Destaque

A Tesla vai ter de recolher 817.143 veículos para reparar um defeito no software que impede a ativação da mensagem sonora que avisa que o cinto de segurança não está apertado. Em documentos divulgados pela Administração Nacional de Segurança no Tráfego Rodoviário (NHTSA) dos Estados Unidos, a empresa norte-americana disse que até 31 de janeiro não tinha registo de “acidentes, ferimentos ou mortes” causados pelo defeito. Segundo os mesmos documentos, foi um instituto sul-coreano que notificou a Tesla a 6 de janeiro da existência do defeito. Após o aviso do Korea Automobile Testing and Research Institute (KATRI), os técnicos das Tesla verificaram o problema. Este defeito afeta os modelos 3 2017-2022, S 2021-2022, X 2021-2022 e Y 2020-2022. O problema está centrado no software que controla a ativação do sinal sonoro de alerta e ocorre quando o motorista interrompe a mensagem sonora, por exemplo, ao sair do veículo enquanto está ativado. Nestas circunstâncias, o software regista que já avisou o condutor, mas não repete o aviso sonoro. A Tesla também indicou que o sinal sonoro é ativado quando a viatura ultrapassa os 22 quilómetros por hora e o cinto do motorista não é colocado. A empresa de Elon Musk disse à NHTSA que, para corrigir o problema, vai atualizar de forma remota o software em todos veículos afetados e vai notificar os proprietários por correio em 1 de abril. O artigo original via Expresso pode ser lido em: https://expresso.pt/economia/tesla-recolhe-mais-de-800-mil-veiculos-devido-a-defeito-em-software/

Em França, o certificado de vacinação é necessário para entrar na grande maioria dos locais públicos, incluindo restaurantes, cinemas e museus, assim como transportes públicos. Todas as pessoas com idades superiores aos 16 anos são obrigadas a usar o certificado de modo a terem acesso a estes espaços, e neste momento, de modo a ter um certificado válido é necessário que se tenha recebido uma dose de reforço. Os certificados de vacina podem ser desativados automaticamente se o seu titular não tiver recebido uma dose de reforço dentro do prazo exigido, no entanto, foi reportado um problema que levaria à desativação destes certificados, ainda que algumas destas pessoas tenham sido vacinadas com uma dose de reforço. Este é um problema que afeta sobretudo as pessoas que já foram infetadas com o vírus COVID-19. A frança opera segundo uma política de “uma infeção corresponde a uma dose de vacina” – o que significa que, se a pessoa foi inoculada com uma vacina de duas doses (AstraZeneca/Pfizer/Moderna) e está infectado com Covid antes ou depois da primeira dose, não precisa de uma segunda dose. No entanto, a dose de reforço é, de facto, necessária. A título de exemplo, o presidente francês Emmanuel Macron ficou infetado com o vírus COVID em dezembro de 2020, quando chegou a altura de se vacinar, recebeu uma dose única, e assim que os reforços abriram para menos de 50 anos em novembro, teve a sua injeção de reforço. Nas últimas semanas, algumas pessoas que se encontram em situação semelhante receberam alertas pela aplicação TousAntiCovid, avisando que o seu certificado de vacinação seria desativado. Isto deveu-se, sobretudo, a um bug de software que interpretava incorretamente as duas doses – e que entretanto já foi corrigido. Até ao momento, a aplicação TousAntiCovid apresentou uma quantidade surpreendentemente pequena de falhas de software, mas há um problema que tem afetado as pessoas vacinadas no Reino Unido. Como os códigos de vacinação do NHS (Serviço Nacional de Saúde Britânico) duram apenas 30 dias, o TousAntiCovid será desativado assim que terminar o prazo do código, o que implica que o utilizador faça o download  de um novo código QR a cada 30 dias do aplicativo NHS, para digitalizar para o TousAntiCovid e mantê-lo ativo. O artigo original via The Local pode ser lido em: https://www.thelocal.fr/20220202/warning-over-deactivation-bug-in-frances-vaccine-pass/

Vários utilizadores do iPhone 13 têm reportado um problema, no mínimo, aleatório: O ecrã do dispositivo torna-se cor-de-rosa,  impossibilitando o uso do telefone sem reiniciá-lo. Um dos primeiros casos a serem reportados remonta a Outubro, nos fóruns de discussão da Apple. Ainda que, neste caso, o dispositivo em questão tenha sido substituído, outros utilizadores começaram a reportar o mesmo problema nas semanas e meses seguintes. Enquanto que alguns clientes conseguiram substituir o iPhone 13, outros não tiveram a mesma sorte, uma vez que a Apple disse que era apenas um bug de software. Lendo os relatórios, não é possível encontrar um padrão que explique o porquê disto acontecer, embora pareça restrito à linha iPhone 13. Segundo um utilizador, em dezembro: “Tive o mesmo problema ao tirar uma foto e o ecrã não só congelou como ficou cor-de-rosa, tendo reiniciado logo depois. Liguei para o suporte da Apple, eles fizeram o diagnóstico e disseram que não havia nada de errado.”. Também na rede social Reddit, alguns utilizadores acabaram por denunciar a mesma situação: “Isto aconteceu comigo no outro dia, enquanto estava no carro. Foi precedido pelo meu GPS estar a dar-me indicações completamente erradas, fora do meu local de destino,  até que eu o desliguei e voltar a ligar. Durante este período o ecrã ficou todo cor-de-rosa.”. Entre todas estas denúncias, o blog My Drivers descobriu que a Apple fez uma declaração na rede social chinesa Weibo, recentemente, precisamente porque a grande maioria dos casos aparentemente tem surgido na China. Segundo a empresa norte-americana: “Não detetámos nenhum problema relevante no hardware dos dispositivos, uma vez que esta situação [ecrã cor-de-rosa] ser causada quando o sistema está bloqueado.”. De acordo com a publicação, a Apple aconselha os usuários a fazerem backup dos seus dados, e instalar a atualização mais recente disponível, de modo a descartar a incompatibilidade entre uma versão do aplicativo e a versão do iOS. Desde então, o iOS 15.3 RC não menciona a correção do bug do ecrã cor-de-rosa, o que também causa confusão junto dos utilizadores, uma vez que alguns desses relatórios surgiram pela primeira vez quando o iPhone 13 foi lançado originalmente. O artigo original via 9To5Mac pode ser lido em: https://9to5mac.com/2022/01/23/some-iphone-13-users-report-pink-screen-issues-apple-says-its-a-software-bug/

A Comissão Europeia lançou um programa que recompensa a detecção de bugs nos seus projectos Open Source que sustentam os seus serviços públicos. Os caçadores de recompensas de bugs poderão receber até 5.000€ (o equivalente a  5.600 dólares americanos) para encontrar vulnerabilidades de segurança em software de código aberto usado em toda a União Europeia (UE), incluindo LibreOffice, LEOS, Mastodon, Odoo e CryptPad. Este programa, liderado pela plataforma europeia de recompensas de bugs Intigriti, também oferecerá um bónus de 20% se uma correção de código para os bugs for fornecida pelos investigadores. Num comunicado divulgado a 19 de janeiro, a CE disse que está à procura de relatórios de vulnerabilidades de segurança, como a exposição de dados pessoais, escalação de privilégios horizontal/vertical e injeção de SQL. A maior recompensa será paga pela deteção de “vulnerabilidades excepcionais”. Este último programa surge no seguimento de um outro programa, denominado FOSSA, também da UE, que pagou mais de 220.000 dólares nos seus 18 meses de operação, e que foi anunciado como um “sucesso notável”. Em declarações ao The Daily Swig, Inti De Ceukelaire, chefe de hackers da Intigriti, disse que a parceria surgiu no ano passado, quando a Intigriti liderou um programa financiado pelo programa ISA2 da CE. “Estamos comprometidos em nutrir ainda mais o relacionamento com as comunidades de código aberto que estabelecemos nos últimos anos”, referiu o tester belga. “Pessoalmente, acredito que todos os órgãos governamentais devem ter e incentivar o uso de políticas de divulgação de vulnerabilidades e introduzir ou adotar leis inequívocas para apoiar a pesquisa de vulnerabilidades. As recompensas por bugs, entre outras iniciativas de crowdsourcing, são uma ótima maneira de incentivar isso.” De Ceukelaire ainda acrescentou: “Praticamente todas as organizações usam projetos de código aberto de uma forma ou de outra. Identificar e resolver vulnerabilidades de segurança nesses projetos tem um impacto em escala. O incidente do Log4j mostrou-nos que apoiar a segurança de projetos de código aberto amplamente utilizados é uma necessidade absoluta, por isso só podemos aplaudir essa iniciativa da Comissão Europeia.” O artigo original via The Daily Swig pode ser lido em: https://portswigger.net/daily-swig/european-commission-launches-new-open-source-software-bug-bounty-program

Um bug de software introduzido na implementação da API IndexedDB do Apple Safari 15 pode ser abusado por um site malicioso para rastrear a atividade online dos usuários no navegador da web e, pior, até revelar sua identidade. Esta vulnerabilidade, apelidada de IndexedDB Leaks, foi divulgada pela empresa de software de proteção contra fraudes FingerprintJS, que relatou o problema ao fabricante do iPhone em novembro de 2021. A IndexedDB é uma interface de programação de aplicativos (API) JavaScript de baixo nível, fornecida por navegadores de Web para gerenciar bancos de dados NoSQL de dados estruturados, como arquivos e blobs. “Como a maioria das soluções de armazenamento na Web, o IndexedDB segue uma política de mesma origem”, segundo a documentação da API da Mozilla. “Assim, embora seja possível acessar dados armazenados num determinado domínio, não se pode ter acesso a dados em domínios diferentes.” A política da mesma origem é um mecanismo de segurança fundamental que garante que os recursos recuperados de origens distintas — ou seja, uma combinação do esquema (protocolo), host (domínio) e número da porta de uma URL — sejam isolados uns dos outros. Isso significa que “http[:]//example[.]com/” e “https[:]//example[.]com/” não são da mesma origem porque usam esquemas diferentes. Ao restringir a forma como um script carregado por uma origem pode interagir com um recurso de outra origem, a ideia passa por sequestrar scripts potencialmente maliciosos e reduzir possíveis vetores de ataque, impedindo que um site não autorizado execute código JavaScript arbitrário para ler dados de outro domínio, isto é, um serviço de e-mail. No entanto, este não é o caso de como o Safari lida com a API IndexedDB no iOS, iPadOS e macOS. “No Safari 15, no macOS, e em todos os navegadores no iOS e iPadOS 15, a API IndexedDB está a infringir a política de mesma origem”, disse Martin Bajanik num artigo. “Sempre que um site interage com um banco de dados, um novo banco de dados (vazio) com o mesmo nome é criado em todos os outros frames, guias e janelas ativas na mesma sessão do navegador.” Uma consequência desta violação de privacidade é que permite que os sites saibam quais outros sites um usuário que está a visitar, em diferentes guias ou janelas, concretamente, identificar com precisão os usuários nos serviços de serviços do Google, como YouTube e Google Agenda, pois esses sites criam bancos de dados IndexedDB que incluem o IDs de usuário do Google autenticados – um identificador interno que identifica exclusivamente uma única conta Google. “Isto não implica apenas que sites não confiáveis ou maliciosos podem conhecer a identidade de um usuário, mas também permite vincular várias contas separadas usadas pelo mesmo”, acrescentou Bajanik. Para piorar a situação, este leak também afeta o modo de navegação privada no Safari 15, caso um usuário visite vários sites diferentes na mesma guia na janela do navegador. “Este é um bug enorme”, twittou Jake Archibald, defensor do desenvolvedor do Google Chrome. “No OSX, os usuários do Safari podem (temporariamente) mudar para outro navegador para evitar que seus dados vazem entre as origens. Os usuários do iOS não têm essa escolha, porque a Apple impõe uma proibição a outros mecanismos de navegador.” O artigo original via The Hacker News pode ser lido em: https://thehackernews.com/2022/01/new-unpatched-apple-safari-browser-bug.html

Um novo script não funcionou corretamente, e excluiu 34 milhões de arquivos do supercomputador da universidade japonesa, alguns dos quais não podem ser recuperados por backups. No dia 16 de dezembro, a Universidade de Kyoto começou a investigar um problema causado por uma atualização de software da Hewlett Packard Enterprise (HPE). Foi descoberto que aproximadamente 77TB de arquivos, de 14 grupos de investigação foram excluídos nos dois dias anteriores. Ainda que universidade tenha admitido que entrará em contato com os afetados, a própria HPE assumiu total responsabilidade, e disse que a atualização do sistema de supercomputador da Universidade japonesa foi originalmente projetada para “melhorar a visibilidade e a legibilidade”, excluindo arquivos de log com mais de 10 dias. Segundo o comunicado emitido, a empresa norte-americana admite que houve uma “falta de consideração” no procedimento de liberação do novo script, e que não estava ciente de quaisquer potenciais efeitos colaterais aquando da sua aplicação. Isso fazia com que um script fosse sobrescrito enquanto ainda estava em execução, “resultando em variáveis indefinidas” que faziam com que os arquivos de log originais no supercomputador fossem excluídos “em vez de excluir o arquivo [log] salvo no diretório”.  A HPE acrescentou ainda que irão ser tomadas que medidas para garantir que o problema não volte a ocorrer no futuro, incluindo a verificação de atualizações antes da aplicação e reeducação dos engenheiros responsáveis pela prevenção de riscos e erros humanos. A Universidade de Kyoto é a segunda universidade mais antiga do Japão, fundada em 1897. É uma das principais instituições orientadas para a pesquisa do Japão e produziu vários vencedores do Prêmio Nobel. A própria Microsoft enfrentou , também, um problema de software no início do ano, quando seus servidores Exchange pararam de funcionar corretamente quando o relógio bateu meia-noite na véspera do Ano Novo. Os servidores não conseguiram acomodar o ano de 2022, o que levou alguns a chamá-lo de bug Y2K22. O artigo original via Silicon Republic pode ser lido em: https://www.siliconrepublic.com/enterprise/software-error-causes-34m-research-files-to-be-lost-at-kyoto-university