Falha expõe dados gravados no iPhone

O aparelho mais querido dos últimos tempos pelos fanáticos de tecnologia está em cheque. Falha crítica de segurança deixa a informação nele contida completamente disponível para que sejam copiadas livremente.

O aparelho

O iPhone é sem dúvida nenhuma um marco na história das comunicações pessoais. Inovador em tudo o que faz, e principalmente como faz, se tornou uma estrela e campeão de vendas. Uma busca simples no youtube com a palavra iPhone gera uma relação incrível de contribuições de vídeo. Provavelmente este é 1 dos 10 mais desejados objetos techies. Fotos, vídeos, mensagens, documentos, planilhas, programas, e muito mais tornam este smartphone muito mais um excelente computador que veio com um telefone de brinde.

A falha de segurança

Como quase sempre ocorre, para ser bem aceito pelo público, tem que ter um esmero nas funções, na facilidade de uso, na interface, etc. E quase sempre que isto é feito, o quesito segurança sofre, em geral, recebendo menos atenção.

A Forbes anunciou em 28 de julho um perigo que ronda todos os iPhones do mundo: a perda de todas as informações contidas neste iPhone. Se o proprietário do aparelho receber uma mensagem contendo um único quadradinho, pode ter quase certeza que alguém já teve algum acesso completo ao aparelho. Os especialistas em segurança Charlie Miller e Collin Mulliner afirmam que irão demonstrar isto na Black Hat cybersecurity conference em Las Vegas. Esta falha daria ao atacante a possibilidade de discar usando o aparelho invadido, visitar sites, ativar a câmera e microfone, e usar o aparelho invadido para tomar o controle de mais aparelhos, podendo iniciar um ataque em massa.

A posição da Apple

O pior é que mais uma vez a velha história se repete: algum pesquisador descobre a falha, avisa o fabricante, e o fabricante nada anuncia em relação a isso. Ou não liga para o aviso, ou não consegue resolver o problema, mas obviamente não assumiria esta inaptidão. Os pesquisadores afirmam ter avisado a Apple a mais de um mês mas a Apple não liberou até o momento nenhuma correção. A revista Forbes informa também ter ligado diversas vezes acerca do assunto, mas não recebeu nenhum parecer. Infelizmente, a Apple aparenta fugir da mídia neste momento importante.

Neste exato instante, Marcelo Todaro me informa por email que a solução para este problema já foi até anunciado e que estará disponível pelo iTunes, conforme anúncio no site do Terra. Uma olhada superficial na página americana do iPhone não informa nada ainda. O site indicado por Marcelo Todaro diz que um porta-voz de uma operadora de telefonia celular da Grã-Bretanha informou que a atualização será divulgada através do iTunes. Ou seja, a afirmação não veio da Apple.

O ponto crítico

Miller e Mulliner avisam que durante a conferência irão anunciar MAIS falhas do sistema. Eles informam que o Windows Mobile também está sujeito a falha semelhante com mensagens SMS, assim como também o Android da Google. Entretanto, a Google informa já ter corrigido esta falha.

O pior cenário disto tudo é que o iPhone se popularizou, conquistou o mercado doméstico e profissional. Hoje, diversas empresas fazem uso massivo do aparelho, inclusive para transporte de informações vitais para negócios. Agora, para os atacantes, basta encontrar um iPhone na mão de um aparente executivo, e ele estará indefeso.

Infelizmente, a informação que a Apple vai disponibilizar a correção veio um pouco tarde demais. Jonathan Zdziarski já havia demonstrado como ele consegui transferir informações de um iPhone em 45 minutos, e mesmo assim nenhum parecer foi publicado, ao menos que eu tenha localizado. Zdziarsky afirma também que é tão fácil conseguir informações privadas do usuário usando o iPhone 3GS como era em suas versões anteriores, que não tinham encriptação de dados. Fiz um rápido levantamento de vulnerabilidades relacionadas ao iPhone, e encontrei uma lista generosa, tanto diretamente relacionadas ao sistema, como relacionadas a aplicações que funcionam no sistema.

Ainda extraído do MacMais, O The Register disse que a Apple mostrou sua inabilidade em implementar uma proteção criptográfica decente, mas reiterou que são poucos os sistemas de telefonia celular que se preocupam com isso. A exceção são os Blackberry. No mesmo site há dois vídeos interessantes.

É possível que a imagem absurdamente negativa que ia ser gerada na Black Hat cybersecurity conference tenha acelerado pela Apple a liberação desta correção.

Lembrete

Gostaria de lembrar a todos os que lêem este blog que é muito importante a opinião coletada na pequena pesquisa de utilidade logo a seguir, como pelos comentários, que são sempre bem-vindos.

II EIC - IF-AL Campus Palmeiras dos Índios

Seguindo uma linha de revalorização da educação, o antigo CEFET, agora IF-AL no Campus Palmeiras dos Índios, anuncia o II EIC (Encontro de iniciação Científica). As inscrições e demais informações estão disponíveis no site do evento.

O próximo parágrafo, o qual fala sobre o evento anterior, foi extraído do próprio site:

O evento inicial foi um sucesso com números significativos, a saber: mais de 400 participantes e 72 trabalhos científicos apresentados nas mais diversas áreas de conhecimento. Participaram efetivamente alunos do IF-AL, UFAL, UNEAL, FAL, CESMAC e outras instituições de ensino superior e médio do agreste alagoano.
Esse ano pretende-se superar esses números estendendo o convite para a capital.

Vamos torcer para que mais e mais eventos deste tipo venham a ocorrer, e especialmente em regiões costumeiramente tidas como pouco expressivas ou promissoras. Normalmente é o que se diz do interior do nosso Nordeste.

CDTC - Centro de Difusão de Tecnologia e Conhecimento

O governo federal disponibiliza cursos gratuitos pela internet desde 2004, através do CDTC (Centro de Difusão de Tecnologia e Conhecimento). Há diversos temas para os que querem se iniciar em informática, como programação, sistema operacional, banco de dados, etc. Para os que sempre reclamam que existem dificuldades intransponíveis para aprender, esta é uma ação do governo Lula para democratizar o acesso à tecnologia, que mostra exatamente o contrário.

VirtualBox: Cada vez mais agressivo

Entre as top buzzwords do momento, com certeza a virtualização está entre elas.

Definição

Para melhor explicar, vou tomar emprestada as definições da Wikipedia:

Ao invés de ser uma máquina real, isto é, um computador real, feito de hardware e executando um sistema operacional específico, uma máquina virtual é um computador fictício criado por um programa de simulação. Sua memória, processador e outros recursos são virtualizados. A virtualização é a interposição do software (máquina virtual) em várias camadas do sistema. É uma forma de dividir os recursos de um computador em múltiplos ambientes de execução.

Pessoalmente, uso virtualização em pesquisas minhas, onde eu não preciso reinstalar um software ou o sistema operacional inteiro.

Mercado

Existem diversos nomes no mercado, mas o líder inquestionável é o VMWare. Ainda há outros, como o Zen e o Virtualbox. Para meus propósitos pessoais, usei o VMWare durante um tempo, pois a versão server é gratuita. Experimentei (por conta própria) o VirtualBox na versão 2.x, mas tive problemas e voltei ao anterior. Mas desta vez, aparentemente o VirtualBox superou (para minhas necessidades) o VMWare. Cláudio Henrique usa frequentemente o VirtualBox em suas lutas costumeiras.

Detalhes

O tamanho do instalador é impressionantemente menor, sendo inferior a 100M contra mais de 500M do VMWare Server.

As opções de configuração oferecidas pela interface são muito simples, sendo facilmente absorvidas

O desempenho é muito maior, notadamente no tempo consumido para instalação do sistema operacional na máquina virtual.

Ambos os sistemas contemplam uma grande quantidade de sistemas operacionais.

Ambos os sistemas estão disponíveis para Linux e Windows. Virtualbox também está disponível para Mac OS e para OpenSolaris.

Uma lista bem extensa de softwares de virtualização está disponível na Wikipedia.

Webinar

Depois de tudo isso, é preciso anunciar que a Sun está tremendamente aceptiva à comunidade ao redor deste fantástico produto (IMHO). Tanto que ela acaba de anunciar um "free VirtualBox Live Webinar". Para se inscrever, acesse a página de inscrição.

Voltando à ativa

Muita coisa aconteceu, e fui obrigado a deixar um pouco o blog. Mas estou retornando, e neste breve retorno, quero anunciar o seguinte, em Alagoas:

Congresso Alagoano de TI - COALTI

Este congresso trará novidades sobre TI, de forma a não ser parcial para um ou outro lado, mas apresentando assuntos importantes de diversas áreas.

A inscrição é de R$ 50,00 e deve ser feita diretamente no site do congresso.

IV Encontro de Python de Alagoas

“O GruPy-AL convida a todos para o IV Encontro de Python de Alagoas que ocorrerá no dia 30 de Julho a partir das 19:00 no IFAL (antigo CEFET-AL). A participação no encontro é gratuita, sendo o objetivo do mesmo disseminar a linguagem de programação Python no estado de Alagoas assim como as diversas tecnologias envolvidas."

Também em Alagoas acontece eventos de TI, e não poucos, nem de pouca qualidade.