Skip to Content

AOL Tech

FalloDeSeguridad posts

Un fallo de seguridad de Tinder ha expuesto la ubicación exacta de sus usuarios durante meses

Un fallo de seguridad de Tinder ha expuesto la ubicación exacta de sus usuarios durante meses
Esto de los fallos de seguridad de las aplicaciones puede quedarse en anécdota, o bien puede ir a mayores, sobre todo cuando los afectados son servicios en los que se juega con algo tan sensible como las citas. En este sentido hemos conocido que Tinder, la app para contactos o citas de iOS y Android mediante la cual puedes ver las fotos del perfil de Facebook de los usuarios que se encuentren en tu zona, ha estado mostrando la ubicación exacta de los mismos durante meses. Según parece, un fallo en la API de la misma permitía conocer la posición de los contactos con un margen de error de apenas 30 metros. Este dato, puede resultar anecdótico pero dependiendo de en manos de quién caiga y con qué intenciones, puede convertirse en algo seriamente preocupante.

Lo peor del asunto es que esta vulnerabilidad fue descubierta en octubre del año pasado, aunque se sospecha que está presente desde incluso el mes de julio. Fue el hacker Max Veytsman quien dio con ella, y para demostrar la importancia de ella, creó una app que ubicaba a los usuarios de Tinder en un mapa, como podrás apreciar en el vídeo que encontrarás tras el salto. La buena noticia, dentro de lo malo, es que el propio Veystman alertó a Tinder del asunto, y parece que lo solucionaron a comienzos de enero.

El portal de desarrolladores de Apple abre nuevamente tras su hackeo

El portal de desarrolladores de Apple abre nuevamente tras su hackeo
Tras una semana bastante larga, porque estamos a las puertas del lanzamiento de nuevos iOS y OS X, el portal para desarrolladores de Apple ha vuelto a funcionar. Según explicó la compañía, las bases de datos fueron actualizadas y varios cambios han tenido que ser implementados tras el hackeo sufrido la semana pasada.

A pesar de que se supone que muchas cosas han cambiado, ninguna novedad sería visible para los usuarios, porque el trabajo hecho por Apple tiene que ver con en el código de seguridad y los servidores. Ha pesar de nuestra curiosidad, la empresa no ha dicho nada sobre el origen del hackeo, y por lo tanto, es mejor olvidarnos del problema y continuar con el desarrollo de software antes de que los nuevos sistemas operativos estén disponibles para el público en general.

[Vía 9to5Mac]

Experto en seguridad turco admite haber hackeado el sitio de desarrolladores de Apple

Investigador de seguridad turco dice haber hackeado el sitio de desarrolladores de Apple
El jueves pasado Apple cerró su sitio para desarrolladores de iOS y OS X con la excusa de que estaba en mantenimiento, pero las cosas no eran tan sencillas. Ayer domingo se enviaron mensajes en los que se admitió que el portal fue hackeado y que información personal de los desarrolladores fue obtenida por el intruso. Esta situación terminó generando más preguntas que respuestas, que por suerte ahora están comenzando a ser resueltas de alguna forma.

Un investigador de seguridad turco llamado Ibrahim Balic dice haber sido quien notificó a Apple el problema. Balic admite que accedió a la información de los desarrolladores y publicó un video mostrando el hack en funcionamiento, aunque ahora ese clip ha sido eliminado. Según la información facilitada, habría encontrado 13 bugs en el sistema de Apple, y aunque se puso en contacto con la compañía para ponerles sobre aviso, nunca obtuvo respuesta

El investigador dice que lo hecho es legal y ético, porque además eliminará toda la información obtenida como parte del proceso que demuestra la existencia de la vulnerabilidad. Balic se dio cuenta que Apple desactivó el sitio tan pronto fue informada del problema, pero sin darle ni las gracias. En todo caso, esta información todavía no ha sido confirmada por la compañía, a quien hemos pedido un comentario sobre las declaraciones de Balic (aunque reconocemos que no esperamos recibir una respuesta).

Leer - The Guardian
Leer - MSNBC
Leer - Ibrahim Balic (Twitter)
Leer - Firstpost

Apple confirma el ataque de un hacker en su portal de desarrolladores

apple desarrolladores seguridad hack
Apple ha confirmado hace unas horas que su portal para desarrolladores ha sufrido un importante ataque de seguridad. Dicha plataforma ha estado fuera de servicio desde el jueves, algo que ahora encuentra su explicación en el desagradable incidente ocurrido:

El pasado jueves, un intruso atentó contra la información personal de nuestros desarrolladores registrados de nuestra web. Información personal sensible fue cifrada y no se puede acceder a ella, sin embargo, no hemos sido capaces de descartar la posibilidad de que se haya accedido a los nombres de algunos desarrolladores, direcciones y/o correos electrónicos.

Apple ha manifestado sus intenciones de reconstruir todo su sistema de base de datos y actualizar los servidores para evitar futuros ataques. Los de Cupertino ha querido además tranquilizar a todos aquellos que tuvieran cuentas que actualizar durante estos días de apagón, asegurando que sus periodos han sido ampliados y que las aplicaciones seguirán en la App Store.

No hay fecha de vuelta a la normalidad establecida aún por parte de Apple, pero al menos la compañía ha facilitado un formulario de contacto para todos aquellos que quieran realizar consultas en los próximos días. Lo encontrarás en el enlace de lectura.


[Vía MacWorld]

Tumblr para iOS recibe una imprevista actualización de seguridad y pide a los usuarios el cambio de sus contraseñas

tumblr ios vulnerabilidad actualizacion contraseña
Hace solo una semana que Tumblr actualizó su aplicación móvil para iOS y Android y, sin embargo, hoy debemos avisarte que la famosa plataforma vuelve a tener un nuevo paquete disponible, exclusivamente, para el sistema de Cupertino. Al parecer un fallo de seguridad detectado ha obligado al servicio propiedad de Yahoo a lanzar una actualización "muy importante" que recomeinda descargar a todos sus usuarios lo antes posible, al mismo tiempo que (ojo a esto) les pide que cambien su contraseña tanto en Tumblr como en otros servicios donde utilicen el mismo código secreto. Recogiendo palabras textuales de la firma:

Hoy Tumblr fue notificada acerca de una vulnerabilidad de seguridad en nuestra aplicación para iOS. Inmediatamente lanzamos una actualización que repara dicho problema y estamos avisando a los usuarios afectados. Obviamente nos tomamos estos incidentes muy en serio y lamentamos profundamente este error


Avisado estás. Tienes todo lo que necesitas para descargar inmediatamente la actualización en el segundo enlace de lectura.


[Vía The Next Web]

Leer - Importante actuañización para usuarios de iPhone/iPad
Leer - Tumblr en iTunes

Un fallo en las Aplicaciones Destacadas de Nokia descubre apps beta e internas para WP8

Los fallos de seguridad son a veces (y por desgracia) más comunes de lo que desearíamos, y ahora el turno parece haberle tocado a Nokia. Así lo apuntan los chicos de Windows Phone Apps, quienes han sido capaces de detectar una brecha que posibilita a los usuarios de teléfonos de la firma con Windows Phone el acceso a multitud de apps internas.

Para ser más concretos el fallo parece estar a la hora de realizar búsquedas en las "Aplicaciones Destacadas" y dirigirnos a "Más valoradas", donde se muestran todo tipo de aplicaciones estén o no visibles para el público. Las apps no solo corresponden a desarrolladores que se encuentran testeando sus propuestas en la tienda antes de su lanzamiento oficial; algunas resultan ser incluso aplicaciones de Nokia de uso interno, etiquetadas bajo el aviso de "Nokia Internal Use Only".

Google tienta a los hackers con 2 millones de dólares... todo sea por la seguridad de Chrome

Google tienta a los hackers con 2 milliones de dólares... todo sea por la seguridad de ChromeEn Mountain View parece que gustan mucho los deportes de riesgo... aunque sean los que se practican a golpe de ratón y teclado, que para algo sirven también para revolucionar igual de bien nuestras pulsaciones. Al menos eso es lo que extraemos del siguiente movimiento de Google, que ha vuelto convocar a los hackers más reputados del mundo a sus conferencias de seguridad en Malasia y ha retado al respetable a buscar las vueltas a su navegador Chrome. La firma ya realizó una acción similar a primeros de año en territorio canadiense, pero por lo visto aprendió tanto, que no se lo ha pensado dos veces a la hora de organizar un Pwnium 2, ofreciendo esta vez premios por un valor de casi 2 millones de dólares. Entre las distintas categorías, hay hueco para los que quieran lanzarse a trastocar el propio código de Chrome, dar caza a algún bug en el kernel de Windows o Webkit, así como descubrir gazapos en berenjenales ajenos que en principio no formen directamente parte del navegador, pero sí que podrían acabar fastidiándolo más de lo necesario -digamos, por ejemplo, algún driver díscolo que pueda haber en el equipo.

Y tú, ¿vas a probar suerte a ver si logras encontrarle las cosquillas a la gran G?

Dropbox admite el hackeo de sus cuentas y anuncia nuevas medidas de seguridad

Está claro que los hackers nunca dan tregua. El famoso servicio de almacenamiento en la nube, Dropbox, ha sufrido un importante ataque que ha puesto al descubierto las cuentas y contraseñas de numerosas personas. Tras los avisos de varios usuarios que ponían en alerta a la compañía sobre la recepción masiva de spam sospechosos, el equipo comenzó una investigación gracias a la cual han descubierto que efectivamente fueron hackeados y ya se han puesto en contacto con los afectados para ayudarles a proteger nuevamente sus cuentas -la mayoría se encuentran ubicados en Reino Unido, Alemania y Holanda-. Gran parte del origen del ataque parece estar en el robo de cuenta de un empleado de la propia compañía, lo que habría dado acceso a una gran cantidad de emails de usuarios -se desconoce el número concreto- a través de los cuales comenzó el envío indiscriminado de spam.

Para que esto no vuelva a ocurrir, Dropbox ha anunciado, tras disculparse públicamente, que incluirá nuevas medidas de seguridad como son la doble identificación (con dos pruebas opcionales de identidad para ingresar en la cuenta que estarán disponibles en un par de semanas), nuevos mecanismos automáticos (para detectar actividades sospechosos), una página en la que poder consultar las conexiones activas en la cuenta, y la solicitud de cambio de contraseña por parte de la plataforma (cuando se considere que la usada es demasiado común o lleva tiempo sin actualizarse).

Si es que hasta en las mejores familias ocurren cosas así...

[Vía TechCrunch]

Google presenta su propia solución al 'problemilla' de Flash, sólo válida para Chrome

Ya te contamos hace unos días que las alarmas habían empezado a sonar en casa de Adobe tras la detección de una vulnerabilidad crítica en el software de Flash Player, Acrobat y Reader que concernía a todas las plataformas e incluso podría dar pie a hackeos. Ante semejante panorama, Google ha optado por sacarse de la manga su propio parche para Chrome y, por si acaso te quedaba algún tipo de duda, el apaño de los de Mountain View sólo es válido para su navegador. Así las cosas, Firefox, Internet Explorer y el resto de la familia tendrá que seguir esperando tranquilamente la respuesta oficial de Adobe que, por cierto, debería estar al caer.

Un bug de Gingerbread deja expuestos los datos de la microSD a miradas maliciosas

La galleta de jengibre de Google sigue atragantándose a algún que otro usuario: si hace unas semanas te hablábamos de un ligero contratiempo que hacía que los mensajes de texto llegaran al destinatario equivocado (bug que por suerte ya ha sido solucionado), hoy toca hablar de las tarjetas microSD. Xuxian Jiang, investigador de la Universidad de Carolina del Norte, ha descubierto un fallo de seguridad en Android 2.3 que permite a un posible atacante acceder a la información personal almacenada en la tarjeta de memoria del teléfono (mensajes de voz, fotos, credenciales bancarias, etc.) y subir dichos datos a un servidor remoto. Jiang asegura que la solución no es demasiado complicada (de hecho versiones anteriores del sistema operativo se han topado con problemas similares) y plantea la conveniencia de extraer la tarjeta, deshabilitar JavaScript o incluso cambiar de navegador. Por su parte, los chicos de eWeek han confirmado que Google ya está trabajando en ello pero todavía no se sabe cuándo estará disponible la actualización correspondiente.

Leer - Investigador descubre fallos de seguridad en las microSD de Android 2.3
Leer - Vulnerabilidad de Gingerbread deja al descubierto información privada del usuario

Detectan un fallo de seguridad importante en el navegador Safari

Apple a este ritmo no ganará para disgustos, y es que a los de Cupertino ahora no sólo le atacan por sus problemas de hardware (relacionados como bien sabes con el iPhone 4) sino que también les ha crecido mala hierba en su área de software. Al menos así lo indican en un informe de Secunia donde se pone de manifiesto -tienes una gráfica tras el salto- que la compañía tiene el dudoso honor de ser la que mayor número de vulnerabilidades de software sufre en estos momentos (ojo, ello no implica que sean las más graves).

Este hecho se pone especialmente en manifiesto en un fallo encontrado por Jeremiah Grossman (director de la compañía WhiteHat Security) en la función de autocompletado de su navegador Safari, el cual provocaría ser una presa fácil de cualquier web para obtener los datos personales alojados en la libreta del direcciones del SO -tras el salto te dejamos una captura de la opción a la que nos referimos-.

Apple ya se ha pronunciado al respecto de este problema, y ha comunicado públicamente que se encuentran trabajando en ello para encontrar una solución. Mientras tanto, y para curarse en salud, se aconseja desactivar la función de completado automático hasta que la empresa de la manzana publique una actualización que subsane el error. Avisado quedas.

[Vía Libertad Digital]
[Gracias paco4000]




    Noticias AOL