Aplicativos para Windows 8 são fáceis de hackear

O Windows 8 oferece vários vetores que permitem a manipulação ou modificação de aplicativos, de acordo com Justin Angel. Em sua página pessoal (agora offline edisponível apenas em cache), ele descreve a facilidade de hackear esses aplicativos já que, segundo ele, os dados criptografados são armazenados localmente - juntamente com o algoritmo de criptografia e a chave de hash.

Angel usa diferentes aplicativos de jogo para demonstrar o que é possível fazer com esse conhecimento em mente. Usando 1dados armazenados localmente e ferramentas como dotPeek, o engenheiro afirma que é possível criar um “estoque de ouro” que, de outra forma, precisaria comprar com dinheiro real em um jogo. Angel simplesmente define o preço de compra dos itens para “0” em outro jogo e converte aplicativos de teste gratuito para versões completas que ele então acessa gratuitamente. Seus estudos se concentram em aplicativos que usam o Microsoft Intermediate Language (IL).

Angel também apresenta um hack para aplicativos, como o “Cut the Rope”, que aguarda uma resposta do servidor. O hacker aproveita o fato do Windows Internet Explorer 10 lhe permitir injetar código JavaScript; ele então usa essa brecha para enganar o software, fazendo se passar por seu criador, o que lhe permite aceder gratuitamente a níveis que, de outra forma, precisariam ser pagos.

O engenheiro disse que escolheu jogos para demonstrar as vulnerabilidades do sistema porque “os jogos representam a maior parte da receita dos desenvolvedores”. Embora os dados relativos ao desktop Windows 8 e sistemas operacionais para tablets ainda não tenham sido liberados, as estatísticas oficiais da Microsoft revelam, por exemplo, que 64% da receita de aplicativos para o sistema operacional do Windows Phone 7 é gerada a partir de downloads de jogos comerciais.
Angel também examina como esses problemas podem ser corrigidos. Por exemplo, ele observa que a disponibilidade de armazenamento criptografado do aplicativo que só pode ser acessada ​​por desenvolvedores poderia ajudar. Versões completas e de teste poderiam ser claramente separadas com a liberação destas últimas na forma de pacotes com recursos gerais limitados - e sem a opção para desbloquear a versão completa.

O engenheiro afirma que sua motivação não foi a de fornecer instruções para hacker apps. Pelo contrário, Angel destaca que ele próprio comprou os aplicativos que invadiu e recomenda que seus leitores façam o mesmo, porque “são incríveis”. Ele também observa que o seu empregador não tem nada a ver com seu artigo e que ele trabalhou com os hacks em seu tempo livre. Isto poderia soar um tanto controverso, já que, de acordo com informações acessíveis publicamente como em seu perfil no Twitter, Justin Angel é um engenheiro da Nokia que trabalha no desenvolvimento dos sistemas operacionais do Windows Phone 7 e 8. (Lembrando que a Microsoft e a Nokia trabalharam juntas para desenvolver o Windows Phone).
fonte: Linux magazine 

Falha no Internet Explorer deixa usuários vulneráveis

Conforme a empresa britânica Spider.io, uma falha no Internet Explorer  6 a 10 faz com que crackers possam gravar todos os movimentos do mouse. Assim, senhas e PINs podem ser capturados pelos cibercriminosos caso sejam digitadas em um teclado virtual.
De acordo com a empresa, sem citar nomes,  tal falha vem sendo explorada por duas redes de publicidade. "Enquanto a página com o anúncio contaminado estiver aberta - mesmo se você a coloca em segundo plano ou minimiza o Internet Explorer - o cursor do mouse pode ser rastreado por toda a sua tela inteira", diz comunicado da Spider.io.
A Spider.io disse também que a Microsoft Security Research Center já reconheceu o problema, porém, ainda não mencionou em corrigir a falha.
A empresa publicou os detalhes da falha do IE e também um jogo para demonstrar como pode ser usada para vigiar as atividades dos usuários.