Companhia afirmou que já compartilhou patches para a brecha com fabricantes de aparelhos do sistema operacional
Uma aplicação que permite usuários ganharem total controle em aparelhos Android está levando a vantagem de uma falha de segurança no núcleo Kernel Linux que se manteve sem reparo no Android desde que foi descoberto há dois anos.
O bug foi originalmente consertado no núcleo Linux em abril de 2014, mas não foi sinalizado como uma vulnerabilidade até fevereiro de 2015 quando suas implicações de segurança foram entendidas e recebidas com o identificador CVE-2015-1805. Mesmo assim, o reparo não foi direcionado ao Android, que é baseado no Kernel Linux.
Foi somente no dia 19 de fevereiro que especialistas de segurança da C0RE Team notificaram o Google de que a vulnerabilidade poderia ser explorada no Android com o objetivo de obter acesso privilegiado.
O Google havia começado a trabalhar em um patch que foi programado para ser incluído em uma atualização mensal futura, mas no dia 15 de março, pesquisadores da empresa de segurança Zimperium alertaram a companhia que esta vulnerabilidade já estava sendo usada para ganhar acesso root (à raiz do sistema).
Rooting se refere ao processo de remover restrições de segurança geralmente forçadas no Android para aplicações de terceiros e dando total controle sobre o aparelho.
O método é usado por entusiastas do sistema operacional para destravar a funcionalidade que normalmente não fica disponível em seus aparelhos, mas que também podem ser exploradas por malware.
Por isso, ferramentas de rooting não são permitidas no Google Play e sua instalação é detectada e bloqueada localmente através do scanner Verify Apps, uma built-in do Android.
“O Google confirmou a existência de uma aplicação rooting que abusa dessa vulnerabilidade no Nexus 5 e Nexus 6 para fornecer ao usuário do dispositivo privilégios ao sistema de raiz”, disse o Google em comunicado de segurança.
Enquanto essa ferramenta de rooting particularmente não é classificada como maliciosa, há o perigo de que cibercriminosos possam explorar a mesma vulnerabilidade para espalhar malware.
O Google já compartilhou patches para a brecha com fabricantes de aparelhos e também os publicou no Android Open Source Project (AOSP) para as versões 3.4, 3.10 e 3.14 do Android kernel. Versões acima da 3.18 não estão disponíveis.
A companhia planeja incluir os patches mensalmente a partir de abril para seus aparelhos Nexus.? Enquanto isso, usuários são aconselhados de baixarem aplicativos apenas da Google Play e habilitar o Verify Apps. Dispositivos que estão listados com o patch de segurança de 18 de março deste ano já estão protegidos.
Plataforma habilitada por uma série de sensores tem como objetivo dar a smartphones e tablets uma noção de espaço
O Projeto Tango é uma plataforma do Google que tem como objetivo dar a smartphones e tablets uma noção de espaço. Atualmente, o seu telefone não consegue fazer isso. Ainda. Mas é provável que nessa mesma época no ano que vem, ele conseguirá.
E eu amo momentos como esse - uma tecnologia fundamental está pronta para mudar o que pessoas fazem todos os dias e como elas fazem, mas ainda o público geral se mantém alheio sobre o que está por vir. Mas tal condição está prestes a mudar.
A CES, feira internacional de eletrônicos que acontece essa semana em Las Vegas, trará maior consciência sobre o Projeto Tango. E eu detalho abaixo o que acontecerá nessa semana. Mas antes, vamos entender melhor o que é o tal projeto.
De onde vem o Tango
Direcionado pelo ex-funcionário do Microsoft Kinect, Johnny Lee, o projeto Tango está há anos sendo desenvolvido. Na verdade, o projeto é um exemplo típico de como fazer a transição de uma ideia para o mainstream do consumidor.
O Tango é parte do grupo do Google - Advanced Technology and Projects (ATAP), que é o setor de Pesquisa & Desenvolvimento que o Google comprou como parte da aquisição da Motorola - e não inclui como parte da venda da Motorola para Lenovo.
O ATAP é comandado pela ex-chefe do DARPA, Regina Dugan, uma mulher com forte experiência ao trazer ideias, aparentemente distantes, para o uso diário. O grupo está trabalhando em projetos futuristas como tecidos inteligentes de baixo custo (Projeto Jacquard), autenticação automática sem senhas (Project Abacus) e o telefone modular (Project Ara) e outros.
O Google direcionou os esforços do Tango ao criar protótipos de dispositivos há dois anos: o telefone Peanut e o tablet Yellowstone. Ambos foram criados para demonstrações e desenvolvedores.
No verão passado, as gigantes em chips Qualcomm e Intel anunciaram dispositivos referência para o Projeto Tango com foco em desenvolvedores para programarem usando seus respectivos chipsets.
Tecnologia Tango e o que ela faz
O projeto funciona através da combinação de entradas a partir de uma variedade de sensores, processando-os em informação útil de uma forma muito, muito rápida.
Estes sensores incluem uma espécie de emissor infravermelho de radar e câmera infravermelha, que capta a luz refletida enquanto uma câmera grande angular acrescenta pistas visuais sobre a localização do contexto.
O sistema de Tango também depende de acelerômetros, giroscópios extremamente precisos e barómetros. O Google oferece três APIs - uma para os desenvolvedores de jogos, outra para usar Java para integrar o Tango em aplicativos, e outra para apps que têm o seu próprio motor de visualização.
A gigante já fez todo o trabalho duro para permitir que a plataforma trabalhe da maneira que foi criada. Os desenvolvedores e fabricantes de hardware precisam apenas apoiá-la. E eles estão.
Tudo começa esta semana
A Lenovo deve anunciar na próxima quinta-feira (7) durante a CES uma nova linha de produtos baseados na tecnologia Tango. Isso é interessante, em parte, porque a Lenovo possui agora a Motorola, que - de certa forma - é a empresa que iniciou o projeto Tango.
É possível que as equipes de engenharia para telefone e tablet da Motorola tenham trabalhado na integração do Tango por anos. Até então, a lista de empresas que trabalham em projetos de referência ou produtos comerciais baseados na tecnologia Tango incluem as mencionadas Qualcomm e Intel, bem como Nvidia e LG. É razoável supor que o Google esteja trabalhando em produtos Tango, bem como, possivelmente, dispositivos Nexus. Eu acredito que todas essas empresas anunciarão produtos movidos pelo Tango ainda neste ano.
Para que serve esse tal Tango, afinal?
De muitas formas, o Tango melhora muitas das habilidades fundamentais que já existem em smartphones. O Projeto permite que um dispositivo móvel não só mapeie espaços interiores - descobrir onde os andares, paredes, tetos e móveis estão -, mas também conhecer a localização do dispositivo dentro desse espaço e sua orientação.
Pense no Tango como uma plataforma que transforma um smartphone tanto em um dispositivo Kinect quanto num controle remoto Wii, ambos trabalhando ao mesmo tempo. (Isso sugere imediatamente o uso de seu próprio smartphone como um periférico universal para jogos de vídeo console.)
Os sensores em seu smartphone já podem detectar orientação com base no movimento. Mas estes estão sujeitos à "deriva", porque são estimativas com base no movimento do próprio telefone.
O Tango consegue, constantemente, orientar o telefone para seus arredores reais com maior precisão. Outra coisa, beacons podem rastrear a localização interior - aproximadamente. O telefone pode dizer o quão longe é a partir de um beacon em um local conhecido.
O projeto atualizada a capacidade não apenas fornecendo a localização interior, onde ninguém se preocupou em colocar um beacon, mas também na localização interior mais precisa. Isso significa que ele pode “ver” a porta, as escadas e o vaso de flores e descobrir onde ele está dentro de um edifício. Então, se você fosse "marcar" um ponto dentro de uma sala dentro de um aplicativo para ser encontrado por outra pessoa, a próxima pessoa poderia não só identificar a área geral, mas o local exato.
Se um aplicativo de uma loja quiser fornecer informações sobre produtos em uma prateleira, ele pode fornecê-las para o produto diretamente em sua frente, e não para o produto um palmo a sua direita.
Um smartphone ou tablet habilitado com Tango poderia substituir uma fita métrica. Você poderia medir o tamanho de uma tela de TV, tocando em um canto, depois tocando no canto diagonal e, em seguida, obter o tamanho da tela. Ou você pode medir o tamanho de qualquer pessoa - ou qualquer coisa. Ou você poderia usá-lo em um drone para certificar-se que ele nunca baterá em árvores, edifícios ou pessoas.
A gama de aplicações do Tango é de tirar o fôlego. Para começar, ele possibilita a mistura de realidade mista e realidade virtual via Google Cardboard. Imagine um jogo de VR onde as paredes do castelo ou árvores de uma floresta são, na verdade, as paredes da sua casa e móveis. Então, andando ao redor de objetos virtuais significa que você anda em torno de objetos reais.
Você pode verificar a forma como um móvel ficaria em sua casa antes de comprá-lo. Você também pode imaginar um aplicativo para fotos que utiliza a percepção de profundidade do Tango e medição de distância para simular profundidade de campo ao tirar fotos.
Estas são apenas algumas aplicações já imaginadas. Uma vez que a tecnologia for construída em um grande número de dispositivos, é imprevisível o que a imaginação de inúmeros desenvolvedores de aplicativos poderá proporcionar.
Espera-se que em 2020, 75% dos carros lançados mundialmente ofereçam dispositivos que permitam conexão com a internet, trazendo conforto e entretenimento, mas também aumentando o risco com a segurança e a privacidad
Os fabricantes de automóveis estão preocupados em garantir uma maior segurança aos passageiros e prevenir o potencial de ataques cibernéticos dos carros "conectados".
Segundo um relatório divulgado em maio pelo BI Inteligence, em 2020, 75% dos carros lançados mundialmente irão permitir que as pessoas compartilhem músicas, procurem por filmes, acompanhem em tempo real o trânsito e as condições climáticas, e ofereçam ao motorista diversas opções de suporte como, por exemplo, o auto estacionamento.
Os pesquisadores americanos dizem que o mercado de carros conectados irá crescer anualmente cerca de 45% pelos próximos cinco anos, um incremento 10% maior que o do próprio mercado de automóveis. Segundo o BI Intelligence, dos 92 milhões de carros previstos para serem entregues em 2020, três quartos devem oferecer hardwares de conexão com a Internet.
No entanto, conforme a conexão com a Internet tornar-se mais comum nos módulos de controle dos veículos e do lançamento de um número maior de dispositivos usados em automóveis, o risco com a segurança e privacidade das informações também aumentará.
Definindo o problema
Recentes estudos da Universidade da Califórnia e da Universidade de Washington revelam que quase todos os sistemas de controle em um carro moderno podem ser comprometidos e controlados remotamente. Isso porque a maioria dos sistemas de segurança foi desenvolvida antes do surgimento das opções de conectividade existentes atualmente.
Hoje, um mercado diversificado de aplicativos de “entretenimento tecnológico” está sendo projetado especificamente para carros como, por exemplo, diagnósticos digitais, serviço de monitoramento para novos motoristas, sistemas de navegação e outros serviços pensados para toda essa nova linha de carros conectados.
Segundo a consultoria McKinsey, as vendas desses automóveis devem crescer para $220 bilhões em 2020, bem acima dos $39 bilhões gerados em 2014.
Os carros novos já sairão das fábricas com pontos de acesso wireless, sistemas de telemática, conectividade via Wi-Fi e Bluetooth, além de sistemas de scanner. À medida que os aplicativos de smartphones forem integrados aos carros, como, por exemplo, o CarPlay da Apple, oportunidades para as ações dos hackers também crescerão exponencialmente.
No entanto, poucos questionam que a rápida expansão da tecnologia de conecção dos carros já ultrapassou a capacidade dos fabricantes de automóveis em proteger os consumidores contra os ciberataques.
Em fevereiro de 2015, o senador americano Edward Markey escreveu um artigo sobre o tema. No texto, o senador detalha que encontrou montadoras que não tinham conhecimento e não conseguiam identificar a escala atual do problema, simplesmente porque não mantinham ou compartilhavam registros de possíveis invasões.
Além disso, verificou-se que quase todos os fabricantes de equipamentos originais (OEM), fornecedores de componentes para carros conectados, eram incapazes de responder aos ataques em tempo real, embora alguns tivessem sistemas de bordo que possibilitavam o registro das informações sobre as violações para uma recuperação posterior.
A conclusão do artigo foi que todas as empresas envolvidas com a indústria automobilística terão que desenvolver, rapidamente, a capacidade de se defender contra-ataques cibernéticos.
Definindo os riscos
A maioria dos especialistas em segurança acredita que a dimensão dos riscos emergentes só será plenamente compreendida quando descobrirmos a motivação dos ciberterroristas. O que os criminosos têm a ganhar?
Infelizmente, parece haver muitas razões para se conectar a um carro ligado, algumas das quais se estendem além da motivação financeira usual para ataques a computadores e smartphones pessoais. Entre as razões já levantadas estão:
Lucro ou ganho financeiro
· Roubo de propriedade, incluindo do próprio automóvel
· Conquistar uma vantagem comercial, como, por exemplo, desativar o modelo auto-maker da empresa rival para causar dano de marca
· Espionagem industrial, ou roubo de propriedade intelectual dos softwares
Crime organizado, terrorismo e vingança pessoal
· Engano ou neutralização do software e/ou hardware de restrições
· Violação de privacidade, como rastreamento ou perseguição de pessoas
· Causar danos a um motorista, passageiro, pedestre ou pessoas que estão na estrada
· Danos de infraestrutura: desabilitar e/ou controlar uma frota de carros como forma de interromper ou mesmo parar o transporte de uma cidade inteira
Qualquer incidente pode afetar as metas financeiras de empresas, o aumento de indenizações por responsabilidade civil, ou ainda impactar negativamente o valor da marca de uma montadora ou de fornecedores de componentes eletrônicos. Por estas razões, alguns setores da indústria automobilística dos Estados Unidos estão considerando os recursos possíveis para medir o risco e construir estratégias adequadas de defesa à ciberataques.
Resposta da Engenharia
Uma extensa reengenharia de arquitetura de sistemas para o suporte cibersegurança - incluindo o desenvolvimento de hardwares e softwares específicos – serão exigidos de diversos controles automotivos. Será necessário também um trabalho adicional para melhorar a proteção dos dados e a integridade dos controles que protegem o acesso a esses sistemas.
A teoria mais abrangente da indústria de design de sistemas de segurança tem que assumir que violações de segurança cibernética irão ocorrer e soluções operacionais de forma padrão devem fornecer proteção contra a intrusão, além de um monitoramento constante de comportamentos suspeitos, enquanto o carro estiver em operação.
A implantação de tal extensa tecnologia terá custos significativos para a indústria automobilística e pode levar uma década para que seja implementada integralmente. Mas os custos de não se construir sistemas de cibersegurança robustos para a nova era carros conectados serão mesuradas em despesas legais, responsabilidades civis para com os clientes, além, é claro, de perda de reputação corporativa das empresas envolvidas.
Claramente, carros conectados irão requerer soluções inteligentes.
(*) Tom Srail é líder regional paras as indústrias de Tecnologia, Media e Telecomunicações da Willis Towers Watson
Palmer Luckey voltou a polemizar dizendo que o Oculus Rift terá suporte para Macs quando a Apple lançar um bom computador.
Se você tem prestado atenção em torno de toda a empolgação em torno da realidade virtual e do aparelho Oculus Rift, uma coisa deve ter ficado perfeitamente clara: o fundador da Oculus VR, Palmer Luckey, não está feliz com os computadores da Apple. Recentemente, o executivo falou ao site Shacknews que a Oculus não tem planos de oferecer suporte para máquinas com o OS X.
Tudo bem, ele não foi assim tão diplomático. O que ele realmente disse quando questionado sobre o suporte para Mac foi “Se eles (Apple) lançarem um bom computador, vamos fazer isso”.
Bom, isso foi pesado. Mas também não foi a primeira vez que ele disse algo do tipo.
Mas isso não significa que o fundador da Oculus necessariamente odeie Macs. Para a Oculus, um computador “bom” ou “decente” significa um que consiga suportar realidade virtual.
“Isso se resume apenas ao fato de que a Apple não consegue priorizar GPUs top de linha. Você pode comprar um Mac Pro de 6 mil dólares...e ele ainda não atende às nossas especificações recomendadas”, afirmou Luckey.
Apesar de não terem sido diplomáticas, as afirmações de Luckey estão corretas. As especificações mínimas recomendas para uma máquina capaz de rodar com o Rift incluem um processador Intel i5-4590 quad-core de 3.7GHz (ou superior), 8GB de RAM (ou mais) e uma placa gráfica Nvidia GeForce GTX 970 ou AMD Radeon 290 (ou superior).
Cofundador da desenvolvedora de jogos mostrou preocupação com a nova plataforma
Uma conhecida desenvolvedora de games resolveu tocar o alarme para a Windows Store, da Microsoft, e o que ela pode significar para o futuro dos games para PC.
O cofundador e CEO da Epic Games, Tim Sweeney, escreveu um artigo no jornal britânico The Guardian em que acusa a Microsoft de tentar monopolizar os games para PCs com a loja de aplicativos e a Universal Windows Platform. “Com a sua nova iniciativa Universal Windows Platform (UWP), a Microsoft construiu uma plataforma fechada dentro de uma plataforma no Windows 10, como o primeiro passo aparente em direção ao bloqueio do ecossistema de PCs para o consumidor e monopólio da distribuição e comércio de apps”, afirmou Sweeney.
Apesar de Sweeney dizer que não se opõe à Windows Store como um conceito, ele acusou a Microsoft de lançar novos recursos exclusivamente para aplicativos da Universal Windows Platform, e não permitir que esses apps existam fora da Windows Store.
O executivo ainda sugere que a Microsoft trata os apps da Universal Windows Platform da mesma forma como trata os programas Win32, para que possuam distribui-los diretamente para os publishers e lojas de terceiros como Valve e GOG.
“O maior perigo aqui é que a Microsoft continue melhorando a UWP enquanto negligencie e até degrade o win32, com o tempo tornando mais difícil para os desenvolvedores e empresas escaparem do novo monopólio de comércio da Microsoft com a UWP”, afirmou Sweeney.
E aí, concorda com as declarações do executivo da Epic? Deixe sua opinião nos comentários abaixo.
