Segurança da (sua) Informação é o Maior Ativo

Posts Tagged ‘Celular’

75% dos aplicativos têm falhas críticas que levam risco aos dados dos usuários

Posted by maiorativo em 7 de outubro de 2013

Imagem O estudo do N-Stalker Labs, laboratório de investigação da N-Stalker, especializada em segurança de aplicações web, analisou mais de mil aplicativos web, em organizações de diferentes segmentos da indústria, sendo 50% US/Canada, 30% Europa e 20% de outros países, em 2012 e 2013.

Os resultados são preocupantes: foram encontradas, em média, 40 vulnerabilidades por aplicativo; 75% dos aplicativos possuíam falhas críticas e 50% tinham pelo menos uma falha no padrão aberto e disponível para desenvolvedores, o Open Web Application Security Project – OWASP. A maior incidência de vulnerabilidades foi encontrada no comércio eletrônico.

Segundo o pesquisador e CTO da N-Stalker, Thiago Zaninotti, que coordenou a pesquisa, em todas as aplicações existiam oportunidade de melhorias na segurança. Mesmo assim, 60% das organizações só realizaram testes depois de incidentes e, destas, 20% já sabiam dos problemas antes dos testes. “Percebemos que há problemas em toda a fase de desenvolvimento dos aplicativos web,” comenta.

As três principais vulnerabilidades encontradas nos apps foram: cross-site scripting ou XSS (refletido e baseado na especificação DOM ou modelo de objetos de documentos, da W3C que padroniza a www); exposição de informações sensíveis e controle de acesso insuficiente. Zaninotti explica que as vulnerabilidades XSS ativam ataques maliciosos ao permitir a manipulação de páginas web e a injeção de instruções de script que são executadas no computador do próprio usuário.

“A exploração de vulnerabilidade cross-site (XSS) permite que atacantes executem scripts no navegador de usuários para obter dados confidenciais, sequestrar sessões, redirecioná-los para sites maliciosos etc.”, explica e acrescenta: “a segunda vulnerabilidade mais encontrada em apps expõe informações sensíveis como dados de cartões de crédito e de credenciais de autenticação, o que permite roubar a identidade de usuários, fraudar cartões de crédito, entre outros crimes. Já o controle de acesso insuficiente pode facilitar o acesso a perfis de usuários sem a necessidade de credenciais ou até mesmo a funcionalidades administrativas dos aplicativos, permitindo o roubo de dados sensíveis ou confidenciais”, finaliza o pesquisador.

Tribuna da Bahia

Posted in Uncategorized | Etiquetado: , , , , | Leave a Comment »

SMS da morte

Posted by maiorativo em 18 de janeiro de 2011

10/01/2011

Usando apenas o envio de mensagens SMS, um grupo de pesquisadores conseguiu desligar aparelhos celulares e desconectá-los da rede.

Os aparelhos em questão não se tratavam apenas de smartphones, comprovando que qualquer celular estaria vulnerável a ataques.

Além das mensagens de texto, o protocolo do SMS pode ser utilizado para transmitir pequenos programas binários que são executados no aparelho. Essa técnica é utilizada pelas operadoras, que usam estes arquivos para modificar configurações de um aparelho remotamente.



A criação do “SMS da morte” foi apresentada pelos pesquisadores Collin Mulliner e Nico Golde, da Universidade Tecnológica de Berlim durante uma conferência.

Eles desenvolveram uma pequena rede de celular, utilizando software de código aberto para criar uma estação base para se comunicar com os celulares. Para evitar que suas mensagens maliciosas fossem transmitidas sem colocar outros aparelhos em risco, eles bloquearam os sinais de rádio de sua rede de comunicação.

Eles utilizaram o mesmo canal de comunicação usado pelas operadoras para disseminar o SMS malicioso e atacaram aparelhos Nokia, LG, Samsung, Motorola, Sony Ericsson e Micromax (popular fabricante indiano).

Os pesquisadores desenvolveram então um SMS malicioso para cada tipo de aparelho estudado. As mensagens afetaram os telefones sem que houvesse conhecimento por parte do usuário.

Embora este tipo de ataque necessite que o criminoso conheça o tipo de aparelho usado pela vítima, Mulliner afirma que os ataques poderiam facilmente atingir um grande número de usuários ao enviar cinco SMS (visando as cinco maiores fabricantes) para cada dispositivo de uma rede específica.

Mulliner também lembra que hoje já existem serviços de envio SMS pela internet, o que pode baratear o envio massivo de mensagens maliciosas para qualquer parte do mundo.

Fonte: INFO

Posted in crime, Mobile, Segurança | Etiquetado: , , | Leave a Comment »

 
%d blogueiros gostam disto: