FBI alerta usuários de iPhone e Android – parem de enviar textos #ÚltimasNotícias

Republicado em 6 de dezembro, à medida que novas regulamentações de segurança cibernética são propostas e com mais avisos após o esforço de comunicações criptografadas do FBI.

O tempo é tudo. Assim como a adoção do RCS pela Apple parecia sinalizar um retorno às mensagens de texto em comparação ao crescimento imparável do WhatsApp, surge um novo obstáculo surpreendente para impedir isso. Embora as mensagens de Android para Android ou de iPhone para iPhone sejam seguras, as mensagens de um para outro não são.

Agora, até o FBI e a CISA, a agência de defesa cibernética dos EUA, estão alertando os americanos para usarem mensagens e chamadas telefônicas criptografadas de forma responsável, sempre que possível. O pano de fundo é a invasão chinesa de redes dos EUA que está supostamente “em andamento e provavelmente em maior escala do que se entendia anteriormente”. Comunicações totalmente criptografadas são a melhor defesa contra esse comprometimento, e os americanos estão sendo instados a usá-las sempre que possível.

ForbesAviso de hacking do FBI – altere 2 configurações no seu iPhonePor Zak Duffman

Os ataques cibernéticos à rede, atribuídos ao Salt Typhoon, um grupo associado ao Ministério de Segurança Pública da China, geraram maior preocupação quanto às vulnerabilidades nas redes críticas de comunicação dos EUA. A realidade é diferente. Sem mensagens e chamadas totalmente criptografadas de ponta a ponta, sempre existe um potencial para o conteúdo ser interceptado. Essa é a razão pela qual empresas como Apple, Google e Meta aconselham seu uso, destacando o fato de que nem eles conseguem ver o conteúdo.

De acordo com um alto funcionário do FBI, “dentro da actividade investigativa, especialmente uma tão significativa e tão grande, os factos evoluirão ao longo do tempo… A investigação contínua na RPC visando a infra-estrutura comercial de telecomunicações revelou uma ampla e significativa campanha de espionagem cibernética”. Esta campanha, alertou ele, “identificou que os ciberatores afiliados à RPC comprometeram redes de múltiplas empresas de telecomunicações para permitir múltiplas atividades”, confirmando que “o FBI começou a investigar esta atividade no final da primavera e início do verão deste ano”.

O funcionário do FBI alertou que os cidadãos deveriam “usar um telefone celular que receba automaticamente atualizações oportunas do sistema operacional, criptografia gerenciada de forma responsável e MFA resistente a phishing para contas de e-mail, mídias sociais e ferramentas de colaboração”.

Conforme relatado por PolíticoJeff Greene, da CISA, acrescentou, “exortando veementemente os americanos a ‘usarem suas comunicações criptografadas onde as tiverem… definitivamente precisamos fazer isso, olhar para o que isso significa a longo prazo, como protegemos nossas redes’”.

Se alguma coisa boa resultou desta tempestade viral, é a luz que agora brilha sobre a falta de segurança em SMS e mensagens RCS básicas. É bem-vindo que milhões de utilizadores estejam agora mais bem informados sobre os riscos, para que possam tomar decisões informadas.

Jake Moore da ESET afirma que “está bem documentado que as mensagens SMS não são criptografadas e quaisquer formas de comunicação não criptografadas podem ser vigiadas pelas autoridades policiais ou por qualquer pessoa com as ferramentas, conhecimento e software adequados devido ao conceito de SS7”.

Em termos do que se sabe sobre os ataques do Salt Typhoon até agora, embora o oficial do FBI tenha alertado que metadados generalizados de chamadas e mensagens de texto foram roubados no ataque, o conteúdo expansivo de chamadas e mensagens de texto não foi. Mas “os intervenientes comprometeram as comunicações privadas de um número limitado de indivíduos que estão principalmente envolvidos no governo ou em atividades políticas. Isso conteria conteúdo de chamadas e mensagens de texto.”

A escala da campanha de pirataria informática e as implicações para as infra-estruturas críticas dos EUA e para a segurança das suas redes criaram uma tempestade política que não surpreende. Conforme relatado por Reuters, “As agências governamentais dos EUA realizaram um briefing confidencial para todos os senadores na quarta-feira sobre os supostos esforços da China, conhecidos como Salt Typhoon, para se aprofundar nas empresas de telecomunicações americanas e roubar dados sobre ligações dos EUA.” Após o briefing, “os senadores dos EUA prometem[ed] Ação.”

Reuters também informou que “um subcomitê de Comércio do Senado realizará uma audiência em 11 de dezembro sobre o Salt Typhoon e como ‘ameaças à segurança representam riscos para nossas redes de comunicações e revisará as melhores práticas”. redes de telecomunicações e questões sobre quando as empresas e o governo podem tranquilizar os americanos sobre o assunto”.

Durante a coletiva de imprensa original de terça-feira, Greene da CISA teria sugerido “que os americanos deveriam usar aplicativos criptografados para todas as suas comunicações” (1,2). Isso significa parar de enviar mensagens de texto do iPhone para o Android, embora o iMessages e o Google Messages sejam totalmente criptografados nessas plataformas.

Greene acrescentou que “nossa sugestão, o que dissemos às pessoas internamente, não é nova aqui: a criptografia é sua amiga, seja em mensagens de texto ou se você tiver a capacidade de usar comunicação de voz criptografada. Mesmo que o adversário consiga interceptar os dados, se estiverem criptografados, isso tornará isso impossível.”

Um alerta sobre os ataques contínuos às redes de telecomunicações emitido em conjunto pelo FBI, CISA e NSA – bem como outras agências Five Eyes – foi lançado na terça-feira.

A falta de criptografia ponta a ponta para proteger o RCS multiplataforma, o sucessor do SMS, é uma omissão flagrante. Isso foi destacado no recente lançamento comemorativo de relações públicas da Samsung sobre o sucesso do RCS, que incluía a ressalva de que apenas as mensagens de Android para Android são seguras. Continua sendo uma grande ironia que, embora o Google e a Apple aconselhem separadamente os usuários do Android e do iPhone a confiar na criptografia de ponta a ponta, quando se trata de RCS ela ainda está faltando, sem nenhum cronograma à vista para uma correção.

ForbesPesadelo RCS do Google – por que você precisa de um novo aplicativoPor Zak Duffman

O criador de padrões móveis, GSMA e Google disseram que a criptografia chegará ao RCS, mas ainda não há uma data certa. Essa garantia parecia uma resposta à reação após a atualização da Apple com a divulgação da mídia sobre a questão de segurança. A Apple – cujo ecossistema do iPhone inclui criptografia cada vez mais completa, não comentou.

Há uma reviravolta irônica nessas advertências. Como Revista PC comentou: “Esse impulso para usar criptografia de ponta a ponta é irônico, já que o FBI reclama há muito tempo que a mesma tecnologia pode impedir suas investigações sobre smartphones apreendidos e contas online pertencentes a suspeitos de crimes”.

De acordo com adicional Reuters relatando: “A presidente da Comissão Federal de Comunicações dos EUA, Jessica Rosenworcel, está propondo que os provedores de serviços de comunicações sejam obrigados a apresentar uma certificação anual atestando que têm um plano em vigor para proteção contra ataques cibernéticos, disse a agência em um comunicado na quinta-feira. A proposta é, em parte, uma resposta aos esforços de um grupo de hackers supostamente patrocinado por Pequim, apelidado de ‘Salt Typhoon’, para se aprofundar nas empresas de telecomunicações americanas para roubar dados sobre chamadas dos EUA.”

Entretanto, a CISA garantiu que uma revisão independente da campanha de hackers chinesa começará em breve. Por O recordeum conselho de revisão “lançará sua investigação sobre um hack chinês sem precedentes em sistemas globais de telecomunicações no final desta semana”, disse o chefe da Agência de Segurança Cibernética e de Infraestrutura na quarta-feira. Falando aos repórteres após um briefing confidencial para todos os senadores na quarta-feira sobre a violação do grupo patrocinado pelo estado conhecido como Salt Typhoon, a diretora da CISA, Jen Easterly, disse que a primeira reunião do Conselho de Revisão de Segurança Cibernética (CSRB) focada na violação em curso ocorrerá. lugar na sexta-feira.”

Easterly disse à mídia “queríamos ter certeza de que tínhamos um bom entendimento do que estava acontecendo, em termos de escopo e escala, e, francamente, a maioria das agências que estariam envolvidas no Conselho de Revisão de Segurança Cibernética ainda estão envolvidos na resposta ao incidente… Queríamos ter certeza de que faríamos isso antes das férias, para que pudéssemos começar a escrever como pensamos sobre o problema e, em última análise, quais são as principais recomendações que precisamos apresentar para nos permitir fortalecer a segurança das redes de telecomunicações daqui para frente.”

Antes de qualquer recomendação ser feita, a formulação precisa do FBI é crítica, com ênfase em responsável criptografia que tem sido quase sempre ignorada nos relatórios. Responsável, neste contexto, significa fornecer acesso aos dados do usuário por meio de solicitações legais, incluindo – potencialmente – conteúdo. Embora isso possa parecer uma sutileza, é tudo menos isso. Isso exclui muitas das maiores e mais conhecidas plataformas de mensagens, como WhatsApp e Signal, pois elas não podem fornecer acesso a qualquer conteúdo sem comprometimento do endpoint (dispositivo), acessando os dados em uma extremidade da criptografia de ponta a ponta. .

Pode-se esperar que as recomendações permaneçam no equilíbrio certo entre a criptografia completa para proteger os conteúdos contra vulnerabilidades da rede e o acesso legal. Isso corre o risco de revisitar o debate entre as grandes empresas de tecnologia e os legisladores sobre como violar o enclave de criptografia sem enfraquecê-lo fatalmente. Será fortemente resistida, embora haja falta de clareza sobre a forma como a nova administração Trump irá reagir a esta questão.

Com um timing irónico, o chamado controlo de chat da Europa está de volta à mesa esta semana. Isto procura resolver o problema insolúvel de pressionar as grandes empresas de tecnologia a monitorizar o conteúdo nas suas plataformas de material de abuso sexual infantil (CSAM) em primeira instância, embora, uma vez ativado, o receio seja que outros conteúdos também possam ser rastreados.

Os especialistas em privacidade protestaram fortemente contra esta campanha política e os legisladores e reguladores europeus estão divididos sobre a questão. Se a Europa conseguir alimentar um agrupamento com poder suficiente para conduzir isto a alguma forma de definição de política, e os EUA embarcarem após o Salt Typhoon com uma abordagem “criptografada de ponta a ponta, mais ou menos”, estaremos prontos para um todo-poderoso batalha até 2025 e além.

Apesar disso, meu conselho continua sendo usar o WhatsApp totalmente criptografado sobre RCS para qualquer mensagem entre plataformas, pelo menos até o momento em que o RCS adicione sua própria criptografia completa entre iPhones e Androids. Assim que você sai dos jardins murados da Apple ou do Google, essas proteções de segurança desaparecem. Com muitas plataformas boas e seguras agora disponíveis, não vale a pena correr o risco. A necessidade de segurança total nunca foi tão grande, dado o cenário atual de ameaças cibernéticas.

Moore, da ESET, adverte que “é importante tratar com cuidado qualquer plataforma de mensagens que não tenha foco na privacidade e que elas não devem ser usadas para comunicação privada ou para transferência de dados confidenciais. Canais criptografados oferecem privacidade e segurança, mas embora o WhatsApp de propriedade da Meta possa não ser a escolha de todos, pelo menos oferece criptografia de ponta a ponta como padrão. Existem muitas outras opções, como Signal e iMessage, mas trata-se de escolhas e compreensão de qual nível de segurança é adequado para os indivíduos.”

Existem também outras plataformas totalmente criptografadas – notadamente Signal, a melhor do grupo, embora com uma base instalada muito menor. Até o Facebook Messenger agora criptografa totalmente as mensagens, tornando as mensagens de texto SMS/RCS padrão ainda mais atípicas. Signal e WhatsApp também permitem chamadas de voz e vídeo totalmente criptografadas em várias plataformas e, portanto, também devem ser suas escolhas padrão, considerando este aviso do FBI/CISA.

ForbesSamsung alerta milhões de proprietários de Galaxy – não baixem esses aplicativosPor Zak Duffman

Moore, ex-especialista forense da polícia, descreve a criptografia de ponta a ponta como “mais do que um direito fundamental – é uma necessidade vital para todas as ferramentas de comunicação e qualquer serviço de mensagens que não esteja protegido por esta camada de proteção deve ser tratado com cautela .” Talvez agora essas mensagens sejam vistas de forma diferente por seus usuários.

Ironicamente, o iOS 18.2 da Apple, previsto para este mês, permitirá que os usuários do iPhone alterem o mensageiro padrão em seus dispositivos a partir do iMessage. O tempo realmente é tudo.