Si tu equipo es un Android y tu aplicación de mensajería y VoIP favorita es Viber, atento al grave problema de seguridad descubierto. Bkav Internet Security ha encontrado un serio agujero que permite a cualquier usuario acceder a tu Androide pese a que esté la pantalla de bloqueo activada empleando la conocida aplicación. Este agujero aprovecha el sistema de notificaciones y como podrás apreciar en el vídeo tras el salto, está al alcance de cualquier usuario y mediante un par de pasos.

La gente de Viber ha prometido una solución urgente, pero entre tanto te sugerimos que desactives las notificaciones de la app para evitar que mediante un par de mensajes en la plataforma y una simple pulsación al botón de retroceso dejen al descubierto la pantalla principal de tu smartphone. Te dejamos con el vídeo un poco más abajo.

[Actualización: El equipo de Viber nos ha confirmado que ya han lanzado una actualización para arreglar el fallo descrito. Se puede descargar en el siguiente enlace.]

Desde la semana pasada hemos visto cómo un par de fallos hacían mella en la pantalla de bloqueo de los galácticos terminales de Samsung pero ya conoces el refrán: no hay dos sin tres. Hoy nuestro protagonista vuelve a ser el Note II, que está dando nuevos quebraderos de cabeza a sus creadores con el menú de contactos de emergencia (ICE por su siglas en inglés), sólo que esta vez viene ayudado por la ventana pop-up de su navegador para causar nuevos desaguisados. Para que el truco surta efecto es necesario tener activado el widget de noticias de la pantalla de bloqueo del equipo (ése que se encarga de mostrarte breves avances de noticias tan pronto como despiertas al equipo) y, al menos en nuestra unidad de pruebas, el acceso mediante pin.

Como de costumbre, un breve clic sobre alguno de estos extractos para ampliar la información hace que regresemos a la pantalla de bloqueo para introducir el pin; una vez ahí el quid de la cuestión es pulsar rápidamente sobre el botón "llamada de emergencia" y como por arte de magia nos aparecerá un pop-up con la noticia completamente cargada sin necesidad de haber escrito la contraseña, quedando al fondo el famoso menú de contactos ICE. Este a priori inocente quiebro a la seguridad del equipo podría no obstante suponer vía libre para que un extraño accediera a la información del portapapeles, cargara una web con contenido privado del usuario (por ejemplo si éste tiene más pestañas abiertas) o incluso se las apañara para descargar contenido malicioso sin más complicaciones. Eso sí, al tratar de maximizar la aplicación, el sistema nos vuelve a pedir la contraseña para continuar.

Un usuario de Galaxy Note II llamado Terence Eden ha descubierto una vulnerabilidad en Android 4.1.2 que hace que la seguridad del patrón de la pantalla de desbloqueo no nos parezca tan, tan fiable como hasta ahora. Aunque sea sólo durante un escuetísimo segundo, la pantalla de inicio del dispositivo puede quedar expuesta a los "maleantes" si, desde la pantalla de desbloqueo pulsamos el botón de emergencia, seguido del botón de contactos de emergencia (un icono similar a la agenda en el rincón inferior izquierdo de algunos equipos de Samsung) y, luego por último, mantenemos presionado el botón físico del dispositivo.

Cierto, esto sólo da acceso a la pantalla principal durante unos brevísimos instantes al posible atacante, pero es más que suficiente para ejecutar cualquier aplicación que pudiésemos tener en el escritorio (que, en cualquier caso, quedaría ejecutada de fondo y volveríamos a la pantalla de bloqueo). Sin ir más lejos, en el video que te hemos dejado tras el salto puedes ver cómo nuestro protagonista es capaz incluso de efectuar una llamada pulsando un widget, así que la amenaza a tener en cuenta es la posibilidad de usar este método para cargar otras apps que ejecuten acciones al inicio que puedan poner el equipo en riesgo.

El propio Terence asegura haber contactado con Samsung hace más de cinco días, pero aún no ha obtenido respuesta, así que imaginamos que la réplica de los coreanos estará al caer. Por si acaso, mantendremos ojos y oídos bien abiertos.

[Actualización: La respusta de Samsung ya está aquí para tranquilizar a sus usuarios indicando que está al corriente de la situación y que tiene planeado lanzar en breve una actualización para solventarlo.]

Nos asombra enterarnos que Apple y Facebook no fueron las únicas compañías que cayeron en los trucos de unos hackers malintencionados, porque Microsoft también ha sido víctima de un ataque mediante Java que se saldó con la instalación de malware en sus equipos. En un artículo publicado en el blog del Microsoft Security Response Center, el gerente general, Matt Thomlinson, admite que "un pequeño grupo de ordenadores, incluyendo unos en nuestra división de negocios Mac" fueron infectados con malware similar al usado en los otros ataques.

De todas maneras, Thomlinson aclara que no es nuevo que hackers vean a Microsoft como un objetivo a vencer, y por suerte, la información de los clientes no se vio comprometida. Ya que el problema no pasó a mayores, podemos decir que nos parece gracioso e irónico que algunos ordenadores Mac de Microsoft hayan sido los infectados.

[Vía Reuters]

La semana pasada Facebook indicó que algunos de sus empleados habían sido víctimas de un ataque que terminó infectando sus ordenadores, y hoy Apple ha hecho público que también se ha encontrado con este mismo problema. La compañía dirigida por Tim Cook ha indicado que una vulnerabilidad de Java permitió que un sitio para desarrolladores instalara malware "en un pequeño número de sistemas" utilizados por sus empleados, aunque no se habría producido una fuga de datos personales y este ataque ha sido reportado a las autoridades.

La compañía de Cupertino añadió en su declaración que desde OS X Lion los Mac ya no incluyen Java preinstalado, y como una medida de seguridad adicional, desactivan el software si no se usa por más de 35 días. Además, para mantener seguros a los usuarios, hoy se publicará una actualización que buscará el malware en ordenadores Mac y de encontrarlo, procederá a desinstalarlo de inmediato.

[Actualización: El parche ya está disponible en la App Store.]

El alto nivel de seguridad incluido en los productos de BlackBerry es una de las principales razones para que esta empresa sea una de las favoritas entre los departamentos de sistemas. Por eso nos asombra ver una advertencia con categoría de "alta gravedad" para administradores de los BlackBerry Enterprise Server. Según indica el fabricante, una vulnerabilidad presente en la manera en la que la conexión MDS y el Messaging Agent muestran archivos TIFF en los móviles haría que una imagen con malware proporcione acceso a los servidores de una compañía.

Por ahora BlackBerry dice no haber recibido ningún reporte de ataques que usen esta vulnerabilidad, pero recomienda que los administradores actualicen el software BES tan pronto sea posible. Además, como ayuda adicional, han proporcionado soluciones temporales para quienes no puedan instalar la actualización de inmediato. Una vez más queda en evidencia que el trabajo de administrador de servidores no incluye momentos de descanso.

[Vía Naked Security]

Las personas con un conocimiento de tecnología un poquito más profundo al común de la gente saben identificar emails falsos (phishing) con relativa facilidad. Eso es bueno para nosotros y básicamente malo para el resto, porque según nos cuenta el investigador de seguridad pod2g, los SMS de algunos móviles sufrirían de un problema similar al de los emails, permitiendo que hackers se hagan pasar por algún conocido o compañía con tan sólo incluir una línea de código en el mensaje.

La especificación para SMS contiene un espacio opcional para "responder-a", que en el caso del iPhone estaría siendo usado para remplazar al "De". Eso implica que un hacker podría hacerse pasar por alguna compañía (por ejemplo: un banco) o un familiar y enviar un enlace a una página web desde la cual podría robar datos privados.

El investigador dice que muy pronto publicará una herramienta que demostrará esta vulnerabilidad, pero mientras tanto ha pedido que Apple solucione el problema lo antes posible, con la esperanza de que el bug sea parchado antes del lanzamiento de iOS 6, porque el fallo estaría presente en absolutamente todas las versiones de iOS. En realidad nos parece que si hackers no han abusado en gran manera de esta vulnerabilidad desde 2007, posiblemente no sea tan grave como se piensa, pero de todas maneras es mejor ser precavido y prestar atención.

El hablar de problemas de seguridad en NFC es especialmente preocupante porque usamos esa tecnología para transferir el dinero obtenido con nuestro duro trabajo, por eso ha llamado tanto la atención lo que mencionaremos en las próximas líneas y que fue demostrado por un experto en seguridad al sitio Ars Technica. Eso sí, antes de describir los problemas y los dispositivos afectados tenemos que aclarar que los hacks funcionan sólo en casos muy específicos y bajo condiciones exactas. Por ejemplo, un Google Nexus S con Gingerbread permitiría el acceso a funciones NFC sin autorización del usuario, pero ese problema ya fue parchado en nuevas versiones del sistema operativo.

Más grave es saber que al usar Google Beam en teléfonos ICS y Jelly Bean un hacker podría enviar la dirección a un sitio web a una víctima y desde ahí robar información personal. Se menciona también a los Nokia N9 con Meego que permitirían que un hacker tome control del aparato usando Bluetooth y NFC, para proceder a cambiar opciones que le permitirían hacer llamadas, enviar mensajes y enviar o recibir archivos.

De todas maneras una de las mejores protecciones ofrecidas por NFC es la distancia, y es que esta tecnología sólo funciona a unos pocos centímetros entre dispositivos, y por lo tanto una persona precavida podría hacer que un ataque sea imposible con tan sólo mover el móvil. Siguiendo el enlace Leer podrás obtener acceso a más información al respecto, que esperamos sea usada por los fabricantes para hacer que NFC termine siendo más seguro.

Esto de las violaciones de seguridad se ha convertido en algo tan común que ya casi ni nos molestamos en reportar todos los casos que llegan a nuestro buzón, pero eso no quiere decir que no nos parezca un tema importante, porque como comprobamos con Sony, los crackers pueden ocasionar serios problemas. Esta vez hablamos sobre el tema porque Yahoo! ha confirmado que información de unas 400.000 cuentas ha sido sustraída de sus servidores, y aún peor es saber que pertenecía al Yahoo! Contributor Network (antes conocido como Associated Content), por lo que incluye cuentas de Gmail, AOL, Hotmail, Comcast, MSN, SBC Global, Verizon, BellSouth y Live.com, además de Yahoo.

Los responsables dicen que publicaron la información (que fue eliminada poco después) para alertar de los problemas de seguridad de los servidores de Yahoo, y es que "han habido varios huecos de seguridad vulnerados en servidores de Yahoo Inc. que han causado mucho más daño que esta publicación".

Por su cuenta, la compañía ha confirmado el hecho diciendo que se trataba de un archivo viejo, y que sólo un 5% de las cuentas de Yahoo! todavía tenían una contraseña válida. Anuncian también que están solucionando el problema y cambiando las contraseñas de los usuarios afectados así como notificando a las compañías con cuentas que hayan sido sustraídas. De todas maneras, Yahoo indica que recuerda a sus usuarios la necesidad de cambiar las contraseñas de manera regular. Aprovechamos la ocasión para hacer nuestro el consejo y recomendarte lo mismo.

Leer - TechCrunch
Leer - New York Times

Como bien sabes, Apple sigue en su lucha por acabar con el troyano Flashback que tantos quebraderos de cabeza le está trayendo. En este sentido, y si lo recuerdas, publicó en su día una herramienta que acababa con el problema, pero que era únicamente aplicable a los equipos con OS X 10.7, dejando fuera a todos los usuarios en versiones anteriores. Uno podría pensar que no serían muchos loa usuarios en esta circunstancia, pero un estudio llevado a cabo por Symantec dejó claro que el volumen de usuarios afectado, todavía era muy elevado.

Ante este panorama, en Cupertino parece que han decidido ampliar la solución para el grueso de los usuarios publicando una nueva herramienta que solucionará también el problema a los usuarios de Leopard. Con esta medida, los de la manzana esperan ver el número de ordenadores afectados reducirse drásticamente. Te dejamos los links publicados por Apple a continuación.

[Vía 9to5Mac]

Leer - Actualización Apple Flashback
Leer - Actualización de seguridad para Leopard

A nadie le entusiasma saber que su ordenador o teléfono móvil está abierto a los ataques maliciosos de algunos de los elementos que pululan por internet, así que lo menos que podemos hacer es avisarte de que existe la posibilidad de que tus dispositivos se vean afectados por un problema que ya está siendo explotado por gente con no muy buenas intenciones. Este el motivo por el que Adobe ha tenido que publicar una actualización de Flash Player para equipos Windows, Mac y Linux (que desde ahora deberán usar la versión 11.2.202.233), así como para teléfonos Android 4.x, 3.x y 2.x.

Las nuevas versiones de Flash Player solucionan una vulnerabilidad que podría provocar el bloqueo de la aplicación y la apertura de tu sistema a personas malintencionadas, como ya habrían experimentado algunos usuarios de Internet Explorer según ha reconocido Adobe. Si no tenías nada planificado para el finde, aquí tienes una buena excusa para aprovechar la tarde actualizando Flash y el resto de tu software.

El "Vulnerability Program" de Google, una iniciativa en la que pagan a hackers que reporten problemas de seguridad con el código de sus servicios, lleva en marcha alrededor de año y medio, y durante este tiempo ha recibido más de 780 informes verificables de vulnerabilidades. El pago por los problemas notificados nunca ha sido malo, y es que llegaba hasta a los 3.133,7 dólares por vulnerabilidad seria confirmada (una cifra bastante 1337); no obstante ahora será absolutamente imposible quejarse por el dinero, ya que han subido la cantidad máxima a 20.000 dólares.

En poco más de un año Google ha pagado más de 460.000 dólares a unas 200 personas; aunque ese precio seguramente es bajo si tomamos en cuenta la cantidad de dinero que podrían llegar a perder si una grave vulnerabilidad afecta a un servicio importante como el de Google Wallet. Si tuviéramos talento, por ese dinero hasta podríamos dedicarnos a ser "investigadores de vulnerabilidades de Google".

[Vía Slashgear y Forbes]

Aunque Apple ya publicó una herramienta para eliminar muchas variaciones del troyano Flashback, todavía quedaba un sector de la población maquera pendiente de su antídoto. Se trata de los usuarios de Lion que no tienen la máquina virtual de Oracle instalada en su sistema. La herramienta actual está disponible únicamente para usuarios de OS X 10.7 y puede ser descargada desde ya.

Te recordamos que no existe ninguna solución para usuarios de OS X 10.5 o inferior y a más de desactivar Java en tu navegador no hay mucho que puedas hacer al respecto para protegerte (además de actualizar a un sistema operativo más moderno). De todas maneras, Apple espera que la gran mayoría de esos 670.000 ordenadores infectados lleguen a librarse del troyano con estas herramientas.

[Vía TUAW]

Hace unos días Apple publicó una actualización de Java que parchaba la vulnerabilidad que había sido aprovechada por el troyano Flashback, y ahora, tal y como había sido prometido, presenta una herramienta que elimina "las más comunes variaciones" de dicha aplicación. La actualización además reconfigura el plugin web de Java desactivando la ejecución automática de los applets, pero permitiendo que el usuario cambie este comportamiento si así lo desea.

El software para OS X 10.6 y superior ya está disponible en los servidores de Apple y puedes instalarlo activando la "Actualización de Software" del sistema operativo.

[Vía The Loop]

Fue el sitio ruso Dr Web quien dio con el troyano Flashback/Flashfake y Apple por fin ha reconocido su existencia, prometiendo al tiempo una solución a este problema. Este malware aprovecha una vulnerabilidad en Java Virtual Machine -algo que Oracle por su parte ya solucionó en febrero- que en marzo fue reconocida al infectar hasta 650.000 Macs. Con todo, Kaspersky no ha esperado a la solución de los de Cupertino y ofrece una herramienta gratuita mediante la cual los usuarios pueden eliminar el troyano de sus sistemas.

Apple, como te apuntamos, sigue trabajando para ofrecer una herramienta que acabe con el troyano instalado en los ordenadores afectados, pero recomienda actualizar el software de todos los equipos y para los usuarios que sigan en la versión de OS X 10.5 o anteriories, deshabilitar Java. Lo que no han especificado los de Tim Cook es cuándo estará disponible dicha solución al malware. Tienes todos los detalles en la web creada por los de Cupertino haciendo clic en Leer.