![[Índice da Seção]](/graphics/icons/side-menu.png "Índice da Seção"){kind=icon}
/ Malware
privativo / Por tipo /
/ Malware
privativo / Por tipo /
O software não livre (privativo) é muitas vezes um malware (projetado para maltratar o usuário). O software não livre é controlado por seus desenvolvedores, o que os coloca em uma posição de poder sobre os usuários; isso é a injustiça básica. Os desenvolvedores e fabricantes muitas vezes exercem esse poder em detrimento dos usuários aos quais eles deveriam servir.
Isso geralmente assume a forma de funcionalidades maliciosas.
Algumas funcionalidades maliciosas são possibilitadas por backdoors. Aqui estão alguns exemplos de programas que contêm um ou vários deles, classificados de acordo com o que o backdoor é conhecida por ter o poder de fazer. Os backdoors que permitem o controle total sobre os programas que os contêm são considerados “universais”.
Se você conhece um exemplo que deveria estar nesta página, mas não está aqui, por favor, escreva para <webmasters@gnu.org> para nos informar. Por favor, inclua a URL de uma ou duas referências confiáveis para servir como comprovação específica.
O Google Nest está assumindo o ADT. O Google enviou uma atualização de software para seus alto-falantes usando seu backdoor que escuta coisas como alarmes de fumaça e notifica seu telefone de que um alarme está acontecendo. Isso significa que os dispositivos agora ouvem mais do que apenas as palavras de ativação. O Google diz que a atualização do software foi enviada prematuramente e por acidente e que estava planejando divulgar esse novo recurso e oferecê-lo aos clientes que pagam por ele.
Muitos modelos de câmeras conectadas à Internet contêm um backdoor evidente – eles têm contas de login com senhas codificadas, que não podem ser alteradas, e também não há como excluir essas contas.
Uma vez que essas contas com senhas codificadas são impossíveis de excluir, esse problema não é apenas uma insegurança; é um backdoor que pode ser usado pelo fabricante (e pelo governo) para espionar os usuários.
O WhatsApp tem um recurso que foi descrito como um backdoor porque permitiria aos governos anular sua criptografia.
Os desenvolvedores dizem que não foi planejado como um backdoor, e isso pode muito bem ser verdade. Mas isso deixa a questão crucial de saber se ele funciona como um. Como o programa não é livre, não podemos verificar estudando-o.
A Microsoft adicionou um backdoor em sua criptografia de disco.
A Apple pode, e faz regularmente, extrair remotamente alguns dados de iPhones para o estado.
Isso pode ter melhorado com melhorias de segurança do iOS 8, mas não tanto quanto a Apple afirma.
Alguns telefones da Xiaomi têm um recurso incorreto para pronunciar frases que expressam visões políticas de que a China não gosta. Nos telefones vendidos na Europa, a Xiaomi deixa isso desativado por padrão, mas tem uma backdoor para ativar a censura.
Esse é o resultado natural de ter um software não livre em um dispositivo que pode se comunicar com a empresa que o fez.
A BlizzCon 2019 impôs um requisito de executar um aplicativo privativo de telefone para ser aceito no evento.
Esse aplicativo é um spyware que consegue bisbilhotar vários dados sensíveis, incluindo a localização e a lista de contato do usuário, e tem controle quase completo sobre seu telefone.
Android tem um backdoor para alterar remotamente as configurações do “usuário”.
O artigo sugere que pode ser um backdoor universal, mas isso não está claro.
O aplicativo Dropbox para Macintosh assume o controle dos itens da interface do usuário após induzir o usuário a inserir uma senha de administrador.
Um aplicativo de controle de teste de gravidez não só pode espionar muitos tipos de dados no telefone e em contas de servidor, ele também pode alterá-los.
Alguns roteadores da D-Link têm um backdoor para alterar as configurações em um piscar de olhos.
Há muito tempo que o Google tem um backdoor para desbloquear remotamente um dispositivo Android, a menos que seu disco esteja criptografado (possível desde o Android 5.0 Lollipop, mas ainda não é o padrão).
Os veículos da Caterpillar vêm com um backdoor para desligar o motor remotamente.
Aplicativos modernos de jogos grátis coletam uma ampla gama de dados sobre seus usuários e amigos e associados de seus usuários.
Ainda mais desagradável, eles fazem isso por meio de redes de anúncio que mesclam os dados coletados por vários aplicativos e sites feitos por empresas diferentes.
Eles usam esses dados para manipular as pessoas para comprar coisas e caçar “baleias” que podem ser levadas a gastar muito dinheiro. Eles também usam um backdoor para manipular o jogo para jogadores específicos.
Embora o artigo descreva jogos grátis, os jogos que custam dinheiro podem usar as mesmas táticas.
Os dispositivos Samsung Galaxy que executam versões privativas do Android vêm com um backdoor que fornece acesso remoto aos arquivos armazenados no dispositivo.
O Amazon Kindle-Swindle tem um backdoor que tem sido usado para apagar livros remotamente. Um dos livros apagados foi 1984, de George Orwell.
A Amazon respondeu às críticas dizendo que excluiria os livros apenas seguindo ordens do estado. No entanto, essa política não durou. Em 2012, apagou o Kindle-Swindle de uma usuária e excluiu sua conta, então ofereceu suas “explicações” kafkianas.
Outros leitores de e-book têm backdoors em seus softwares não livres? Não sabemos e não temos como descobrir. Não há razão para supor que não o façam.
O iPhone tem um backdoor para exclusão remota. Nem sempre está habilitado, mas os usuários são levados a habilitá-lo sem entender.
Adobe licenciou seu Flash Player para a rede Zhong Cheng da China, que está oferecendo o programa com spyware e uma backdoor que pode desativá-lo remotamente.
A Adobe é responsável por isso, pois deu permissão à Zhong Cheng Network para fazer isso. Esta injustiça envolve “mau uso” do DMCA, mas uso “adequado” pretendido do DMCA é uma injustiça muito maior. Há uma série de erros relacionados ao DMCA.
As TVs Samsung recentes têm um backdoor com a qual a Samsung pode inutilizá-las remotamente
Google instalou automaticamente um aplicativo em muitos telefones privativos com Android. O aplicativo pode não fazer coisas maliciosas, mas o poder que Google tem sobre os telefones privativos com Android é perigoso.
O Adobe Flash Player tem um backdoor universal que permite à Adobe controlar o software e, por exemplo, desativá-lo sempre que desejar. A Adobe bloqueará a execução de conteúdo do Flash no Flash Player a partir de 12 de janeiro de 2021, o que indica que eles têm acesso a todos os Flash Player por um backdoor.
O backdoor não será perigoso no futuro, pois desabilitará um programa privativo e fará com que os usuários excluam o software, mas foi uma injustiça por muitos anos. Os usuários deveriam ter excluído o Flash Player antes mesmo de sua vida útil terminar.
BMW está tentando bloquear certos recursos de seus carros e forçar as pessoas a pagar para usar parte do carro que já compraram. Isso é feito por meio da atualização forçada do software do carro por meio de uma backdoor operada por rádio.
Um aplicativo muito popular encontrado na loja Google Play continha um módulo desenvolvido para instalar secretamente malware no computador do usuário. Os desenvolvedores de aplicativos costumavam usá-lo para fazer o computador baixar e executar qualquer código que desejassem.
Este é um exemplo concreto a que os usuários são expostos quando executam aplicativos não livres. Eles nunca podem ter certeza absoluta de que um aplicativo não livre é seguro.
A Apple parece dizer que há um backdoor no MacOS para atualização automática de alguns (todos?) aplicativos.
A alteração específica descrita no artigo não era maliciosa – protegia os usuários da vigilância de terceiros – mas essa é uma questão à parte.
O Corel Paintshop Pro tem um backdoor que pode fazê-lo parar de funcionar.
O artigo está cheio de confusões, erros e preconceitos que temos a obrigação de expor, dado que estamos fazendo um link para eles.
A ideia de “proteger nossa PI” é confusão total. O termo “PI” em si é uma generalização falsa sobre coisas que não têm nada em comum.
Além disso, falar de “proteger” essa generalização falsa é um absurdo a parte. É como chamar a polícia porque as crianças dos vizinhos estão brincando no seu quintal da frente e dizendo que você está “protegendo a linha divisória”. As crianças não podem fazer mal à linha limítrofe, nem mesmo com uma britadeira, porque é uma abstração e não pode ser afetada pela ação física.
Algumas TVs “inteligentes” carregam automaticamente downgrades que instalam um aplicativo de vigilância.
Adicionamos um link para o artigo pelos fatos que ele apresenta. É uma pena que o artigo termine defendendo a fraqueza moral de se render ao Netflix. O aplicativo Netflix também é malware.
A biblioteca Android privativa do Baidu, Moplus, tem um backdoor que pode “fazer upload de arquivos” bem como instalar aplicativos à força.
Ela usada por 14.000 aplicativos de Android.
Além de seu backdoor universal, o Windows 8 tem um backdoor para excluir aplicativos remotamente.
Você pode decidir permitir que um serviço de segurança em que você confia desative remotamente programas que ele considera maliciosos. Mas não há desculpa para excluir os programas, e você deve ter o direito de decidir em quem (se houver) confiar desta forma.
No Android, o Google tem um backdoor para excluir aplicativos remotamente. (Estava em um programa chamado GTalkService, que desde então parece ter sido incorporado ao Google Play.)
O Google também pode instalar aplicativos à força e remotamente por meio de GTalkService. Isso não é equivalente a um backdoor universal, mas permite vários truques sujos.
Embora o exercício desse poder pelo Google não tenha sido malicioso até agora, a questão é que ninguém deveria ter tal poder, que também poderia ser usado de forma maliciosa. Você pode decidir deixar um serviço de segurança desativar remotamente programas que ele considera maliciosos. Mas não há desculpa para permitir excluir os programas, e você deve ter o direito de decidir em quem (se houver) confiar desta forma.
O iPhone tem um backdoor que permite à Apple excluir aplicativos remotamente que a Apple considera “impróprios”. Jobs disse que está tudo bem para a Apple ter esse poder porque é claro que podemos confiar na Apple.
NordicTrack, uma empresa que vende máquinas de exercício com capacidade de mostrar vídeos limita o que as pessoas podem assistir e recentemente desabilitou um recurso que era originalmente funcional. Isso aconteceu por meio de atualização automática e provavelmente envolveu uma backdoor universal.
A empresa Peloton, que produz esteiras, recentemente bloqueou recursos básicos das esteiras das pessoas por meio de uma atualização de software. A empresa agora pede às pessoas uma assinatura pelo que as pessoas já pagaram.
O software usado na esteira é privativo e provavelmente inclui backdoors para forçar as atualizações do software. Ele ensina a lição de que, se um produto se comunicar com redes externas, você deve esperar que ele receba um novo malware.
Observe que a empresa por trás deste produto disse que está trabalhando para reverter as mudanças para que as pessoas não precisem mais de assinatura para usar o recurso bloqueado.
Aparentemente, a raiva pública fez a empresa recuar. Se quisermos que isso seja nossa segurança, precisamos aumentar a raiva contra recursos maliciosos (e o software privativo que é seu caminho de entrada) a tal ponto que mesmo as empresas mais poderosas não ousem.
Microsoft está removendo forçadamente o Flash player dos computadores com Windows 10, usando uma backdoor universal no Windows.
O fato de o Flash ter sido desativado pela Adobe não é desculpa para esse abuso de poder. A natureza do software privativo, como o Microsoft Windows, dá aos desenvolvedores o poder de impor suas decisões aos usuários. O software livre, por outro lado, permite que os usuários tomem suas próprias decisões.
Alguns roteadores wi-fi Wavelink e JetStream têm backdoors universais que permitem que usuários não autenticados controlem remotamente não apenas os roteadores, mas também quaisquer dispositivos conectados à rede. Há evidências de que esta vulnerabilidade é explorada ativamente.
Se você está pensando em comprar um roteador, recomendamos que compre um que use software livre. Qualquer tentativa de introdução de funcionalidades maliciosas nele (por exemplo, por meio de uma atualização de firmware) será detectada pela comunidade e logo corrigida.
Se, infelizmente, você possui um roteador que executa software privativo, não entre em pânico! Você pode substituir seu firmware por um sistema operacional livre, como o libreCMC. Se você não sabe como, pode obter ajuda de um grupo de usuários GNU/Linux próximo.
Um novo aplicativo publicado pelo Google permite que bancos e credores desativem os dispositivos Android das pessoas se eles deixam de fazer pagamentos. Se o dispositivo de alguém for desativado, ele ficará limitado às funcionalidades básicas, como chamadas de emergência e acesso às configurações.
A BMW vai ativar e desativar a funcionalidade em carros remotamente por meio de um backdoor universal.
Os Termos de Serviço do Google Play insistem em que o usuário do Android aceite a presença de backdoors universais em aplicativos lançados pelo Google.
Isso não nos diz se atualmente algum aplicativo do Google contém um backdoor universal, mas essa é uma questão secundária. Em termos morais, exigir que as pessoas aceitem antecipadamente certos maus tratos é equivalente a realmente fazê-lo. Qualquer que seja a condenação que o último mereça, o primeiro merece o mesmo.
Os telefones Android subsidiados pelo governo dos EUA vêm com adware pré-instalado e uma backdoor para forçar a instalação de aplicativos.
O adware está em uma versão modificada de um aplicativo essencial de configuração do sistema. O backdoor é uma adição clandestina a um programa cujo objetivo declarado é ser um backdoor universal para firmware.
Em outras palavras, um programa cuja razão de ser é maliciosa tem um objetivo malicioso secundário secreto. Tudo isso além do malware do próprio Android.
Foi descoberto que o aplicativo “Study the Great Nation” do Partido Comunista Chinês continha um backdoor que permite aos desenvolvedores executar qualquer código que desejem no telefone dos usuários, como “superusuários”.
Nota: A versão de artigo do Washington Post (parcialmente ofuscada, mas legível após copiar e colar em um editor de texto) inclui um esclarecimento dizendo que os testes foram realizados apenas na versão Android do aplicativo e que, segundo a Apple, “esse tipo de vigilância de ‘superusuário’ não pôde ser realizado no sistema operacional da Apple”.
O ChromeBooks está programado para obsolescência: o ChromeOS possui um backdoor universal usado para atualizações e deixa de funcionar em uma data predefinida. A partir de então, parece não haver suporte para o computador.
Em outras palavras, quando você para de se ferrar pelo backdoor, começa a se ferrar pela obsolescência.
O recurso FordPass Connect de alguns veículos da Ford tem acesso quase completo à rede interna dos carros. Ele está constantemente conectado à rede de telefonia celular e envia à Ford uma grande quantidade de dados, incluindo a localização do carro. Esse recurso funciona mesmo quando a chave de ignição é removida e os usuários relatam que não podem desativá-lo.
Se você possui um desses carros, conseguiu quebrar a conectividade desconectando o modem celular ou envolvendo a antena em papel alumínio?
Novos carros da GM oferecem o recurso de um backdoor universal.
Todo programa não livre oferece ao usuário segurança zero contra seu desenvolvedor. Com este mal-funcionamento, a GM explicitamente tornou as coisas ainda piores.
O Furby Connect tem um backdoor universal. Se o produto enviado não atua como um dispositivo de escuta, as alterações remotas no código certamente podem convertê-lo em um.
A Sony trouxe de volta seu animal de estimação robótico Aibo, dessa vez com um backdoor universal e amarrado a um servidor que requer assinatura.
A Tesla usou um software para limitar a parte da bateria que estava disponível para os clientes em alguns carros e um backdoor universal no software para aumentar temporariamente este limite.
Enquanto permitir remotamente que “donos” de carro usem toda a capacidade da bateria não lhes causou nenhum dano, o mesmo backdoor permitiria a Tesla (talvez sob o comando de algum governo) ordenar remotamente que o carro não usasse nenhuma bateria. Ou talvez para levar seu passageiro a uma prisão de tortura.
TVs “inteligentes” da Vizio têm um backdoor universal.
Os telefones Xiaomi vêm com um backdoor universal no processador do aplicativo, para uso da Xiaomi.
Isso é separado da backdoor universal no processador do modem que a companhia telefônica local pode usar.
O Microsoft Windows tem um backdoor universal através do qual qualquer alteração pode ser imposta aos usuários.
Isso foi relatado em 2007 para XP e Vista, e parece que a Microsoft usou o mesmo método para fazer o downgrade do Windows 10 para computadores que executam o Windows 7 e 8.
No Windows 10, o backdoor universal não está mais oculto; todas as “atualizações” serão impostas forçada e imediatamente.
O Amazon Echo parece ter um backdoor universal, pois ele instala “atualizações” automaticamente.
Não encontramos nada que documentasse explicitamente a falta de uma maneira de desabilitar as alterações remotas no software, então não temos certeza de que não haja uma, mas isso parece bastante claro.
Uma versão chinesa do Android tem um backdoor universal. Quase todos os modelos de telefones celulares têm um backdoor universal no chip do modem. Então, por que o Coolpad se deu ao trabalho de apresentar outro? Porque este é controlado pela Coolpad.
Alguns aplicativos vêm com MyFreeProxy, que é um backdoor universal que pode baixar programas e executá-los.
O ChromeOS tem um backdoor universal. Pelo menos, o Google afirma que sim – na seção 4 do EULA.
Além de seu apagador de livro, o Kindle-Swindle tem um backdoor universal.
Quase todo processador de comunicação de telefone tem um backdoor universal que é frequentemente usado para fazer um telefone transmitir todas as conversas dele ouve. Consulte Malware em dispositivos móveis para obter mais informações.
O “mecanismo de gerenciamento” da Intel, um backdoor intencional, também tem backdoors não intencionais.
Uma atualização do Street Fighter V da Capcom instalou um driver que poderia ser usado como backdoor por qualquer aplicativo instalado em um computador com Windows, mas foi revertido imediatamente em resposta ao clamor público.
Os computadores da Dell, fornecidos com Windows, tinham um certificado raiz falso que permitiu que qualquer pessoa (não apenas a Dell) autorizasse remotamente a execução de qualquer software no computador.
O modem a cabo ARRIS tem um backdoor no backdoor.
As unidades de disco com “autocriptografia” fazem a criptografia com firmware privativo, portanto, você não pode confiar nele. As unidades de “My Passport” da Western Digital têm um backdoor.
O Mac OS X tinha um backdoor local intencional por 4 anos, que podia ser explorado por invasores para obter privilégios de root.
Aqui está um grande problema cujos detalhes ainda são secretos: O FBI pede a muitas empresas que abram backdoors em programas privativos. Não sabemos de casos específicos em que isso foi feito, mas todo programa privativo para criptografia é uma possibilidade.
O governo alemão se afasta dos computadores Windows 8 com TPM 2.0 (artigo original em alemão), devido aos potenciais recursos de backdoor do chip de TPM 2.0.
Aqui está uma suspeita que não podemos provar, mas vale a pena pensar: Microcódigo gravável para microprocessadores da Intel e da AMD pode ser um veículo para a NSA invadir computadores, com a ajuda da Microsoft, dizem respeitados especialistas em segurança.
“Dispositivos de armazenamento” da HP que usam o sistema operacional “Left Hand” têm backdoors que fornecem à HP acesso de login remoto para eles. A HP afirma que isso não dá à HP acesso aos dados do cliente, mas se o backdoor permitir a instalação de alterações de software, uma alteração poderia ser instalada para dar acesso aos dados do cliente.
A EFF tem outros exemplos de uso de backdoors.