<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">Voces viram isso?</div><div class=""><br class=""></div><div class="">parece ser grave, pelo que entendi o app consegue copiar a senha do keychain do iCloud ou outro programa para a do app malicioso.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">Caio</div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><div class="cb-entry-header cb-style-off" style="box-sizing: border-box; margin-bottom: 20px; color: rgb(113, 113, 113); font-family: 'Titillium Web', sans-serif; font-size: 14px; line-height: 21px;"><span class="cb-title-fi" style="box-sizing: border-box;"><h1 class="entry-title cb-entry-title cb-single-title" itemprop="headline" style="box-sizing: border-box; font-size: 29px; margin: 0px 0px 15px; line-height: 39px;">Vulnerabilidade no OS X e no iOS permite que apps maliciosos roubem senhas e outras informações</h1><div class="cb-byline" style="box-sizing: border-box; font-size: 13px; color: rgb(153, 153, 153); margin: 0px 0px 5px;"><div class="cb-author cb-byline-element" style="box-sizing: border-box; display: inline-block; margin: 0px 10px 5px 0px;"><span class="fa fa-user" style="box-sizing: border-box; display: inline-block; line-height: 1; font-family: FontAwesome; font-size: inherit; text-rendering: auto; -webkit-font-smoothing: antialiased; margin-right: 5px; color: rgb(179, 179, 179);"></span> <a href="https://macmagazine.com.br/author/eduardo/" style="box-sizing: border-box; color: rgb(153, 153, 153); text-decoration: none;" class="">Eduardo Marques</a></div> <div class="cb-date cb-byline-element" style="box-sizing: border-box; display: inline-block; margin: 0px 10px 5px 0px;"><span class="fa fa-clock-o" style="box-sizing: border-box; display: inline-block; line-height: 1; font-family: FontAwesome; font-size: inherit; text-rendering: auto; -webkit-font-smoothing: antialiased; margin-right: 5px; color: rgb(179, 179, 179);"></span> <time class="updated" datetime="2015-06-17 12:38" style="box-sizing: border-box;">17/06/2015 às 12:38</time></div> <div class="cb-comments cb-byline-element" style="box-sizing: border-box; display: inline-block; margin: 0px 10px 5px 0px;"><span style="box-sizing: border-box;" class=""><span class="fa fa-comment" style="box-sizing: border-box; display: inline-block; line-height: 1; font-family: FontAwesome; font-size: inherit; text-rendering: auto; -webkit-font-smoothing: antialiased; margin-right: 5px; color: rgb(179, 179, 179);"></span><a href="https://macmagazine.com.br/2015/06/17/vulnerabilidade-no-os-x-e-no-ios-permite-que-apps-maliciosos-roubem-senhas-e-outras-informacoes/#disqus_thread" style="box-sizing: border-box; color: rgb(153, 153, 153); text-decoration: none;" class="">39</a></span></div></div></span></div><section class="entry-content clearfix" itemprop="articleBody" style="box-sizing: border-box; zoom: 1; margin: 0px 0px 30px; font-size: 16px; color: rgb(113, 113, 113); font-family: 'Titillium Web', sans-serif;"><p style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto;" class="">Seis pesquisadores da Universidade de Indiana, da Georgia Tech e da Universidade de Pequim publicaram <a href="https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view" rel="external nofollow" title="" class="ext-link ext-icon-6" data-wpel-target="_blank" style="box-sizing: border-box; color: rgb(87, 153, 207); text-decoration: none; background-image: url(https://macmagazine.com.br/wp-content/plugins/wp-external-links/images/ext-icons/ext-icon-6.png); padding-right: 15px; background-position: 100% 50%; background-repeat: no-repeat no-repeat;">um extenso documento</a> (13 páginas) que revela falhas de segurança no OS X e no iOS as quais permitem que apps maliciosos aprovados pela equipe da App Store — e que rodam <a href="https://macmagazine.com.br/2012/03/07/seguranca-no-mundo-apple-sandboxing/" style="box-sizing: border-box; color: rgb(87, 153, 207); text-decoration: none;" class="">em modo <em style="box-sizing: border-box;" class="">sandbox</em></a> — tenham acesso não-autorizado a informações sensíveis armazenadas em outros apps.</p><div style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto;" class=""><br class="webkit-block-placeholder"></div><div class="cb-video-frame" style="box-sizing: border-box; margin: 20px 0px;"><div class="fluid-width-video-wrapper" style="box-sizing: border-box; width: 750px; position: relative; padding: 422px 0px 0px;"><iframe src="https://www.youtube.com/embed/S1tDqSQDngE?feature=oembed&wmode=opaque" frameborder="0" allowfullscreen="" id="fitvid703732" style="box-sizing: border-box; width: 750px; max-width: 100%; position: absolute; top: 0px; left: 0px; height: 422px;" class=""></iframe></div></div><div class=""><br class="webkit-block-placeholder"></div><p style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto;" class=""><a href="http://www.theregister.co.uk/2015/06/17/apple_hosed_boffins_drop_0day_mac_ios_research_blitzkrieg/" rel="external nofollow" title="" class="ext-link ext-icon-6" data-wpel-target="_blank" style="box-sizing: border-box; color: rgb(87, 153, 207); text-decoration: none; background-image: url(https://macmagazine.com.br/wp-content/plugins/wp-external-links/images/ext-icons/ext-icon-6.png); padding-right: 15px; background-position: 100% 50%; background-repeat: no-repeat no-repeat;">De acordo com o <em style="box-sizing: border-box;" class="">The Register</em></a>, o grupo conseguiu enviar um aplicativo para a App Store e passar pelo processo de aprovação sem levantar nenhuma suspeita que poderia invadir o Acesso às Chaves (<em style="box-sizing: border-box;" class="">Keychain Access</em>) para roubar senhas de serviços/apps como iCloud, Mail, <em style="box-sizing: border-box;" class="">tokens</em> de autenticações, senhas salvas pelo Google Chrome, etc.</p><div style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto;" class=""><br class="webkit-block-placeholder"></div><div class="cb-video-frame" style="box-sizing: border-box; margin: 20px 0px;"><div class="fluid-width-video-wrapper" style="box-sizing: border-box; width: 750px; position: relative; padding: 422px 0px 0px;"><iframe src="https://www.youtube.com/embed/IYZkAIIzsIo?feature=oembed&wmode=opaque" frameborder="0" allowfullscreen="" id="fitvid165413" style="box-sizing: border-box; width: 750px; max-width: 100%; position: absolute; top: 0px; left: 0px; height: 422px;" class=""></iframe></div></div><div class=""><br class="webkit-block-placeholder"></div><p style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto;" class="">A forma de comunicação para roubar essas informações varia, passando pelo <em style="box-sizing: border-box;" class="">Keychain</em> e pelo <em style="box-sizing: border-box;" class="">WebSocket</em> no OS X, e esquemas de URL (<em style="box-sizing: border-box;" class="">URL schemes</em>, tanto no OS X quanto no iOS). Desta forma, até mesmo informações armazenadas no aplicativo 1Password podem ser roubadas, mostrando que a falha é realmente grave (afinal o app tem como premissa armazenar e guardar todas as suas senhas e informações sensíveis em um único local). Além do 1Password, informações de serviços/apps como Gmail, Google Drive, Facebook, Twitter, Evernote, Pushbullet, Dropbox, WeChat, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo, Pocket e muitos outros também podem ser roubadas “facilmente”.</p><blockquote style="box-sizing: border-box; margin: 0px 112.5px 0px 37.5px; width: 637.5px; border-left-width: 3px; border-left-style: solid; border-left-color: rgb(233, 233, 233);" class=""><p style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto; font-size: 15px; color: rgb(136, 136, 136); border: 0px; padding-left: 20px;" class="">88,6% dos 1.612 [aplicativos para] Mac e 200 aplicativos para iOS foram encontrados “completamente expostos” ao ataque de acesso não-autorizado entre apps [identificado como XARA], permitindo que aplicativos maliciosos roubem dados de forma segura.</p></blockquote><div style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto;" class=""><br class="webkit-block-placeholder"></div><div class="cb-video-frame" style="box-sizing: border-box; margin: 20px 0px;"><div class="fluid-width-video-wrapper" style="box-sizing: border-box; width: 750px; position: relative; padding: 422px 0px 0px;"><iframe src="https://www.youtube.com/embed/IYZkAIIzsIo?feature=oembed&wmode=opaque" frameborder="0" allowfullscreen="" id="fitvid254048" style="box-sizing: border-box; width: 750px; max-width: 100%; position: absolute; top: 0px; left: 0px; height: 422px;" class=""></iframe></div></div><div class=""><br class="webkit-block-placeholder"></div><p style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto;" class="">Ainda de acordo com o <em style="box-sizing: border-box;" class="">The Register</em>, as falhas foram relatadas para a Apple em outubro de 2014. Eles então respeitaram o pedido da Maçã de não publicar as informações por seis meses. Contudo, como até agora a empresa não corrigiu o problema e não falou mais nada sobre o assunto, os pesquisadores estão expondo a vulnerabilidade publicamente.</p><p style="box-sizing: border-box; margin: 0px 0px 1em; -webkit-hyphens: auto;" class="">Vamos torcer para que tudo seja corrigido o quanto antes!</p></section></div></body></html>