familizarizado com grande parte das ameaças de segurança da informação. Mas, quando o assunto passa a ser a segurança de grandes nações pelo mundo, ameaças podem ser algo que vão desde o alarme falso até o mais inimaginável dos pesadelos.
O DARPA – Agência de Pesquisa em Projetos Avançados de Defesa (EUA) – tem uma missão indigesta nas mãos: fazer valer a máxima de segurança governamental que diz que ‘não se deve desconfiar necessariamente do designer, mas sim do seu fabricante”.
Na semana passada o general da reserva Michael Hayden, ex-comandante da CIA e da NSA, chamou o problema de chips adulterados/manipulados no Aspen Security Forum 2011 de “um problema (direto) do inferno”. Continue lendo »
Mais um prego no caixão do Flash, desta vez vindo da Adobe
O Flash, como o nazismo e a pochete já teve seu momento, hoje em dia ninguém com um mínimo de bom-senso quer ser associado a eles (se bem que o nazismo ainda tem utilidade. Se te pegarem usando pochete, diga que ganhou na reunião da juventude hitlerista, com sorte desviará a conversa daquela coisa horrorosa na sua cintura).
A Adobe está num beco sem saída, a experiência mobile com Flash é tenebrosa exceto para freetards que nunca usaram Flash num tablet ou celular, desenvolvedores estão migrando para HTML5, onde conseguem uma experiência muito mais consistente entre plataformas.
Como de bobos não tem nada, continuam com o discurso “Flash é lindo, Flash é Odara” mas trabalham em alternativas. Ainda são básicas, o Flash tem uma dianteira de 15 anos, mas pelos previews dá pra ver que vem coisa boa por aí.
Uma das coisas boas é o Adobe Edge. uma suíte de animação baseada em HTML5, CSS, Javascript, completamente voltada para padrões abertos e garantida de rodar a animação resultante em qualquer navegador moderno, inclusive os mobiles.
No vídeo de demonstração do Adobe Edge vemos uma animação simples sendo criada. Não é algo que vai mudar o mundo –agora- mas já resolve 99% das aberturas em Flash usadas em sites vagabundos.
Ah sim, há um preview pra baixar, di grátis no site da Adobe.
Fonte: Windows for Devices
