Todos os posts tagados apple

Fappening, Snappening e afins

Fappening, Snappening e afins

Muito se tem escrito sobre o Fappening, aka Celebgate, onde o leak de diversas fotos e vídeos de personalidades foram publicadas na web.
Utilizadores maliciosos aproveitaram-se da fragilidade nas passwords de algumas celebridades e conseguiram via iCloud (ou Found my iPhone) obter acesso aos conteúdos privados de personalidades como Jennifer Lawrence, Jessica Brown Findlay, Aubrey Plaza, Kate Upton, Kaley Cuoco, etc…
A publicação inicial foi nos sites Reddit e 4chan mas posteriormente espalhados por milhares de sites, tornando muito difícil a restrição destas fotos ou vídeos.

Embora a Apple na altura tenha comunicado que o leak da informação foi devido a passwords quebradas não mencionou a fragilidade de ter um formulário de autenticação sem qualquer tipo de limitações ou proteção. Desta forma os utilizadores maliciosos poderam efetuar inumeras tentativas de brute-force até obterem a password. Entretanto, e após o ataque, a situação foi resolvida, limitando para 5 as tentativas de autenticação. A Apple não prestou declarações sobre este assunto.

Na minha opinião, o Fappening veio focar dois pontos interessantes:

  • Uma password fraca pode ter consequências muito graves
  • Armazenar fotos/vídeos privados na web não é seguro

Quando um utilizador coloca algo na web deve assumir imediatamente que poderá correr o risco de perder essa informação. Num serviço cloud, essa informação estará alojada em diversos locais, tornando a probabilidade de perda de informação maior.
Recorda-me uma frase de um especilista de segurança, no qual não me recordo o nome:

Mais vale ter 1 segredo num esconderijo do que o mesmo segredo em 4 esconderijos.

Contudo, a nuvem é caracterizada pela sua comodidade porque os seus utilizadores têm sempre os seus ficheiros disponíveis (online e off-line).

Tal como aconteceu recentemente com o ataque ao Snapchat, os utilizadores deverão ter sempre noção dos riscos que correm. Os utilizadores mais novos devem ser constantemente relembrados que apenas devem partilhar ou guardar na web o que estão dispostos a perder.

Metade dos utilizadores do Snapchat são adolescentes entre os 13 e os 17 anos. O facto é que com este leak, mais de 100 mil fotos e vídeos enviados através na aplicação ao longo dos últimos anos foram divulgados por utilizadores maliciosos.
Em comunicado oficial, o Snapchat garante que não houve qualquer falha de segurança da sua parte:

Podemos confirmar que os servidores do Snapchat nunca foram comprometidos e não são a fonte destas fugas. Os snapchatters foram vítimas do uso de terceiras aplicações para enviar e receber snaps, uma prática que proibimos expressamente nos nossos termos de serviço, precisamente porque compromete a segurança dos nossos utilizadores.

Por este facto, os utilizadores mais novos devem ser constantemente relembrados que apenas devem partilhar ou guardar na web o que estão dispostos a perder.

Sua conta Apple expira em menos de 48 horas

Sua conta Apple expira em menos de 48 horas

Um email de phishing anda a circular em massa pelos emails dos portugueses. Objectivo? Tentar obter dados confidenciais de quem tem conta Apple ID.
O email, com remetente forjado no_reply@apple.com, falha em muitos testes anti-SPAM mas ainda consegue “fazer mossa” aos mais desatentos.

Um desses testes de anti-SPAM é a validação do SPF (Sender Policy Framework) que não é validado (como é óbvio):

Received-SPF: softfail (google.com: domain of transitioning no_reply@apple.com does not designate 93.90.22.67 as permitted sender) client-ip=93.90.22.67;
Authentication-Results: mx.google.com;spf=softfail (google.com: domain of transitioning no_reply@apple.com does not designate 93.90.22.67 as permitted sender) smtp.mail=no_reply@apple.com;dmarc=fail (p=NONE dis=NONE) header.from=apple.com

O endereço IP tem origem em Espanha (http://www.ip-adress.com/ip_tracer/93.90.22.67) e, o próprio endereço no qual a vítima é reencaminhada, também tem algumas referências em língua espanhola.

O link que acompanha o email fraudulento, e que posteriormente encaminha para a página de phishing, não é bloqueado por nenhum antivírus comum (apenas pelo WebSense).

iforgot-idapple-login-pt.slyip.net/Carregando-de-verificacao/ reencaminha para iforgot-idapple.com/.aplication.store.pt/store/cuenta/verificacao/3D/
ccfacf3e5f5481c25cda61dd731bbece/4f4fd9b2e3be5fd1fbe103d7b108d0e27cf5b7eee81860992d1b36d4/
default.html?key=4f4fd9b2e3be5fd1fbe103d7b108d0e27cf5b7eee81860992d1b36d48ad8e045f&language=IT-IT

apple_phishing2

De referir a utilização do serviço de DNS dinâmico gratuito DtDNS  para a atribuição de um hostname, neste caso iforgot-idapple-login-pt.slyip.net

O domínio iforgot-idapple.com foi registado no site nominalia.com em 9 de Janeiro de 2014 e está registado num nome italiano mas com origem nos nuetros hermanos.

O endereço de phishing, à imagem do site português da Apple, requisita diversos dados à vitima. Entre os quais os dados do cartão de crédito, informações pessoais e a password do email (isto é o que chamo ir directo ao assunto). Após o preenchimento destes campos, toda a informação é encaminhada para o utilizador malicioso e posteriormente utilizada para roubo de informação confidencial e financeira.

De referir que o código fonte do site de phishing está ofuscado mas podem consultar o código aqui – http://pastebin.com/HqjmLNKe.

Se por acaso preencheu os dados do site de phishing que acompanha este email fraudulento, deverá contactar rapidamente a entidade bancária do seu cartão de crédito e trocar a sua password de email (ou outras contas associadas com esta password).

Páginas falsas da Apple no Facebook oferecem iPhone 4S

Páginas falsas da Apple no Facebook oferecem iPhone 4s

Tenho reparado que muitos portugueses estão a partilhar um esquema que oferece iPhone 4S gratuitos. As páginas utilizam o nome da empresa Apple e não são oficiais.

O objectivo é angariar gostos e tornar estes esquemas fraudulentos virais.

A situação podia ser mais perigosa se estas páginas falsas partilhassem endereços com malware. Os utilizadores poderiam pensar que vindo da Apple seria credível mas é preciso ter atenção nestes esquemas fraudulentos.

Até à data deste artigo as páginas que tive conhecimento foram:

– https://www.facebook.com/R.SocialApple (9.630 gostos)
– https://www.facebook.com/AppleIncPt (13.294 gostos)
– https://www.facebook.com/iPhoneSorteios (4.325 gostos)

Se por gostam destas páginas é aconselhável “não gostar”.

Fica o alerta e a dica para partilharem este artigo aos vossos amigos.

Nota:
Fica o agradecimento ao Tito de Morais por ter contribuido para este artigo com informação adicional.

Update:

Apenas uma página – https://www.facebook.com/AppleIncPt – ainda está no ativo e com um novo passatempo. O sorteio de um MacBook Pro 13″ para quem partilhar uma foto (já com 4,321 partilhas). A mesma foto está a ser utilizada em centenas de websites.

Tenham atenção a tudo o que partilham e que concorrem.

Anonymous comprometeram 12 milhões de registos da Apple via FBI?

Anonymous comprometeram 12 milhões de registos da Apple via FBI?

O grupo Anonymous acabou de anunciar que conseguir obter 12 milhões de registos de dispositivos Apple, incluindo nomes de utilizadores, nomes dos dispositos, números de telemóvel e moradas. A fonte? Um agente do FBI.
Fiz uma pequena pesquisa sobre este assunto e parece que os Anonymous utilizaram uma antiga falha no Java (damn you Java) – CVE-2012-0507. Esta falha estava a ser bastante explorada por este grupo para obter informações confidenciais.

O grupo menciou que o ataque ao FBI foi na segunda semana de março de 2012, ou seja, entra dentro do timeline da utilização desta falha.

Segundo o Errata Security, tudo PODE TER começado com a intercepção da chamada de conferência do FBI. 40 agentes reunidos de várias zonas do mundo. Os Anonymous conseguiram interceptar o e-mail enviado para todos os agentes, disponibilizando o código acesso. Posteriormente enviaram um email diretamente para os participantes da conferência com um link para o site que alojava um aplicação Java com o exploit acima referido.

Também no final de março, o mesmo exploit – CVE-2012-0507 – foi integrado no Blackhole o que pode significar que algum agente pode ter sido infetado com este exploit kit. De referir que o Blackhole tinha diversos exploits Java no seu arsenal. Muitos deles sem correcções disponíveis.

No blogue da Sophos, é referido que o grupo pretendia envergonhar a equipa do FBI ao invés de prejudicar os utilizadores da Apple. Na minha opinião, não me parece o caso porque a informação foi publicada e, provavelmente, milhões de utilizadores viram os seus dados públicos.

Fica por apurar a veracidade da informação disponibilizada pelos Anonymous.

Por enquanto podem verificar no TNW se o vosso UDID foi comprometido.

Sub-dominio da Apple foi comprometido

O site edseminars.apple.com foi comprometido por um utilizador intitulado de HodLuM.
O deface foi demonstrado com o upload de uma imagem que incluía algumas mensagens que criticavam a Apple, as actividades de vários defacers e os grupos Anonymous e LulzSec (irónico?).