O DarkSword e o Coruna são novas ferramentas utilizadas em ataques invisíveis a dispositivos iOS. Esses ataques não exigem interação do usuário e já estão sendo usados em larga escala por agentes mal-intencionados. Antes do surgimento dessas ameaças, a maioria dos usuários do iPhone não precisava se preocupar com a segurança de dados. Poucos grupos realmente se preocupavam com isso, como políticos, ativistas, diplomatas, executivos de negócios de alto nível e pessoas que lidam com dados extremamente confidenciais, já que eles poderiam vir a ser alvos de agências de inteligência estrangeiras. Já discutimos spywares avançados usados contra esses grupos anteriormente, e observamos como era raro encontrá-los.

No entanto, o DarkSword e o Coruna, descobertos por pesquisadores no início deste ano, são revolucionários. Esses malwares estão sendo usados em infecções em massa de usuários comuns. Nesta postagem, explicamos por que essa mudança ocorreu, os riscos dessas ferramentas e como se proteger.

O que sabemos sobre o DarkSword e como ele pode infectar o seu iPhone

Em meados de março de 2026, três equipes de pesquisa diferentes coordenaram a divulgação das suas descobertas sobre um novo spyware chamado de DarkSword. Essa ferramenta é capaz de invadir silenciosamente dispositivos com o iOS 18, sem que o usuário perceba que algo está errado.

Primeiro, devemos esclarecer uma coisa: o iOS 18 não é tão antigo quanto parece. Embora a versão mais recente seja o iOS 26, a Apple revisou recentemente o sistema de versões, surpreendendo a todos. A empresa decidiu avançar oito versões (da 18 diretamente para a 26) para que o número do sistema operacional correspondesse ao ano atual. Apesar disso, a Apple estima que cerca de um quarto de todos os dispositivos ativos ainda executam o iOS 18 ou uma versão anterior.

Agora que isso já foi esclarecido, vamos voltar a falar sobre o DarkSword. A pesquisa mostra que esse malware infecta as vítimas quando elas visitam sites perfeitamente legítimos que contêm códigos maliciosos. O spyware se instala sem qualquer interação do usuário: basta acessar uma página comprometida. Isso é conhecido como técnica de infecção zero clique. Os pesquisadores relatam que milhares de dispositivos já foram infectados desta forma.

Para comprometer um dispositivo, o DarkSword usa uma cadeia de exploits com seis vulnerabilidades para evitar o sandbox, aumentar privilégios e executar código. Assim que o dispositivo é infectado, o malware consegue coletar dados, incluindo:

• Senhas
• Fotos
• Conversas e dados do iMessage, WhatsApp e Telegram
• Histórico do navegador
• Informações dos aplicativos Calendário, Notas e Saúde da Apple

Além disso, o DarkSword coleta dados de carteiras de criptomoedas, atuando como malware de dupla finalidade para espionagem e roubo de criptoativos.

A única boa notícia é que o spyware não sobrevive a uma reinicialização. O DarkSword é um malware sem arquivo, o que significa que ele vive na RAM do dispositivo e nunca se incorpora ao sistema de arquivos.

Coruna: direcionado às versões mais antigas do iOS

Apenas duas semanas antes da descoberta do DarkSword se tornar pública, os pesquisadores revelaram outra ameaça que tinha o iOS como alvo, chamada de Coruna. Esse malware consegue comprometer dispositivos que executam softwares mais antigos, especificamente as versões 13 a 17.2.1 do iOS. O método utilizado pelo Coruna é exatamente igual ao do DarkSword: as vítimas visitam um site legítimo injetado com código malicioso que, em seguida, infecta o dispositivo delas com o malware. Todo o processo é completamente invisível e não requer interação do usuário.

Uma análise detalhada do código do Coruna revelou que ele explora 23 vulnerabilidades distintas do iOS, várias delas localizadas no WebKit da Apple. Vale lembrar que, de um modo geral (fora da UE), todos os navegadores iOS precisam usar o mecanismo WebKit. Isso significa que essas vulnerabilidades não afetam apenas os usuários do Safari, mas também qualquer pessoa que use outros navegadores no iPhone.

A versão mais recente do Coruna, assim como o DarkSword, inclui modificações projetadas para drenar carteiras de criptomoedas. Ele também coleta fotos e, em alguns casos, informações de e-mails. Ao que tudo indica, roubar criptomoedas parece ser o principal motivo da implementação generalizada do Coruna.

Quem criou o Coruna e o DarkSword, e como eles foram disseminados?

A análise do código de ambas as ferramentas sugere que o Coruna e o DarkSword provavelmente foram desenvolvidos por grupos diferentes. No entanto, ambos são softwares criados por empresas patrocinadas pelo governo, possivelmente dos EUA. Isso se reflete na alta qualidade do código: não são kits montados com partes aleatórias, mas exploits projetados de forma uniforme. Em algum momento, essas ferramentas vazaram e foram parar nas mãos de gangues de cibercriminosos.

Os especialistas da GReAT, da Kaspersky, analisaram todos os componentes do Coruna e confirmaram que o kit de exploração é uma versão atualizada da estrutura usada na Operação Triangulação. Esse ataque anterior tinha como alvo os funcionários da Kaspersky, uma história que abordamos em detalhes neste blog.

Uma teoria sugere que um funcionário da empresa que desenvolveu o Coruna vendeu o malware para hackers. Desde então, ele tem sido usado para drenar carteiras de criptomoedas de usuários na China. Alguns especialistas estimam que pelo menos 42 mil dispositivos foram infectados somente neste país.

Quanto ao DarkSword, os cibercriminosos já o usaram para infectar dispositivos de usuários na Arábia Saudita, Turquia e Malásia. O problema se agrava pelo fato de que os invasores que implementaram o DarkSword deixaram o código-fonte completo nos sites infectados, facilitando a detecção dele por outros grupos criminosos.

O código também inclui comentários detalhados explicado exatamente o que faz cada componente, reforçando a hipótese de que ele surgiu no Ocidente. Essas instruções detalhadas tornam mais fácil para outros hackers adaptarem a ferramenta para interesses próprios.

Como se proteger do Coruna e do DarkSword

Dois malwares poderosos que permitem a infecção em massa de iPhones sem exigir qualquer interação do usuário caíram nas mãos de um grupo essencialmente ilimitado de cibercriminosos. Para ser infectado pelo Coruna ou pelo DarkSword, basta que você visite o site errado na hora errada. Portanto, este é um daqueles casos em que todos os usuários precisam levar a sério a segurança do iOS, não apenas aqueles que pertencem a grupos de alto risco.

A melhor coisa a fazer para se proteger do Coruna e do DarkSword é atualizar assim que possível os dispositivos para a versão mais recente do iOS ou do iPadOS 26. Se isso não for possível (por exemplo, se o dispositivo for mais antigo e não compatível com o iOS 26), ainda assim é recomendado baixar a versão mais recente disponível. Especificamente, procure as versões 15.8.7, 16.7.15 ou 18.7.7. A Apple aplicou correções em vários sistemas operacionais mais antigos, o que é raro.

Para proteger os dispositivos Apple contra malwares semelhantes que provavelmente aparecerão no futuro, recomendamos fazer o seguinte:

• Instale as atualizações em todos os dispositivos da Apple o quanto antes. A empresa lança regularmente versões do SO que corrigem vulnerabilidades conhecidas. Não as ignore.
• Ative a opção Otimização de segurança em segundo plano. Esse recurso permite que o dispositivo receba correções de segurança críticas além das atualizações completas do iOS, reduzindo o risco de exploração de vulnerabilidades pelos hackers. Para ativá-lo, vá para Configurações → Privacidade e segurança → Otimização de segurança em segundo plano e ative a opção Instalar automaticamente.
• Considere usar o Modo de bloqueio. Essa é uma configuração de segurança reforçada que, apesar de limitar alguns recursos do dispositivo, bloqueia ou restringe ataques de forma significativa. Para ativá-lo, vá para Configurações → Privacidade e segurança → Modo de bloqueio → Ativar o Modo de bloqueio.
• Reinicie o dispositivo uma vez por dia (ou mais). Isso interrompe a atuação de malwares sem arquivo, pois essas ameaças não são incorporadas ao sistema e desaparecem após a reinicialização.
• Use o armazenamento criptografado para dados confidenciais. Mantenha chaves de carteiras de criptomoedas, fotos de documentos e dados confidenciais em um local seguro. Kaspersky Password Manager é uma ótima opção para isso, pois gerencia suas senhas, tokens de autenticação de dois fatores e chaves de acesso em todos os dispositivos, mantendo notas, fotos e documentos sincronizados e criptografados.

A ideia de que os dispositivos da Apple são à prova de balas é um mito. Eles são vulneráveis a ataques de zero clique, cavalos de Troia e técnicas de infecção ClickFix. Além disso, aplicativos maliciosos já foram encontrados na App Store mais de uma vez. Leia mais aqui:

• Predador vs. iPhone: a arte da vigilância invisível
• AirBorne: Ataques a dispositivos da Apple através de vulnerabilidades no AirPlay
• Os seus fones de ouvido Bluetooth estão espionando você?
• O trojan para roubo de dados SparkCat penetra na App Store e no Google Play para roubar dados de fotos
• Banshee: um malware de roubo de dados que persegue usuários do macOS

Em 2022, analisamos em profundidade um método de ataque chamado browser-in-the-browser, originalmente desenvolvido pelo pesquisador de cibersegurança conhecido como mr.d0x. Na época, ainda não havia exemplos reais desse modelo sendo utilizado em ataques. Quatro anos depois, a situação mudou: os ataques browser-in-the-browser deixaram de ser apenas um conceito teórico e passaram a ser utilizados em campanhas reais. Neste artigo, revisitamos o que exatamente é um ataque browser-in-the-browser, mostramos como hackers estão utilizando essa técnica e, principalmente, explicamos como evitar se tornar a próxima vítima.

O que é um ataque browser-in-the-browser (BitB)?

Para começar, vale relembrar o que mr.d0x realmente desenvolveu. A base do ataque surgiu da observação de quão avançadas se tornaram as ferramentas modernas de desenvolvimento Web, como HTML, CSS e JavaScript. Essa constatação levou o pesquisador a conceber um modelo de phishing particularmente sofisticado.

Um ataque browser-in-the-browser é uma forma avançada de phishing que utiliza recursos de design e desenvolvimento Web para criar sites fraudulentos que imitam janelas de login de serviços conhecidos, como Microsoft, Google, Facebook ou Apple, com aparência praticamente idêntica à original. No conceito proposto pelo pesquisador, o atacante cria um site aparentemente legítimo para atrair as vítimas. Uma vez nesse site, o usuário descobre que não pode deixar comentários ou realizar uma compra sem antes fazer login.

O processo parece simples: basta clicar no botão Fazer login com {nome de um serviço popular}. É nesse momento que ocorre o golpe. Em vez de abrir a página real de autenticação do serviço legítimo, o usuário recebe um formulário falso renderizado dentro do próprio site malicioso, que se apresenta visualmente como se fosse… uma janela pop-up do navegador. Além disso, a barra de endereço exibida nessa janela, também renderizada pelos invasores, mostra uma URL aparentemente legítima. Mesmo uma inspeção cuidadosa pode não revelar a fraude.

A partir desse ponto, o usuário desavisado insere suas credenciais Microsoft, Google, Facebook ou Apple nessa janela renderizada, e esses dados são enviados diretamente aos cibercriminosos. Durante algum tempo, esse esquema permaneceu apenas como um experimento teórico do pesquisador de segurança. Hoje, porém, ataques reais já incorporaram essa técnica aos seus arsenais de phishing.

Roubo de credenciais do Facebook

Os atacantes adaptaram o conceito original de mr.d0x. Em ataques recentes do tipo browser-in-the-browser, o golpe começa com e-mails criados para alarmar o destinatário. Em uma campanha de phishing, por exemplo, os criminosos se passaram por um escritório de advocacia informando ao usuário que ele teria cometido uma violação de direitos autorais ao publicar conteúdo no Facebook. A mensagem incluía um link aparentemente legítimo que supostamente levaria à publicação problemática.

Os invasores enviaram mensagens em nome de um escritório de advocacia fictício alegando violação de direitos autorais, acompanhadas de um link que supostamente direcionava ao post problemático no Facebook. Fonte

Curiosamente, para reduzir a desconfiança da vítima, ao clicar no link não era exibida imediatamente uma página falsa de login do Facebook. Em vez disso, o usuário era primeiro apresentado a um CAPTCHA falso da Meta. Somente após “passar” por essa verificação é que a vítima recebia a janela pop-up de autenticação falsa.

Isso não é um pop-up real do navegador, mas um elemento da própria página que imita uma tela de login do Facebook. Esse truque permite que os invasores exibam um endereço aparentemente legítimo. Fonte

Naturalmente, a página falsa de login do Facebook segue o modelo descrito por mr.d0x. Ela é construída inteiramente com ferramentas de desenvolvimento Web para capturar as credenciais da vítima. Enquanto isso, a URL exibida na barra de endereço simulada aponta para o site verdadeiro do Facebook, www.facebook.com.

Como evitar se tornar uma vítima

O fato de golpistas já estarem utilizando ataques browser-in-the-browser demonstra que as técnicas de fraude digital evoluem constantemente. Ainda assim, existe uma forma eficaz de verificar se uma janela de login é legítima. Utilizar um gerenciador de senhas, que funciona como um teste de segurança confiável para sites.

Isso ocorre, porque, ao preencher credenciais automaticamente, o gerenciador de senhas verifica a URL real da página, e não aquilo que parece estar na barra de endereço ou o que a interface visual mostra. Diferentemente de um usuário humano, não é possível enganar um gerenciador de senhas por meio de técnicas como browser-in-the-browser, domínios com pequenas variações ortográficas (typosquatting) ou formulários de phishing ocultos em anúncios e pop-ups. A regra é simples: se o gerenciador de senhas oferecer o preenchimento automático de login e senha, você está em um site para o qual já salvou credenciais. Se ele permanecer silencioso, há um forte indício de que algo está errado.

Além disso, seguir algumas recomendações clássicas de segurança digital ajuda a se proteger contra phishing ou, pelo menos, reduzir os danos caso um ataque seja bem-sucedido:

• Ative a autenticação em dois fatores (2FA) em todas as contas que suportam esse recurso. Idealmente, utilize códigos temporários gerados por um aplicativo autenticador dedicado como segundo fator. Isso ajuda a evitar golpes de phishing que interceptam códigos de confirmação enviados por SMS, aplicativos de mensagem ou e-mail. Leia mais sobre 2FA de código único em nosso post dedicado.
• Utilize chaves de acesso. A opção de login com chave de acesso também pode indicar que você está em um site legítimo. Aprenda tudo sobre o que são chaves de acesso e como começar a usá-las em nossa análise aprofundada sobre essa tecnologia.
• Crie senhas únicas e complexas para todas as contas. Faça o que fizer, nunca reutilize a mesma senha em contas diferentes. Recentemente explicamos em nosso blog o que torna uma senha realmente forte. Gerar combinações únicas, sem precisar memorizá-las, KPMé a melhor opção. Como benefício adicional, também pode gerar códigos temporários para autenticação em dois fatores, armazenar suas chaves de acesso e sincronizar suas senhas e arquivos entre seus diferentes dispositivos.

Por fim, este post serve como mais um lembrete de que ataques teóricos descritos por pesquisadores de cibersegurança frequentemente acabam sendo utilizados em ataques reais. Então, fique de olho no nosso blog, e assine nosso canal no Telegram para se manter atualizado sobre as ameaças mais recentes à sua segurança digital e saber como neutralizá-las.

Leia sobre outras técnicas de phishing criativas que os golpistas estão usando diariamente:

• Phishing e spam: as campanhas mais ousadas de 2025
• O que acontece com os dados roubados em ataques de phishing?
• Como phishers e golpistas usam IA
• Entrega sob encomenda de phishing de pronta propagação
• Phishing progressivo: como os PWAs podem ser usados para roubar senhas

O ano de 2025 transformou significativamente nosso acesso à internet e como navegamos nela. Novas leis radicais, a ascensão de assistentes de IA e sites tentando bloquear bots de IA vêm remodelando a Internet diante de nossos olhos. Então, o que você precisa saber sobre essas transformações e quais conhecimentos e hábitos deve carregar consigo em 2026? Como é nossa tradição, abordaremos isso com oito resoluções de Ano Novo. O que prometemos para 2026?…

Conheça suas leis locais

No ano passado, houve um volume excepcional de leis, alterando seriamente as regras da Internet para usuários comuns. Os legisladores no mundo todo ficaram ocupados:

• Proibindo mídias sociais para adolescentes
• Introduzindo procedimentos rigorosos de verificação de idade, como a verificação de documentos de identidade para acesso a determinados sites
• Exigindo o consentimento explícito dos pais para que menores possam acessar muitos serviços on-line
• Exercendo pressão por meio de bloqueios e ações judiciais quando elas não cumprem as leis de proteção infantil existentes. A Roblox, por exemplo, tem atraído muitos olhares neste quesito.

O melhor que você pode fazer é buscar notícias em sites imparciais e sem sensacionalismo, além de analisar os comentários de juristas. Você precisa entender quais as suas obrigações e, caso tenha filhos menores de idade, o que muda para eles.

É possível que você tenha conversas difíceis com seus filhos sobre as novas regras de uso de mídias sociais ou jogos. É fundamental evitar que a revolta dos adolescentes leve a erros perigosos, como instalar malwares disfarçados de “mods que ignoram restrições” ou migrar para redes sociais pequenas e sem moderação. Proteger a geração mais jovem exige que os computadores e smartphones deles possuam proteções confiáveis, além de ferramentas de controle para pais.

Mas não se trata só de cumprir as leis. Temos quase toda certeza que você vai se deparar com efeitos colaterais negativos que os legisladores não previram.

Domine novos métodos de proteção do acesso

Alguns sites optam pelo bloqueio geográfico de certos países para evitar as complexidades de cumprir as legislações regionais. Caso tenha certeza de que as leis locais permitem o acesso ao conteúdo, você pode ignorar esses bloqueios geográficos usando uma VPN. Selecione um servidor em um país em que seja possível acessar o site.

É importante escolher um serviço que não apenas ofereça servidores nos locais certos, mas que também reforce a privacidade, afinal o uso de muitas VPNs gratuitas pode comprometê-la de forma significativa. Recomendamos o Kaspersky VPN Secure Connection.

Proteja-se contra vazamentos de documentos

Ainda que existam diferentes maneiras de implementar a verificação de idade, isso costuma envolver sites que usam serviços de verificação de terceiros. Em sua primeira tentativa de login, você será redirecionado para um site próprio para concluir uma das diversas verificações: tirar uma foto de sua identidade ou carteira de motorista, usar um cartão do banco ou acenar e sorrir para um vídeo, entre outras possibilidades.

Por princípio, a simples ideia de apresentar um passaporte para acessar sites adultos é bastante impopular. Mas, além disso, há um risco sério de vazamento de dados. Esses incidentes já são uma realidade: as violações de dados afetaram uma empresa contratada para verificar usuários do Discord, bem como provedores de serviços para o TikTok e Uber. Conforme o número de sites que exigem essa verificação aumenta, o risco de vazamento também aumenta.

O que você pode fazer?

• Priorize serviços que não solicitam uploads de documentos. Em vez disso, tente utilizar aqueles que utilizam métodos alternativos de verificação de idade, por exemplo, uma cobrança de microtransação, confirmação por meio do banco ou outro provedor externo confiável, ou análise comportamental/biométrica.
• Escolha seu documento menos sensível e mais fácil de substituir, e utilize-o em todas as verificações. Neste caso, “menos sensível” significa conter dados pessoais mínimos, sem outros identificadores principais, como o número de identificação nacional.
• Use um endereço de e-mail e um número de telefone exclusivos junto com esse documento. Para sites e serviços que não verificam sua identidade, use informações de contato completamente diferentes. Isso dificulta muito a reunião dos seus dados a partir de vazamentos diferentes.

Conheça o novo manual dos golpistas

É bastante provável que golpistas utilizem o pretexto de “verificação de idade” para começar a enviar phishing com intuito de obter dados pessoais e de pagamento, além de empurrar malware para os visitantes. Afinal, é muito tentador só copiar e colar algum texto no computador, em vez de enviar uma foto do passaporte. Atualmente, ataques ClickFix geralmente se disfarçam de verificação CAPTCHA, mas é sensato que a verificação de idade seja a próxima etapa desses esquemas. Como reduzir esses riscos?

• Verifique atentamente todos os sites que pedem verificação. Não conclua a verificação se você já fez isso para esse serviço ou se chegou à página de verificação por meio de um link de aplicativo de mensagens, buscador ou anúncio.
• Nunca baixe aplicativos ou copie e cole texto para a verificação. Todos os serviços legítimos são executados dentro da janela do navegador, no entanto, o serviço pode solicitar que usuários de desktop utilizem um smartphone para concluir a verificação.
• Analise e suspeite de qualquer situação que solicite a inserção de um código recebido por meio de um aplicativo de mensagens ou SMS para acessar um site ou confirmar uma ação. Isso costuma ser uma maneira de sequestrar sua conta de aplicativo de mensagens ou outro serviço essencial.
• Instale um software de segurança confiável em todos os seus computadores e smartphones para ajudar a bloquear o acesso a sites fraudulentos. Recomendamos o Kaspersky Premium, que fornece: uma VPN segura, proteção contra malwares, alertas no caso de seus dados pessoais aparecerem em vazamentos públicos, gerenciador de senhas, controle para pais, e muito mais.

Cultive hábitos saudáveis no uso de IA

Mesmo que você não seja fã da IA, será difícil evitá-la, pois ela está sendo incorporada a praticamente todos os serviços do dia a dia: Android, Chrome, MS Office, Windows, iOS, Creative Cloud… a lista é infinita. Da mesma maneira que lidamos com fast food, televisão, TikTok e outras conveniências de fácil acesso, o segredo é encontrar um equilíbrio entre o uso saudável dos assistentes de IA e o desenvolvimento de um vício.

Identifique as áreas onde sua acuidade mental e seu crescimento pessoal são mais importantes. Uma pessoa que não corre regularmente tem uma redução em seu condicionamento físico. Da mesma forma, alguém que sempre usa a navegação com GPS fica pior na leitura de mapas em papel. Onde quer que você valorize o trabalho de sua mente, transferi-lo para a IA pode fazer você perder uma vantagem. Mantenha um equilíbrio: faça você mesmo esse trabalho mental diário, ainda que a IA seja capaz de fazê-lo bem, desde traduzir textos até procurar informações na Wikipedia. Você não precisa fazer isso o tempo todo, mas não se esqueça de fazê-lo ocasionalmente. Se desejar uma abordagem mais radical, você também pode desativar os serviços de IA quando possível.

Saiba onde o custo de um erro é alto. Mesmo com os melhores esforços dos desenvolvedores, a IA pode fornecer respostas totalmente equivocadas e com plena confiança. É improvável que nos próximos anos essas alucinações, como são chamadas, sejam erradicadas totalmente. Portanto, evite usar a IA no caso de documentos importantes e decisões críticas, ou analise seus resultados com muito cuidado. Verifique cada número, cada vírgula.

Sinta-se à vontade para experimentar a IA em outras áreas. Mas não se esqueça que erros e alucinações são uma possibilidade real mesmo quando a utilizamos em situações aparentemente inofensivas.

Como reduzir o risco de vazamentos. Quanto mais você usa a IA, mais o provedor de serviços possui informações suas. Sempre que possível, priorize os recursos de IA que são executados apenas em seu dispositivo. Essa categoria inclui a proteção contra sites fraudulentos no Chrome, a tradução de texto no Firefox, o assistente de reescrita no iOS, entre outros. Você pode executar um chatbot localmente em seu próprio computador.

Assistentes de IA precisam de supervisão rigorosa. Sistemas de IA com capacidades agênticas, que executam tarefas em seu nome, apresentam riscos significativamente maiores. Pesquise minuciosamente os riscos nessa área antes de confiar em um agente para fazer compras on-line ou de tirar férias. E use modos em que o assistente solicita sua confirmação antes de inserir dados pessoais, ou comprar qualquer coisa.

Verifique suas assinaturas e planos

A economia da Internet está mudando bem diante de nossos olhos. A corrida da IA eleva o custo de componentes e de computação, enquanto tarifas e conflitos geopolíticos afetam as cadeias de suprimentos, o que pode encarecer produtos com recursos de IA. Quase qualquer serviço on-line pode ficar mais caro da noite para o dia, podendo chegar a porcentagens de dois dígitos. Alguns provedores estão seguindo um caminho diferente e deixando de usar uma taxa fixa mensal para usar taxa por uso em situações como músicas baixadas ou imagens geradas.

Para evitar surpresas desagradáveis ao verificar seu extrato bancário, crie o hábito de revisar os termos de todas as suas assinaturas pelo menos três ou quatro vezes por ano. Você pode descobrir que um serviço atualizou seus planos e que você precisa trocar para um mais simples. Ou um serviço pode ter inscrito você silenciosamente em um recurso adicional e seja necessário desativá-lo. Pode ser melhor cancelar alguns serviços ou utilizá-los no modo gratuito. A educação financeira está se tornando uma habilidade essencial para gerenciar seus gastos digitais.

Para obter uma visão completa de suas assinaturas e entender de verdade seus gastos mensais ou anuais em serviços digitais, a melhor opção é manter um registro em um só lugar. Uma planilha do Excel ou do Google Docs já faz isso, mas é mais prático usar um aplicativo dedicado como o SubsCrab. Ele envia lembretes de pagamentos futuros, mostra todos os seus gastos mês a mês e ainda pode ajudar você a encontrar ofertas melhores para um mesmo serviço ou em serviços semelhantes.

Priorize a longevidade de sua tecnologia

O encanto de novos e poderosos processadores, câmeras e recursos de IA pode seduzi-lo a comprar um novo smartphone ou laptop em 2026, mas você deve se planejar para priorizar um dispositivo que dure vários anos. Existem alguns motivos…

Primeiro, o ritmo no surgimento de novos recursos significativos diminuiu e o desejo de atualizá-los com frequência diminuiu para muitos. Em segundo lugar, os preços dos gadgets aumentaram significativamente devido ao encarecimento de chips, mão de obra e fretes, tornando grandes compras mais difíceis de se justificar. Além disso, regulamentações como as da UE passaram a exigir que as baterias de novos dispositivos sejam facilmente substituíveis, o que significa que a peça que mais rápido se desgasta em um telefone terá uma substituição mais fácil e barata.

Então, o que é necessário para garantir que seu smartphone ou laptop possa durar vários anos?

• Proteção física. Use capas, protetores de tela e até mesmo uma bolsa à prova d’água.
• Armazenamento adequado. Evite temperaturas extremas, não deixe seu dispositivo embaixo do sol ou congelando durante a noite em um carro a -15 °C.
• Cuidados com a bateria. Evite deixar que a carga fique abaixo de 10%.
• Atualizações frequentes de software. Esta é a parte mais complicada. As atualizações são essenciais para a proteção de seu telefone ou laptop contra novos tipos de ataques. No entanto, as atualizações podem causar lentidão, superaquecimento ou alto consumo da bateria. A abordagem mais prudente é esperar aproximadamente uma semana após uma atualização importante do sistema operacional, verificar o feedback dos usuários que possuem o mesmo modelo e só instalar a atualização se o benefício for óbvio.

Proteja sua casa inteligente

A casa inteligente está dando lugar a um novo conceito: a casa inteligente com IA. A ideia é que as redes neurais ajudem sua casa a tomar as próprias decisões sobre o que fazer e quando, tudo pela sua conveniência, deixando de precisar de rotinas pré-programadas. Graças ao padrão Matter 1.3, uma casa inteligente não fica mais limitada ao gerenciamento de luzes, TVs e fechaduras, como passa a gerenciar eletrodomésticos, secadoras e até carregadores de veículos elétricos! Além disso, estamos observando um aumento nos dispositivos com protocolo de comunicação principal nativo Matter over Thread, como na nova linha IKEA KAJPLATS. Dispositivos de diferentes fornecedores que utilizam o Matter podem ver e se comunicar uns com os outros. Isso significa que você pode comprar um Apple HomePod para ser seu hub central doméstico inteligente e conectá-lo a lâmpadas Philips Hue, tomadas Eve Energy e interruptores IKEA BILRESA.

Tudo isso indica que casas inteligentes com IA se tornarão cada vez mais comuns, assim como os métodos para atacá-las. Temos um artigo detalhado sobre segurança de casas inteligentes, mas aqui estão algumas dicas importantes e válidas à luz da transição para o Matter.

• Unifique seus dispositivos em uma única malha Matter. Use o mínimo de controladores, por exemplo, uma Apple TV e um smartphone. Se houver um controlador acessível a muitos membros da família, como uma TV ou outro dispositivo, certifique-se de usar a senha de segurança e outras restrições disponíveis para funções críticas.
• Escolha um hub e um controlador dos principais fabricantes e que possuam um compromisso sério com a segurança.
• Minimize o número de dispositivos que conectam sua malha Matter à Internet. Esses dispositivos, chamadas de roteadores de fronteira, devem ser bem protegidos contra ataques cibernéticos externos, por exemplo, seu acesso deve ficar restrito ao nível de seu roteador de Internet doméstico.
• Verifique com regularidade sua rede doméstica em busca de dispositivos suspeitos e desconhecidos. Você pode usar seu controlador ou hub para fazê-lo em sua malha Matter, e em sua rede doméstica, com seu roteador principal ou um recurso como o Smart Home Monitor do Kaspersky Premium.

A polícia sul-coreana prendeu quatro suspeitos ligados à violação de aproximadamente 120 mil câmeras IP instaladas em residências e espaços comerciais, incluindo karaokês, estúdios de pilates e uma clínica de ginecologia. Dois dos hackers venderam imagens sexualmente explícitas captadas pelas câmeras por meio de um site estrangeiro de conteúdo adulto. Nesta publicação, explicamos o que são as câmeras IP e quais as suas vulnerabilidades. Também nos aprofundamos nos detalhes do incidente na Coreia do Sul e compartilhamos conselhos práticos sobre como evitar se tornar um alvo para invasores que buscam conteúdo de vídeos íntimos.

Como as câmeras IP funcionam?

Uma câmera IP é uma câmera de vídeo conectada à Internet usando o Protocolo de Internet (IP). Essa conexão faz com que seja possível visualizar seu feed remotamente usando um smartphone ou computador. Ao contrário dos sistemas de vigilância CCTV tradicionais, essas câmeras não exigem uma central de vigilância local, como mostrado nos filmes, nem mesmo um computador dedicado conectado a elas. Uma câmera IP transmite o vídeo em tempo real pela Internet para qualquer dispositivo que esteja conectado a ela. Atualmente, a maioria dos fabricantes de câmeras IP também oferece planos opcionais de armazenamento em nuvem, permitindo que você acesse as imagens gravadas em qualquer lugar do mundo.

Nos últimos anos, as câmeras IP se tornaram muito populares e estão por toda parte, sendo usadas para os mais diversos fins: desde cuidar de crianças e animais de estimação em casa até proteger armazéns, escritórios, apartamentos de aluguel por temporada (às vezes de maneira irregular) e pequenos negócios. Modelos básicos podem ser encontrados online por preços a partir de 25 a 40 dólares.

Você pode encontrar uma câmera IP Full HD em mercados virtuais por menos de 25 dólares. Os preços acessíveis fizeram com que elas se tornassem extremamente populares tanto para uso doméstico quanto em pequenos negócios.

Um dos recursos essenciais das câmeras IP é terem sido projetadas originalmente para acesso remoto. A câmera conecta-se à Internet e aceita silenciosamente conexões de entrada, e ela já pode transmitir vídeo para qualquer pessoa que tenha seu endereço e senha. E isso gera dois problemas comuns desses dispositivos.

1. Senhas padrão. Os proprietários de câmeras IP não costumam alterar os nomes de usuário e senhas padrão que já vêm pré-configurados no dispositivo.
2. Vulnerabilidades em softwares desatualizados. Atualizações de software para câmeras geralmente exigem intervenção manual: você precisa acessar a interface de administração, verificar se há uma atualização e instalá-la manualmente. Muitos usuários costumam ignorar isso completamente. Ou pior, as atualizações podem nem ao menos existir, pois muitos fornecedores de câmeras ignoram a segurança e deixam de oferecer suporte logo após a venda.

O que aconteceu na Coreia do Sul?

Vamos voltar ao que ocorreu neste outono na Coreia do Sul. As autoridades policiais relataram uma violação de cerca de 120 mil câmeras IP e a prisão de quatro suspeitos ligados aos ataques. Aqui está o que sabemos sobre cada um deles.

• Suspeito 1, desempregado, hackeou cerca de 63 mil câmeras IP, produziu e depois vendeu 545 vídeos de conteúdo sexual explícito por um total de 35 milhões de wons sul-coreanos, o equivalente a pouco menos de 24 mil dólares.
• Suspeito 2, funcionário de escritório, violou cerca de 70 mil câmeras IP e vendeu 648 vídeos sexuais ilícitos por 18 milhões de wons sul-coreanos (cerca de 12 mil dólares).
• Suspeito 3, autônomo, hackeou 15 mil câmeras IP e criou conteúdo ilegal, incluindo imagens de menores de idade. Até o momento, não há informações indicando que ele vendeu algum material.
• Suspeito 4, funcionário de escritório, aparentemente violou apenas 136 câmeras IP e não foi acusado de produzir ou vender conteúdo ilegal.

O leitor atento pode ter percebido que os números não batem exatamente: as cifras acima totalizam bem mais de 120 mil. As autoridades sul-coreanas não forneceram uma explicação clara para essa discrepância. Os jornalistas especulam que alguns dispositivos podem ter sido comprometidos por mais de um invasor.

A investigação revelou que só dois suspeitos venderam o conteúdo sexual que roubaram. No entanto, a dimensão da operação deles é impressionante. No ano passado, o site que ambos os autores utilizaram para vender seus vídeos e que hospeda conteúdo de voyeurismo e exploração sexual recebeu 62% de seus uploads só desses indivíduos. Em essência, isso significa que a dupla de entusiastas de vídeo forneceu a maior parte do conteúdo ilegal da plataforma. Também foi relatada a detenção de três compradores desses vídeos.

Os investigadores sul-coreanos conseguiram identificar com precisão o local de 58 câmeras hackeadas. Eles notificaram as vítimas e forneceram orientações sobre como alterar as senhas para proteger suas câmeras IP. Ainda que os investigadores não tenham divulgado detalhes sobre o método de comprometimento, isso indica que os invasores usaram força bruta para decifrar as senhas simples das câmeras.

Outra possibilidade é que os proprietários, como acontece com frequência, simplesmente nunca tenham alterado os nomes de usuário e as senhas padrão. Essas credenciais padrão são amplamente conhecidas, portanto, é perfeitamente plausível que, para obter acesso, os invasores só precisassem saber o endereço IP da câmera e testar algumas combinações comuns de nome de usuário e senha.

Como evitar ser vítima de hackers voyers

As principais lições de todo esse dorama sul-coreano saem diretamente do nosso manual:

• Sempre substitua as credenciais de fábrica por logins e senhas próprios.
• Nunca use senhas fracas ou simples, mesmo para contas ou gadgets aparentemente inofensivos. Você não precisa trabalhar no Louvre para ser um alvo. Não é possível saber quais credenciais os invasores tentarão quebrar ou para onde essa violação inicial pode levá-los.
• Sempre defina senhas exclusivas. Ao reutilizar senhas, um vazamento de dados de um serviço pode colocar todas as suas outras contas em risco.

Essas regras são universais: valem tanto para contas de redes sociais e serviços bancários quanto para robôs aspiradores, câmeras IP e qualquer outro dispositivo inteligente da sua casa.

Para manter todas essas senhas exclusivas organizadas sem perder a cabeça, recomendamos um gerenciador de senhas confiável. O Kaspersky Password Manager pode armazenar todas as suas credenciais com segurança e gerar senhas aleatórias, complexas e indecifráveis. Com ele, você pode ter a tranquilidade de que ninguém descobrirá as senhas de suas contas ou dispositivos. Além disso, ele ajuda você a gerar códigos únicos para autenticação de dois fatores, salvar e preencher automaticamente chaves de acesso e sincronizar seus dados sensíveis (não apenas logins e senhas, mas também dados de cartões bancários, documentos e até fotos privadas) de forma criptografada em todos os seus dispositivos.

Desconfia que uma câmera oculta pode estar filmando você? Leia mais em nossas publicações:

• Perseguição por webcam: fato ou ficção?
• Segurança ao usar o Airbnb: dicas para viagem tranquila
• Quatro maneiras de encontrar câmeras espiãs
• Lumos: Sistema de detecção de dispositivos IoT
• Perigos na segurança das câmeras IP

O ano de 2025 transformou significativamente nosso acesso à internet e como navegamos nela. Novas leis radicais, a ascensão de assistentes de IA e sites tentando bloquear bots de IA vêm remodelando a Internet diante de nossos olhos. Então, o que você precisa saber sobre essas transformações e quais conhecimentos e hábitos deve carregar consigo em 2026? Como é nossa tradição, abordaremos isso com oito resoluções de Ano Novo. O que prometemos para 2026?…

Conheça suas leis locais

No ano passado, houve um volume excepcional de leis, alterando seriamente as regras da Internet para usuários comuns. Os legisladores no mundo todo ficaram ocupados:

• Proibindo mídias sociais para adolescentes
• Introduzindo procedimentos rigorosos de verificação de idade, como a verificação de documentos de identidade para acesso a determinados sites
• Exigindo o consentimento explícito dos pais para que menores possam acessar muitos serviços on-line
• Exercendo pressão por meio de bloqueios e ações judiciais quando elas não cumprem as leis de proteção infantil existentes. A Roblox, por exemplo, tem atraído muitos olhares neste quesito.

O melhor que você pode fazer é buscar notícias em sites imparciais e sem sensacionalismo, além de analisar os comentários de juristas. Você precisa entender quais as suas obrigações e, caso tenha filhos menores de idade, o que muda para eles.

É possível que você tenha conversas difíceis com seus filhos sobre as novas regras de uso de mídias sociais ou jogos. É fundamental evitar que a revolta dos adolescentes leve a erros perigosos, como instalar malwares disfarçados de “mods que ignoram restrições” ou migrar para redes sociais pequenas e sem moderação. Proteger a geração mais jovem exige que os computadores e smartphones deles possuam proteções confiáveis, além de ferramentas de controle para pais.

Mas não se trata só de cumprir as leis. Temos quase toda certeza que você vai se deparar com efeitos colaterais negativos que os legisladores não previram.

Domine novos métodos de proteção do acesso

Alguns sites optam pelo bloqueio geográfico de certos países para evitar as complexidades de cumprir as legislações regionais. Caso tenha certeza de que as leis locais permitem o acesso ao conteúdo, você pode ignorar esses bloqueios geográficos usando uma VPN. Selecione um servidor em um país em que seja possível acessar o site.

É importante escolher um serviço que não apenas ofereça servidores nos locais certos, mas que também reforce a privacidade, afinal o uso de muitas VPNs gratuitas pode comprometê-la de forma significativa. Recomendamos o Kaspersky VPN Secure Connection.

Proteja-se contra vazamentos de documentos

Ainda que existam diferentes maneiras de implementar a verificação de idade, isso costuma envolver sites que usam serviços de verificação de terceiros. Em sua primeira tentativa de login, você será redirecionado para um site próprio para concluir uma das diversas verificações: tirar uma foto de sua identidade ou carteira de motorista, usar um cartão do banco ou acenar e sorrir para um vídeo, entre outras possibilidades.

Por princípio, a simples ideia de apresentar um passaporte para acessar sites adultos é bastante impopular. Mas, além disso, há um risco sério de vazamento de dados. Esses incidentes já são uma realidade: as violações de dados afetaram uma empresa contratada para verificar usuários do Discord, bem como provedores de serviços para o TikTok e Uber. Conforme o número de sites que exigem essa verificação aumenta, o risco de vazamento também aumenta.

O que você pode fazer?

• Priorize serviços que não solicitam uploads de documentos. Em vez disso, tente utilizar aqueles que utilizam métodos alternativos de verificação de idade, por exemplo, uma cobrança de microtransação, confirmação por meio do banco ou outro provedor externo confiável, ou análise comportamental/biométrica.
• Escolha seu documento menos sensível e mais fácil de substituir, e utilize-o em todas as verificações. Neste caso, “menos sensível” significa conter dados pessoais mínimos, sem outros identificadores principais, como o número de identificação nacional.
• Use um endereço de e-mail e um número de telefone exclusivos junto com esse documento. Para sites e serviços que não verificam sua identidade, use informações de contato completamente diferentes. Isso dificulta muito a reunião dos seus dados a partir de vazamentos diferentes.

Conheça o novo manual dos golpistas

É bastante provável que golpistas utilizem o pretexto de “verificação de idade” para começar a enviar phishing com intuito de obter dados pessoais e de pagamento, além de empurrar malware para os visitantes. Afinal, é muito tentador só copiar e colar algum texto no computador, em vez de enviar uma foto do passaporte. Atualmente, ataques ClickFix geralmente se disfarçam de verificação CAPTCHA, mas é sensato que a verificação de idade seja a próxima etapa desses esquemas. Como reduzir esses riscos?

• Verifique atentamente todos os sites que pedem verificação. Não conclua a verificação se você já fez isso para esse serviço ou se chegou à página de verificação por meio de um link de aplicativo de mensagens, buscador ou anúncio.
• Nunca baixe aplicativos ou copie e cole texto para a verificação. Todos os serviços legítimos são executados dentro da janela do navegador, no entanto, o serviço pode solicitar que usuários de desktop utilizem um smartphone para concluir a verificação.
• Analise e suspeite de qualquer situação que solicite a inserção de um código recebido por meio de um aplicativo de mensagens ou SMS para acessar um site ou confirmar uma ação. Isso costuma ser uma maneira de sequestrar sua conta de aplicativo de mensagens ou outro serviço essencial.
• Instale umsoftware de segurança confiável em todos os seus computadores e smartphones para ajudar a bloquear o acesso a sites fraudulentos. Recomendamos o Kaspersky Premium, que fornece: uma VPN segura, proteção contra malwares, alertas no caso de seus dados pessoais aparecerem em vazamentos públicos, gerenciador de senhas, controle para pais, e muito mais.

Cultive hábitos saudáveis no uso de IA

Mesmo que você não seja fã da IA, será difícil evitá-la, pois ela está sendo incorporada a praticamente todos os serviços do dia a dia: Android, Chrome, MS Office, Windows, iOS, Creative Cloud… a lista é infinita. Da mesma maneira que lidamos com fast food, televisão, TikTok e outras conveniências de fácil acesso, o segredo é encontrar um equilíbrio entre o uso saudável dos assistentes de IA e o desenvolvimento de um vício.

Identifique as áreas onde sua acuidade mental e seu crescimento pessoal são mais importantes. Uma pessoa que não corre regularmente tem uma redução em seu condicionamento físico. Da mesma forma, alguém que sempre usa a navegação com GPS fica pior na leitura de mapas em papel. Onde quer que você valorize o trabalho de sua mente, transferi-lo para a IA pode fazer você perder uma vantagem. Mantenha um equilíbrio: faça você mesmo esse trabalho mental diário, ainda que a IA seja capaz de fazê-lo bem, desde traduzir textos até procurar informações na Wikipedia. Você não precisa fazer isso o tempo todo, mas não se esqueça de fazê-lo ocasionalmente. Se desejar uma abordagem mais radical, você também pode desativar os serviços de IA quando possível.

Saiba onde o custo de um erro é alto. Mesmo com os melhores esforços dos desenvolvedores, a IA pode fornecer respostas totalmente equivocadas e com plena confiança. É improvável que nos próximos anos essas alucinações, como são chamadas, sejam erradicadas totalmente. Portanto, evite usar a IA no caso de documentos importantes e decisões críticas, ou analise seus resultados com muito cuidado. Verifique cada número, cada vírgula.

Sinta-se à vontade para experimentar a IA em outras áreas. Mas não se esqueça que erros e alucinações são uma possibilidade real mesmo quando a utilizamos em situações aparentemente inofensivas.

Como reduzir o risco de vazamentos. Quanto mais você usa a IA, mais o provedor de serviços possui informações suas. Sempre que possível, priorize os recursos de IA que são executados apenas em seu dispositivo. Essa categoria inclui a proteção contra sites fraudulentos no Chrome, a tradução de texto no Firefox, o assistente de reescrita no iOS, entre outros. Você pode executar um chatbot localmente em seu próprio computador.

Assistentes de IA precisam de supervisão rigorosa. Sistemas de IA com capacidades agênticas, que executam tarefas em seu nome, apresentam riscos significativamente maiores. Pesquise minuciosamente os riscos nessa área antes de confiar em um agente para fazer compras on-line ou de tirar férias. E use modos em que o assistente solicita sua confirmação antes de inserir dados pessoais, ou comprar qualquer coisa.

Verifique suas assinaturas e planos

A economia da Internet está mudando bem diante de nossos olhos. A corrida da IA eleva o custo de componentes e de computação, enquanto tarifas e conflitos geopolíticos afetam as cadeias de suprimentos, o que pode encarecer produtos com recursos de IA. Quase qualquer serviço on-line pode ficar mais caro da noite para o dia, podendo chegar a porcentagens de dois dígitos. Alguns provedores estão seguindo um caminho diferente e deixando de usar uma taxa fixa mensal para usar taxa por uso em situações como músicas baixadas ou imagens geradas.

Para evitar surpresas desagradáveis ao verificar seu extrato bancário, crie o hábito de revisar os termos de todas as suas assinaturas pelo menos três ou quatro vezes por ano. Você pode descobrir que um serviço atualizou seus planos e que você precisa trocar para um mais simples. Ou um serviço pode ter inscrito você silenciosamente em um recurso adicional e seja necessário desativá-lo. Pode ser melhor cancelar alguns serviços ou utilizá-los no modo gratuito. A educação financeira está se tornando uma habilidade essencial para gerenciar seus gastos digitais.

Para obter uma visão completa de suas assinaturas e entender de verdade seus gastos mensais ou anuais em serviços digitais, a melhor opção é manter um registro em um só lugar. Uma planilha do Excel ou do Google Docs já faz isso, mas é mais prático usar um aplicativo dedicado como o SubsCrab. Ele envia lembretes de pagamentos futuros, mostra todos os seus gastos mês a mês e ainda pode ajudar você a encontrar ofertas melhores para um mesmo serviço ou em serviços semelhantes.

Priorize a longevidade de sua tecnologia

O encanto de novos e poderosos processadores, câmeras e recursos de IA pode seduzi-lo a comprar um novo smartphone ou laptop em 2026, mas você deve se planejar para priorizar um dispositivo que dure vários anos. Existem alguns motivos…

Primeiro, o ritmo no surgimento de novos recursos significativos diminuiu e o desejo de atualizá-los com frequência diminuiu para muitos. Em segundo lugar, os preços dos gadgets aumentaram significativamente devido ao encarecimento de chips, mão de obra e fretes, tornando grandes compras mais difíceis de se justificar. Além disso, regulamentações como as da UE passaram a exigir que as baterias de novos dispositivos sejam facilmente substituíveis, o que significa que a peça que mais rápido se desgasta em um telefone terá uma substituição mais fácil e barata.

Então, o que é necessário para garantir que seu smartphone ou laptop possa durar vários anos?

• Proteção física. Use capas, protetores de tela e até mesmo uma bolsa à prova d’água.
• Armazenamento adequado. Evite temperaturas extremas, não deixe seu dispositivo embaixo do sol ou congelando durante a noite em um carro a -15 °C.
• Cuidados com a bateria. Evite deixar que a carga fique abaixo de 10%.
• Atualizações frequentes de software. Esta é a parte mais complicada. As atualizações são essenciais para a proteção de seu telefone ou laptop contra novos tipos de ataques. No entanto, as atualizações podem causar lentidão, superaquecimento ou alto consumo da bateria. A abordagem mais prudente é esperar aproximadamente uma semana após uma atualização importante do sistema operacional, verificar o feedback dos usuários que possuem o mesmo modelo e só instalar a atualização se o benefício for óbvio.

Proteja sua casa inteligente

A casa inteligente está dando lugar a um novo conceito: a casa inteligente com IA. A ideia é que as redes neurais ajudem sua casa a tomar as próprias decisões sobre o que fazer e quando, tudo pela sua conveniência, deixando de precisar de rotinas pré-programadas. Graças ao padrão Matter 1.3, uma casa inteligente não fica mais limitada ao gerenciamento de luzes, TVs e fechaduras, como passa a gerenciar eletrodomésticos, secadoras e até carregadores de veículos elétricos! Além disso, estamos observando um aumento nos dispositivos com protocolo de comunicação principal nativo Matter over Thread, como na nova linha IKEA KAJPLATS. Dispositivos de diferentes fornecedores que utilizam o Matter podem ver e se comunicar uns com os outros. Isso significa que você pode comprar um Apple HomePod para ser seu hub central doméstico inteligente e conectá-lo a lâmpadas Philips Hue, tomadas Eve Energy e interruptores IKEA BILRESA.

Tudo isso indica que casas inteligentes com IA se tornarão cada vez mais comuns, assim como os métodos para atacá-las. Temos um artigo detalhado sobre segurança de casas inteligentes, mas aqui estão algumas dicas importantes e válidas à luz da transição para o Matter.

• Unifique seus dispositivos em uma única malha Matter. Use o mínimo de controladores, por exemplo, uma Apple TV e um smartphone. Se houver um controlador acessível a muitos membros da família, como uma TV ou outro dispositivo, certifique-se de usar a senha de segurança e outras restrições disponíveis para funções críticas.
• Escolha um hub e um controlador dos principais fabricantes e que possuam um compromisso sério com a segurança.
• Minimize o número de dispositivos que conectam sua malha Matter à Internet. Esses dispositivos, chamadas de roteadores de fronteira, devem ser bem protegidos contra ataques cibernéticos externos, por exemplo, seu acesso deve ficar restrito ao nível de seu roteador de Internet doméstico.
• Verifique com regularidade sua rede doméstica em busca de dispositivos suspeitos e desconhecidos. Você pode usar seu controlador ou hub para fazê-lo em sua malha Matter, e em sua rede doméstica, com seu roteador principal ou um recurso como o Smart Home Monitor do Kaspersky Premium.

Imagine que convidaram você para um jogo de pôquer privado com atletas famosos. Em quem você confiaria mais para embaralhar as cartas: em um crupiê ou em um dispositivo automatizado especializado? Fundamentalmente, essa questão se resume ao que você mais acredita: na honestidade do crupiê ou na confiabilidade da máquina. É provável que muitos jogadores de pôquer prefiram o dispositivo especializado, já que é muito mais difícil subornar ou coagir uma máquina do que um ser humano. No entanto, em 2023, pesquisadores de segurança cibernética demonstraram que um dos modelos mais populares, o DeckMate 2, fabricado pela Light & Wonder, é, na verdade, muito fácil de hackear.

Dois anos depois, a polícia encontrou vestígios de manipulação desses dispositivos não em um laboratório, mas em estabelecimentos. Esta postagem detalha como o embaralhador DeckMate 2 funciona, por que seu design facilita a trapaça, como os criminosos usaram o hack e o que o basquete tem a ver com tudo isso.

Como funciona o embaralhador automático de cartas DeckMate 2

O embaralhador automático DeckMate 2 começou a ser fabricado em 2012. Desde então, ele se tornou um dos modelos mais populares, usado em quase todos os principais cassinos e clubes de pôquer privados do mundo. O dispositivo é uma caixa preta, quase do tamanho de uma fragmentadora de papel comum, geralmente instalada sob a mesa de pôquer.

O DeckMate 2 é um embaralhador automático de cartas profissional que mistura rapidamente o baralho enquanto verifica se todas as 52 cartas estão presentes e se nenhuma carta extra foi inserida. Fonte

Na superfície da mesa, é possível ver apenas um pequeno compartimento onde as cartas são colocadas para serem embaralhadas. É provável que a maioria dos jogadores comuns não perceba que a parte “submersa” do “iceberg” é muito maior e mais complexa do que parece à primeira vista.

É assim que o DeckMate 2 se parece quando é instalado em uma mesa de jogo: a parte divertida está escondida sob a superfície. Fonte

Depois que o crupiê coloca o baralho dentro do DeckMate 2, a máquina faz as cartas passarem pelo módulo de leitura, uma a uma. Nesse estágio, o dispositivo verifica se o baralho contém todas as 52 cartas e nada além delas. Se houver algo fora do normal, a tela conectada exibirá um alerta. Depois, a máquina embaralha as cartas e devolve o baralho ao crupiê.

O DeckMate 2 leva apenas 22 segundos para embaralhar e verificar as cartas. A verificação de cartas ausentes ou extras é feita por uma câmera interna que confere todas. Ela também participa da ordenação do baralho. É difícil imaginar o uso prático desse último recurso em jogos de cartas. Supõe-se que os designers o adicionaram apenas porque podiam.

Seguindo adiante, foi exatamente essa câmera que literalmente permitiu que pesquisadores e infratores visualizassem a sequência das cartas. O modelo anterior, chamado Deck Mate, não tinha essa câmera e, portanto, não oferecia uma maneira de espiar a ordem das cartas.

Para impedir a ação de hackers, o DeckMate 2 utiliza uma verificação de hash que garante que o software permaneça inalterado após a instalação. Na inicialização, o dispositivo calcula o hash do firmware e o compara com a referência armazenada na sua memória. Se os valores coincidirem, a máquina entende que o firmware está íntegro e prossegue. Caso contrário, identifica uma tentativa de adulteração.

Além disso, o design do DeckMate 2 inclui uma porta USB, que é usada para carregar atualizações de firmware. Os dispositivos DeckMate 2 também podem ser alugados da Light & Wonder em um modelo de pagamento por uso, em vez de adquiridos. Nesse caso, é comum eles estarem equipados com um modem celular que transmite dados de uso ao fabricante para fins de cobrança.

Como os pesquisadores conseguiram comprometer o DeckMate 2

Os leitores de longa data do nosso blog provavelmente já detectaram várias falhas no design do DeckMate 2 que foram exploradas pelos pesquisadores para sua prova de conceito. Eles fizeram uma demonstração na conferência de segurança cibernética Black Hat em 2023.

A primeira etapa do ataque foi conectar um pequeno dispositivo à porta USB. Para a prova de conceito, os pesquisadores usaram um microcomputador Raspberry Pi, que é menor do que a palma da mão de um adulto. No entanto, eles observaram que, com recursos suficientes, os infratores conseguem executar o mesmo ataque usando um módulo ainda mais compacto, que tem o tamanho de uma unidade flash USB padrão.

Depois de conectado, o dispositivo modificava o código do DeckMate 2 e assumia o controle. Isso também concedeu aos pesquisadores acesso à câmera interna mencionada acima, usada para verificar o baralho. Agora eles conseguiam visualizar a ordem exata das cartas no baralho em tempo real.

Essas informações foram transmitidas via Bluetooth para um celular próximo, onde um app experimental mostrava a sequência das cartas.

O aplicativo experimental criado pelos pesquisadores: recebe a ordem das cartas do DeckMate 2 hackeado via Bluetooth.Fonte

O sucesso do golpe depende do fato de que o cúmplice do trapaceiro mantém o celular com o app instalado. Essa pessoa pode então usar gestos discretos para o jogador trapaceiro.

O que permitiu aos pesquisadores obter esse grau de controle sobre o DeckMate 2 foi uma vulnerabilidade nas suas senhas embutidas no código. Para os testes, eles compraram vários embaralhadores usados, e um dos vendedores forneceu a eles a senha de manutenção do DeckMate 2. Os pesquisadores extraíram as senhas restantes diretamente do firmware, incluindo a senha de root.

Essas senhas de sistema no DeckMate 2 são definidas pelo fabricante e devem ser iguais em todos os aparelhos. Enquanto estudavam o código do firmware, os pesquisadores descobriram que as senhas estavam embutidas no sistema, tornando-as difíceis de alterar. Como resultado, o mesmo conjunto de senhas, conhecido por muita gente, provavelmente protege a maioria das máquinas em circulação. Isso significa que quase todos os dispositivos estão potencialmente vulneráveis ao ataque desenvolvido pelos pesquisadores.

Para burlar a verificação de hash, os pesquisadores simplesmente substituíram o hash de referência armazenado na memória. Na inicialização, o dispositivo calcularia o hash do código alterado, compararia com o valor também alterado e aceitaria o firmware como autêntico.

Os pesquisadores também notaram que modelos com modem celular poderiam ser invadidos remotamente por meio de uma estação falsa, enganando o dispositivo em vez de usar uma torre real. Embora eles não tenham testado a viabilidade desse vetor, ele não parece improvável.

Como a máfia manipulou máquinas DeckMate 2 em jogos de pôquer reais

Dois anos depois, os avisos dos pesquisadores receberam uma confirmação no mundo real. Em outubro de 2025, o Departamento de Justiça dos EUA indiciou 31 pessoas por fraudarem vários jogos de pôquer. De acordo com os documentos do caso, nesses jogos, um grupo criminoso usou vários meios técnicos para obter informações sobre as cartas dos adversários.

Esses meios incluíam cartas com marcações invisíveis detectáveis por telefones, óculos especiais e lentes de contato capazes de ler essas marcas secretamente. Mas, para o contexto desta postagem, o ponto essencial é que os golpistas também invadiram máquinas DeckMate 2, programadas para transmitir secretamente quais cartas seriam distribuídas a cada jogador.

E é aqui que finalmente vamos falar sobre basquete e atletas da NBA. De acordo com a acusação, o esquema envolveu membros de várias famílias da máfia e ex-jogadores da NBA.

A investigação revelou que os golpistas organizaram vários jogos de pôquer de alto risco ao longo de muitos anos em diversas cidades dos EUA. Vítimas ricas foram atraídas pela oportunidade de jogar com estrelas da NBA (que negam qualquer irregularidade). Os investigadores estimam que as vítimas perderam mais de US$ 7 milhões.

Os documentos divulgados contêm um relato minucioso de como os golpistas usaram máquinas DeckMate 2 hackeadas. Em vez de alterar dispositivos DeckMate 2 de terceiros via USB (como demonstrado pelos pesquisadores), os criminosos usaram unidades já hackeadas. Houve até mesmo um caso em que membros da máfia apontaram uma arma para uma pessoa e tomaram seu dispositivo comprometido.

Apesar dessa modificação peculiar, o essencial do ataque seguiu quase igual à prova de conceito dos pesquisadores. As máquinas comprometidas do DeckMate 2 repassaram dados a um operador remoto, que os encaminhou ao telefone de um dos participantes. Os criminosos chamavam esse operador de “quarterback”. O golpista então usava sinais sutis para influenciar o jogo.

O que podemos aprender com essa história

Os fabricantes do DeckMate 2 afirmaram aos jornalistas que, após a pesquisa sobre a vulnerabilidade do dispositivo, implementaram várias alterações no hardware e no software. Essas melhorias incluíram desativar a porta USB exposta e atualizar as rotinas de verificação do firmware. Certamente, os cassinos licenciados já instalaram essas atualizações. Bem, esperamos que sim.

No entanto, a integridade desses dispositivos usados em clubes de pôquer privados e cassinos ilegais segue bastante duvidosa. Esses locais costumam usar máquinas DeckMate 2 usadas sem atualizações ou manutenção, tornando-as mais vulneráveis. E isso sem considerar quando o próprio estabelecimento pode querer manipular as máquinas.

Apesar de todos os detalhes intrigantes do hack do DeckMate 2, os precursores são comuns: senhas reutilizadas, uma porta USB e, claro, jogos não licenciados. A este respeito, o único conselho para entusiastas de jogos é evitar clubes ilegais.

A principal lição desta história é que senhas padrão devem ser trocadas em qualquer dispositivo, seja um roteador Wi-Fi ou um embaralhador de cartas. Para gerar uma senha forte e exclusiva e ser capaz de lembrá-la, use um gerenciador de senhas confiável. A propósito, você também pode usar o Kaspersky Password Manager para gerar códigos de uso único para autenticação em duas etapas.

As extensões de navegador mal-intencionadas continuam sendo um ponto cego significativo para as equipes de cibersegurança de muitas organizações. Elas se tornaram um elemento permanente no arsenal dos criminosos cibernéticos, sendo usadas para roubo de sessão e conta, espionagem, mascaramento de outras atividades criminosas, fraude em anúncios e roubo de criptomoedas. Os incidentes de alto perfil envolvendo extensões mal-intencionadas são frequentes, abrangendo desde o comprometimento da extensão de segurança Cyberhaven até a publicação em massa de extensões de infostealer.

As extensões atraem os invasores porque concedem permissões e amplo acesso a informações dentro de aplicativos SaaS e sites. Como não são aplicativos independentes, geralmente passam despercebidas pelas políticas de segurança e ferramentas de controle padrão.

A equipe de segurança de uma empresa deve abordar esse problema de forma sistemática. O gerenciamento de extensões de navegador exige combinar ferramentas de política com serviços ou utilitários focados na análise de extensões. Este tópico foi o foco da palestra de Athanasios Giatsos no Security Analyst Summit 2025.

Recursos de ameaça de extensões da Web e inovações no Manifest V3

A extensão da Web de um navegador tem amplo acesso às informações da página da Web: ela pode ler e modificar qualquer dado disponível para o usuário por meio do aplicativo da Web, incluindo registros financeiros ou médicos. As extensões também acessam dados importantes sem que o usuário perceba como cookies, armazenamento local e configurações de proxy. Isso simplifica bastante o sequestro de sessão. Às vezes, as extensões vão muito além das páginas da Web: elas podem acessar a localização do usuário, downloads do navegador, captura de tela da área de trabalho, conteúdo da área de transferência e notificações do navegador.

Na arquitetura de extensões anteriormente dominante, as extensões do Manifest V2, que funcionavam no Chrome, Edge, Opera, Vivaldi, Firefox e Safari, são praticamente indistinguíveis de aplicativos completos em termos de recursos. Elas podem executar scripts em segundo plano continuamente, manter páginas da Web invisíveis abertas, carregar e executar scripts de sites externos e comunicar-se com sites arbitrários para recuperar ou enviar dados. Para conter possíveis abusos, bem como limitar os bloqueadores de anúncios, o Google fez a transição do Chromium e do Chrome para o Manifest V3. A atualização limitou ou bloqueou muitos recursos das extensões. As extensões precisam declarar todos os sites com que interagem, não podem mais executar código de terceiros carregado dinamicamente e devem usar microsserviços de curta duração em vez de scripts persistentes em segundo plano. Embora certos ataques tenham se tornado mais difíceis com a nova arquitetura, invasores ainda conseguem adaptar o código mal-intencionado para manter a maior parte das funções necessárias, mesmo sacrificando a discrição. Portanto, contar apenas com navegadores e extensões que operam sob o Manifest V3 em uma organização simplifica o monitoramento, mas não é uma solução completa.

Além disso, o V3 não resolve o problema principal das extensões: elas geralmente são baixadas de lojas de aplicativos oficiais usando domínios legítimos do Google, da Microsoft ou da Mozilla. Suas atividades parecem ser iniciadas pelo próprio navegador, tornando extremamente difícil distinguir entre as ações executadas por uma extensão e aquelas realizadas manualmente pelo usuário.

Como surgem as extensões mal-intencionadas

Com base em vários incidentes públicos, Athanasios Giatsos destaca diversos cenários em que as extensões mal-intencionadas podem surgir:

• O desenvolvedor original vende uma extensão legítima e popular. O comprador então a “aprimora” com código mal-intencionado para exibição de anúncios, espionagem ou outros fins nocivos. Exemplos incluem The Great Suspender e Page Ruler.
• Os invasores comprometem a conta do desenvolvedor e publicam uma atualização com um cavalo de Troia em uma extensão, como foi o caso da Cyberhaven.
• A extensão é projetada para ser mal-intencionada desde o início. Ela se disfarça como um utilitário relevante, como uma ferramenta falsa Salvar no Google Drive, ou imita os nomes e designs de extensões populares, como as dezenas de clones do AdBlock disponíveis.
• Uma versão mais sofisticada desse esquema envolve publicar inicialmente a extensão em um estado limpo, em que ela executa uma função genuinamente útil. As adições mal-intencionadas são introduzidas semanas ou até meses depois, quando a extensão já alcançou popularidade suficiente. A extensão ChatGPT para o Google é um exemplo.

Em todos esses cenários, ela está amplamente disponível na Chrome Web Store e, às vezes, até anunciada. No entanto, há também um cenário de ataque direcionado em que páginas ou mensagens de phishing solicitam que as vítimas instalem uma extensão mal-intencionada que não está disponível para o público em geral.

A distribuição centralizada pela Chrome Web Store, somada às atualizações automáticas do navegador e das extensões, frequentemente leva os usuários a instalar sem perceber e sem esforço uma extensão mal-intencionada. Se uma extensão já instalada em um computador receber uma atualização mal-intencionada, ela será instalada automaticamente.

Defesas organizacionais contra extensões mal-intencionadas

Em sua palestra, Athanasios fez uma série de recomendações gerais:

• Adotar uma política da empresa para o uso de extensões de navegador.
• Proibir qualquer extensão que não esteja explicitamente incluída em uma lista aprovada pelos departamentos de cibersegurança e TI.
• Fazer auditoria contínua de todas as extensões instaladas e suas versões.
• Quando as extensões forem atualizadas, acompanhe as permissões concedidas e verifique mudanças na propriedade ou na equipe de desenvolvedores.
• Incluir orientações claras sobre riscos e regras para o uso de extensões nos treinamentos de conscientização de segurança para todos os funcionários.

Acrescentamos algumas informações práticas e considerações específicas para essas recomendações.

Lista restrita de extensões e navegadores. Além de aplicar políticas de segurança ao navegador oficialmente aprovado da empresa, é crucial proibir a instalação de versões portáteis e de navegadores de IA populares, como o Comet,ou outras soluções não autorizadas que permitem a instalação das mesmas extensões perigosas. Ao implementar essa etapa, restrinja os privilégios de administrador local à equipe de TI e às demais pessoas cujas funções realmente exijam esse nível de acesso.

Como parte da política do navegador principal da empresa, você deve desativar o modo de desenvolvedor e proibir a instalação de extensões a partir de arquivos locais. Para o Chrome, gerencie isso por meio do Admin Console. Essas configurações também estão disponíveis por meio de Políticas de Grupo do Windows, perfis de configuração do macOS ou por meio de um arquivo de política JSON no Linux.

Atualizações gerenciadas. Implemente a fixação de versão para impedir que as atualizações de extensões permitidas sejam imediatamente instaladas em toda a empresa. As equipes de TI e de cibersegurança precisam testar regularmente as novas versões das extensões aprovadas e fixar as versões atualizadas somente depois de terem sido verificadas.

Proteção multicamadas. É obrigatória a instalação de um agente EDR em todos os dispositivos corporativos para impedir que os usuários iniciem navegadores não autorizados, mitigar os riscos de visita em sites de phishing mal-intencionados e bloquear downloads de malware. Também é necessário rastrear solicitações de DNS e tráfego de rede do navegador no nível do firewall para detecção em tempo real de comunicações com hosts suspeitos e outras anomalias.

Monitoramento contínuo. Use soluções de EDR e SIEM para coletar informações do estado do navegador das estações de trabalho dos funcionários. Isso inclui a lista de extensões em cada navegador instalado, juntamente com os arquivos de manifesto para análise de versão e permissão. Isso permite a detecção rápida de novas extensões que estão sendo instaladas ou da versão que está sendo atualizada e as alterações de permissão concedidas.

Como verificar as extensões do navegador

Para implementar os controles discutidos acima, a empresa precisa de um banco de dados interno de extensões aprovadas e proibidas. Infelizmente, as lojas de aplicativos e os próprios navegadores não oferecem mecanismos para avaliar o risco em uma escala organizacional ou para preencher automaticamente essa lista. Portanto, a equipe de cibersegurança precisa criar esse processo e a lista. Os funcionários também precisarão de um procedimento formal para enviar solicitações para adicionar extensões à lista aprovada.

A avaliação das necessidades da empresa e das alternativas disponíveis é melhor conduzida com um representante da respectiva unidade de negócios. No entanto, a avaliação de risco continua sendo de inteira responsabilidade da equipe de segurança. Não é necessário baixar extensões manualmente e ver suas referências em diferentes repositórios de extensões. Essa tarefa pode ser realizada por várias ferramentas, como utilitários de código aberto, serviços on-line gratuitos e plataformas comerciais.

Serviços como Spin.AI e Koidex (anteriormente ExtensionTotal) podem ser usados para avaliar o risco geral. Ambos mantêm um banco de dados de extensões populares, de modo que a avaliação geralmente seja instantânea. Eles usam LLMs para gerar um breve resumo das propriedades da extensão, mas também fornecem uma análise detalhada, incluindo as permissões necessárias, o perfil do desenvolvedor e o histórico de versões, classificações e downloads.

Para analisar os dados principais das extensões, você também pode usar o Chrome-Stats. Embora tenha sido projetado principalmente para desenvolvedores de extensões, esse serviço exibe classificações, avaliações e outros dados da loja. Ele permite que usuários baixem a versão atual e versões anteriores de uma extensão, facilitando a investigação de incidentes.

Você pode utilizar ferramentas, como o CRX Viewer, para uma análise mais detalhada das extensões suspeitas ou críticas para a operação. Essa ferramenta permite que os analistas examinem os componentes internos da extensão, filtrando e exibindo o conteúdo de forma prática, com ênfase no código HTML e JavaScript.

O Android aumenta constantemente as restrições de aplicativos com o intuito de impedir que golpistas consigam usar softwares maliciosos para roubar dinheiro, senhas e informações confidenciais de usuários. No entanto, uma nova vulnerabilidade apelidada de Pixnapping é capaz de driblar todas as camadas de proteção do Android, possibilitando que um invasor leia os pixels de imagem da tela de forma imperceptível, ou seja, faça uma captura de tela.

Um aplicativo malicioso sem nenhuma permissão pode ver senhas, saldos de contas bancárias, códigos de uso único e qualquer outra informação que o usuário do Android visualizar na tela. Felizmente, no momento, o Pixnapping é apenas um projeto baseado em pesquisa e ainda não está sendo explorado ativamente por atores de ameaças. Resta esperar que o Google corrija completamente a vulnerabilidade antes que o código de ataque seja incorporado a malwares do mundo real. Atualmente, a vulnerabilidade Pixnapping (CVE-2025-48561) deve afetar todos os smartphones modernos com sistema Android, incluindo os que executam as versões mais recentes deste sistema.

Por que a captura e leitura de telas e a projeção de mídias são perigosas

Conforme demonstrado pelo SparkCat, um malware de roubo de dados que usa OCR, os atores de ameaças já dominam o processamento de imagens. Se houver uma informação valiosa em uma imagem no smartphone, o malware poderá detectá-la, executar o reconhecimento óptico de caracteres diretamente no telefone e, em seguida, extrair os dados para o servidor do invasor. O SparkCat é particularmente significativo por ter conseguido se infiltrar nos marketplaces de aplicativos oficiais, incluindo a App Store. Não seria difícil para um aplicativo malicioso infectado com Pixnapping replicar esse truque, até mesmo porque o ataque não exige permissões especiais. Um aplicativo aparentemente útil e legítimo pode enviar simultânea e silenciosamente códigos únicos de autenticação multifator, senhas de carteiras de criptomoedas e qualquer outra informação aos golpistas.

Visualizar os dados necessários conforme são exibidos, em tempo real, também é uma tática popular usada pelos agentes maliciosos. Nessa abordagem de engenharia social, eles entram em contato com a vítima por meio de um aplicativo de mensagens e a convencem, sob vários pretextos, a ativar o compartilhamento de tela.

Anatomia do ataque Pixnapping

Os pesquisadores conseguiram capturar o conteúdo de outros aplicativos combinando métodos já conhecidos de roubo de pixels de navegadores e de unidades de processamento gráfico (GPUs) de telefones ARM. Furtivamente, o aplicativo de ataque sobrepõe janelas translúcidas às informações desejadas e, em seguida, analisa como o sistema de vídeo combina os pixels das janelas em uma imagem final.

Em 2013, pesquisadores descreveram um ataque em que um site foi capaz de carregar outro dentro de sua própria janela (usando um iframe) e, ao executar operações legítimas de sobreposição e transformação de imagens, deduzir exatamente o que foi desenhado ou escrito no outro site. Embora os navegadores mais modernos tenham conseguido evitar esse ataque específico, um grupo de pesquisadores dos EUA descobriu como realizá-lo no Android.

O aplicativo malicioso envia uma chamada do sistema para o aplicativo de destino. No Android, isso é conhecido como Intent. Os Intents costumam permitir tanto a inicialização simples do aplicativo quanto a abertura imediata de um navegador a partir de uma URL específica ou de um aplicativo de mensagens a partir de uma conversa com um contato específico. O aplicativo de ataque envia um Intent desenvolvido para forçar o aplicativo alvo a renderizar a tela com as informações confidenciais. São utilizadas bandeiras especiais de inicialização ocultas. Então, o aplicativo de ataque envia um Intent de inicialização para si mesmo. Essa combinação específica de ações faz com que o aplicativo não apareça na tela da vítima, mas exiba as informações solicitadas pelo invasor em uma janela em segundo plano.

No segundo estágio do ataque, o aplicativo malicioso sobrepõe várias janelas translúcidas com a janela oculta do aplicativo afetado, cada uma delas cobrindo e desfocando o conteúdo da janela abaixo de si. Esse mecanismo complexo permanece invisível para o usuário, mas o Android calcula cuidadosamente como seria a aparência dessa combinação de janelas se o usuário a trouxesse para o primeiro plano.

O aplicativo de ataque só é capaz de ler diretamente os pixels das suas próprias janelas translúcidas; o invasor não tem acesso direto à imagem combinada final, que incorpora o conteúdo da tela do aplicativo da vítima. Para contornar essa restrição, os pesquisadores empregam dois truques engenhosos: (i) o pixel que se deseja roubar é isolado dos outros ao seu redor, sobrepondo o aplicativo da vítima com uma janela fosca com um único ponto transparente compatível com o pixel desejado; (ii) coloca-se uma camada de ampliação com o desfoque elevado habilitado por cima dessa combinação.

Como a vulnerabilidade Pixnapping funciona

Para decifrar o mush resultante e determinar o valor do pixel da janela inferior, os pesquisadores se aproveitaram de outra vulnerabilidade famosa, a GPU.zip (esse link pode se parecer com o link de um arquivo, mas conduz ao site de uma pesquisa). Essa vulnerabilidade baseia-se no fato de que todos os smartphones modernos comprimem os dados de qualquer imagem enviada da CPU para a GPU. Essa compactação não gera perdas (como um arquivo ZIP), mas a velocidade de compactação e descompactação sofre alterações dependendo das informações transmitidas. A GPU.zip possibilita que um invasor analise o tempo necessário de compactação dos dados. E ao cronometrar essas operações, o invasor pode deduzir quais dados estão sendo transferidos. Com a ajuda da GPU.zip, o pixel isolado, desfocado e ampliado da janela do aplicativo da vítima pode ser lido com êxito pelo aplicativo malicioso.

Roubar algo significativo requer que todo o processo de roubo de pixels seja repetido centenas de vezes, pois ele precisa ser feito para cada ponto separadamente. No entanto, isso é totalmente viável dentro de um curto período de tempo. Nessa demonstração em vídeo do ataque, um código de seis dígitos do Google Authenticator foi extraído com sucesso em apenas 22 segundos, enquanto o código ainda estava válido.

Como o Android protege a confidencialidade da tela

Os engenheiros do Google possuem quase duas décadas de experiência no combate a diversos ataques de privacidade, o que resultou na criação de uma defesa estratificada contra a captura ilegal de telas e vídeos. Uma lista completa dessas proteções necessitaria de várias páginas. Portanto, selecionamos apenas algumas das principais:

• O sinalizador da janela FLAG_SECURE evita que o sistema operacional faça capturas de tela do conteúdo.
• O acesso às ferramentas de projeção de mídia (que capturam o conteúdo da tela como um fluxo de mídia) requer a confirmação explícita do usuário, podendo ser feito apenas por aplicativos visíveis e ativos.
• Restrições rígidas são impostas ao acesso a serviços administrativos, como o AccessibilityService, e à capacidade de renderizar elementos do aplicativo sobre outros.
• As senhas de uso único e outros dados secretos são ocultados automaticamente ao detectar a projeção de mídia.
• O Android impede que os aplicativos acessem os dados de outros aplicativos. Além disso, os aplicativos não podem solicitar uma lista completa de aplicativos instalados no smartphone.

Infelizmente, o Pixnapping dribla todas essas restrições existentes e não exige nenhuma permissão especial. O aplicativo invasor só precisa de dois recursos fundamentais: renderizar suas próprias janelas e enviar chamadas do sistema (Intents) para outros aplicativos. Essas são as estruturas operacionais básicas do Android. Portanto, é muito difícil restringi-las.

Quais dispositivos são afetados pelo Pixnapping e como se defender

A viabilidade do ataque foi confirmada nas versões 13 a 16 do Android em dispositivos Google Pixel das gerações 6 a 9, bem como no Samsung Galaxy S25. Os pesquisadores acreditam que também seja possível executar o ataque em outros dispositivos Android, já que todos os seus mecanismos são padrão. No entanto, pode haver nuances relacionadas à implementação da segunda fase do ataque (a técnica de ampliação de pixel).

O Google lançou um patch em setembro depois de ser notificado do ataque ocorrido em fevereiro. Infelizmente, o método escolhido para corrigir a vulnerabilidade não era confiável o suficiente, e os pesquisadores rapidamente criaram uma maneira de contornar o patch. O Google planeja uma nova tentativa de eliminar a vulnerabilidade na atualização de dezembro. Quanto à GPU.zip, não há planos de lançar um patch para esse canal de vazamento de dados. Desde que a falha se tornou pública em 2024, nenhum fabricante de GPU de smartphone anunciou planos para evitá-la até o momento.

As opções do usuário para se defender contra o Pixnapping são limitadas. Recomendamos as seguintes medidas:

• Atualize imediatamente para a versão mais recente do Android com todos os patches de segurança atuais.
• Evite instalar aplicativos de fontes não oficiais e desconfie de aplicativos de lojas oficiais se forem muito novos, tiverem poucos downloads ou avaliações ruins.
• Certifique-se de usar um sistema de segurança completo no seu telefone, como o Kaspersky para Android.

Que outros métodos de ataque fora do padrão existem no Android

• Spywares que fingem ser um antivírus
• Cavalos de Troia instalados em smartphones Android falsos
• Roubo de dados durante o carregamento do smartphone
• Suas fotos de gato estão em risco: a ameaça representada pelo novo Cavalo de Troia SparkKitty
• Como o Necro Trojan atacou 11 milhões de usuários do Android