Como bien sabes, Apple sigue en su lucha por acabar con el troyano Flashback que tantos quebraderos de cabeza le está trayendo. En este sentido, y si lo recuerdas, publicó en su día una herramienta que acababa con el problema, pero que era únicamente aplicable a los equipos con OS X 10.7, dejando fuera a todos los usuarios en versiones anteriores. Uno podría pensar que no serían muchos loa usuarios en esta circunstancia, pero un estudio llevado a cabo por Symantec dejó claro que el volumen de usuarios afectado, todavía era muy elevado.

Ante este panorama, en Cupertino parece que han decidido ampliar la solución para el grueso de los usuarios publicando una nueva herramienta que solucionará también el problema a los usuarios de Leopard. Con esta medida, los de la manzana esperan ver el número de ordenadores afectados reducirse drásticamente. Te dejamos los links publicados por Apple a continuación.

[Vía 9to5Mac]

Leer - Actualización Apple Flashback
Leer - Actualización de seguridad para Leopard

A nadie le entusiasma saber que su ordenador o teléfono móvil está abierto a los ataques maliciosos de algunos de los elementos que pululan por internet, así que lo menos que podemos hacer es avisarte de que existe la posibilidad de que tus dispositivos se vean afectados por un problema que ya está siendo explotado por gente con no muy buenas intenciones. Este el motivo por el que Adobe ha tenido que publicar una actualización de Flash Player para equipos Windows, Mac y Linux (que desde ahora deberán usar la versión 11.2.202.233), así como para teléfonos Android 4.x, 3.x y 2.x.

Las nuevas versiones de Flash Player solucionan una vulnerabilidad que podría provocar el bloqueo de la aplicación y la apertura de tu sistema a personas malintencionadas, como ya habrían experimentado algunos usuarios de Internet Explorer según ha reconocido Adobe. Si no tenías nada planificado para el finde, aquí tienes una buena excusa para aprovechar la tarde actualizando Flash y el resto de tu software.

El "Vulnerability Program" de Google, una iniciativa en la que pagan a hackers que reporten problemas de seguridad con el código de sus servicios, lleva en marcha alrededor de año y medio, y durante este tiempo ha recibido más de 780 informes verificables de vulnerabilidades. El pago por los problemas notificados nunca ha sido malo, y es que llegaba hasta a los 3.133,7 dólares por vulnerabilidad seria confirmada (una cifra bastante 1337); no obstante ahora será absolutamente imposible quejarse por el dinero, ya que han subido la cantidad máxima a 20.000 dólares.

En poco más de un año Google ha pagado más de 460.000 dólares a unas 200 personas; aunque ese precio seguramente es bajo si tomamos en cuenta la cantidad de dinero que podrían llegar a perder si una grave vulnerabilidad afecta a un servicio importante como el de Google Wallet. Si tuviéramos talento, por ese dinero hasta podríamos dedicarnos a ser "investigadores de vulnerabilidades de Google".

[Vía Slashgear y Forbes]

Aunque Apple ya publicó una herramienta para eliminar muchas variaciones del troyano Flashback, todavía quedaba un sector de la población maquera pendiente de su antídoto. Se trata de los usuarios de Lion que no tienen la máquina virtual de Oracle instalada en su sistema. La herramienta actual está disponible únicamente para usuarios de OS X 10.7 y puede ser descargada desde ya.

Te recordamos que no existe ninguna solución para usuarios de OS X 10.5 o inferior y a más de desactivar Java en tu navegador no hay mucho que puedas hacer al respecto para protegerte (además de actualizar a un sistema operativo más moderno). De todas maneras, Apple espera que la gran mayoría de esos 670.000 ordenadores infectados lleguen a librarse del troyano con estas herramientas.

[Vía TUAW]

Hace unos días Apple publicó una actualización de Java que parchaba la vulnerabilidad que había sido aprovechada por el troyano Flashback, y ahora, tal y como había sido prometido, presenta una herramienta que elimina "las más comunes variaciones" de dicha aplicación. La actualización además reconfigura el plugin web de Java desactivando la ejecución automática de los applets, pero permitiendo que el usuario cambie este comportamiento si así lo desea.

El software para OS X 10.6 y superior ya está disponible en los servidores de Apple y puedes instalarlo activando la "Actualización de Software" del sistema operativo.

[Vía The Loop]

Fue el sitio ruso Dr Web quien dio con el troyano Flashback/Flashfake y Apple por fin ha reconocido su existencia, prometiendo al tiempo una solución a este problema. Este malware aprovecha una vulnerabilidad en Java Virtual Machine -algo que Oracle por su parte ya solucionó en febrero- que en marzo fue reconocida al infectar hasta 650.000 Macs. Con todo, Kaspersky no ha esperado a la solución de los de Cupertino y ofrece una herramienta gratuita mediante la cual los usuarios pueden eliminar el troyano de sus sistemas.

Apple, como te apuntamos, sigue trabajando para ofrecer una herramienta que acabe con el troyano instalado en los ordenadores afectados, pero recomienda actualizar el software de todos los equipos y para los usuarios que sigan en la versión de OS X 10.5 o anteriories, deshabilitar Java. Lo que no han especificado los de Tim Cook es cuándo estará disponible dicha solución al malware. Tienes todos los detalles en la web creada por los de Cupertino haciendo clic en Leer.

Mucho se ha dicho y repetido que los Mac no necesitan software antivirus, pero su creciente popularidad (y la mala idea de algunos desaprensivos) podría forzar un cambio de mentalidad entre sus usuarios, y es que según informa la compañía de seguridad Dr. Web, unos 600.000 ordenadores con OS X estarían infectados con malware y conectándose a botnets. El troyano Flashback sería el culpable de los problemas, a pesar de no ser un software nuevo. Para ser más precisos, una variante específica estaría aprovechando una vulnerabilidad de Java que ya habría sido reparada por Oracle en febrero, pero que Apple solo tapó en su SO esta semana.

Si eres usuario de Mac debes instalar la actualización necesaria lo antes posible, y si deseas asegurarte de que el troyano no esté presente en tu ordenador, puedes seguir los pasos disponibles haciendo clic en el enlace Leer de ArsTechnica.

Leer - ArsTechnica
Leer - Sorokin Ivan (Twitter)
Leer - Examiner

Por lo general pensamos que activar la contraseña en nuestro iPhone es suficiente para mantener a salvo la información almacenada en el dispositivo, pero podríamos estar equivocados, dado que la compañía de seguridad Micro Systemation afirma tener un software que, entre otras cosas, puede sortear fácilmente esta medida de seguridad.

La aplicación, llamada XRY, está siendo ofrecida a departamentos de policía e inteligencia de todo el mundo para obtener información escondida en los teléfonos de criminales. El software usaría fallos de seguridad similares a los que se utilizan para los jailbreak, que además harían posible realizar una copia de toda la información guardada en el teléfono a un ordenador. Una manera de evitar que la contraseña sea descubierta consistiría en activar el uso de caracteres alfanuméricos en la pantalla de desbloqueo, porque una contraseña larga podría tomar tanto tiempo en ser descifrada como para desalentar a la persona que intente conseguir acceso al móvil.

Después del salto podrás ver un video del software en funcionamiento, que además incluye el proceso de captura de datos de móviles Android (aunque no mencionan el desbloqueo de los mismos).

[Vía BGR]

Google afirma haber solucionado el fallo de seguridad de Google Wallet que permitía a manos ajenas disfrutar del saldo prepago del titular de la cuenta. Como te hemos ido informando, el gigante de Mountain View desactivó temporalmente las tarjetas prepago hasta que llegara la solución al problema, y por fin las ha vuelto a reactivar. Sin embargo, Google todavía no puede cantar victoria del todo, ya que el sistema sigue siendo sensible al ataque de los hackers mediante el método de fuerza bruta en todos aquellos terminales rooteados, y claro, te puedes imaginar la respuesta de los californianos: mejor no rootear el móvil por motivos de seguridad.

Sin embargo, zvelo, la gente que alertó del problema plantea a Google el siguiente problema: ¿qué ocurre si te roban el móvil y luego lo rootean? En ese caso el propietario podría ver su cuenta de nuevo hackeada, y sugieren que Wallet requiera una contraseña más larga para aumentar la seguridad.

Leer - Google
Leer - zvelo

El funcionamiento de Google Wallet ha estado bajo el microscopio durante los últimos días después de que se revelara una vulnerabilidad que permitiría conseguir acceso al servicio en teléfonos rooteados por medio de un ataque de fuerza bruta. Ahora se publican detalles relacionados con un fallo de seguridad que haría posible acceder al saldo de las tarjetas de prepago de teléfonos perdidos y que no tengan el bloqueo de pantalla activado. En consecuencia Google ha decidido inhabilitar provisionalmente la asignación de tarjetas de prepago hasta que parchen ese agujero de seguridad.

Naturalmente, la compañía de Mountain View opina que Google Wallet sigue siendo más seguro que las tarjetas de plástico tradicionales, y desde un principio proporcionaron a los usuarios un número de teléfono al cual llamar si su móvil se pierde o tienen problemas. Igualmente insisten en que los usuarios de Google Wallet no usen el servicio en teléfonos rooteados, porque perderían muchas de las opciones de seguridad.

Google no ha proporcionado una fecha en la que las cosas volverán a la normalidad, pero por suerte todavía son pocos los usuarios y establecimientos que usan el servicio.

[Vía Android Central]

Si eres de esos que no confía en el pago con tecnología NFC y todo tipo de artilugios tecnológicos que prescindan de la clásica moneda, entonces no deberías de estar leyendo esta noticia. La gente de zvelo, un blog dedicado a los temas de seguridad tecnológica, ha dejado en evidencia el sistema de pago por contacto de Google Wallet, ya que a través de un vídeo que han preparado demuestran como el PIN de seguridad de la cartera virtual puede ser revelado "fácilmente". Para ello exploraron minuciosamente el código de la aplicación, siguiendo las investigaciones de la organización de seguridad viaForensics, la cual ya había advertido de la fragilidad de Google Wallet. Una vez con el código desglosado, dieron con datos como ID únicas del usuario, información de la cuenta de Google y una clave hexagesimal con cifrado SHA-256 que contenía el famoso PIN.

Para descodificarlos sólo tuvieron que hacer uso de la fuerza bruta, ya que sabiendo que el PIN está formado por 4 dígitos, sólo hicieron falta 10.000 combinaciones para dar con tan ansiado número de desbloqueo. Ya con todo el sistema desmantelado, los chicos de zvelo han creado una aplicación que realiza todo el proceso automáticamente, demostrando con un vídeo (lo tienes tras el salto) que el hackeo se realiza de manera más rápida de la esperada. El grupo de seguridad aconseja que se incluya una clave de bloqueo al terminal, deshabilitar la depuración por USB y mantener actualizado el teléfono en todo momento. Aún así, ¿confías en este tipo de sistemas de pago?

Actualización: Google ha publicado su opinión al respecto, y ha aclarado que para realizar este proceso se necesita una teléfono con root aplicado (algunos lectores ya lo advertían en los comentarios), una acción que el gigante desaconseja completamente si se va a hacer uso de Google Wallet (por razones más que evidentes).

Hace unos días te hablábamos acerca de una vulnerabilidad de la opción WPS, que permite conectarse a redes WiFi por medio de un PIN, y ahora ya está disponible un software open source para quienes deseen utilizarlo. La herramienta apareció tan rápido porque Viehbock no fue la única persona en descubrir el problema, dado que Tactical Network Solutions (TNS) habría identificado esta peligrosa vulnerabilidad hace casi un año, y ellos fueron los primeros en publicar el software. Un poco después Viehbock lanzó su propia aplicación WPSCrack, que permite hackear el PIN de WPS en alrededor de dos horas (la de TNS necesita entre cuatro a diez horas).

Hasta que los fabricantes publiquen una actualización que parche la vulnerabilidad, te recomendamos desactivar WPS en tu ruteador. Y como buen geek de pro, sería bueno que ayudaras a hacerlo a amigos y familiares menos doctos.

[Vía The Verge]

Leer - Stefan Viehbock
Leer - Tactical Network Solutions

Desde 2007 algunos fabricantes de ruteadores inalámbricos han incluido una herramienta denominada WPS (WiFi Protected Setup) que sirve para que dispositivos usen nuestra red inalámbrica sin las complicaciones de la configuración WPA (hay que decirlo: es difícil memorizar la contraseña del WiFi). Una de las opciones de WPS requiere el uso de un PIN, y precisamente ahí estaría el origen de la vulnerabilidad, que abriría las puertas para que un ataque de fuerza bruta sea exitoso en un par de horas. Sucede que cada vez que se intenta enviar el PIN, el ruteador respondería con un mensaje indicando si los cuatro primeros números son correctos, ya que el quinto es un "checksum". Esto bajaría las posibilidades de PINs disponibles de 100 millones a solamente 11.000.

El riesgo de penetración a una red ajena es tan elevado que la agencia federal de Estados Unidos US-CERT ha recomendado desactivar esta opción en ruteadores hasta que los fabricantes ofrezcan una solución. Mientras tanto, Stefan Viehbock, el investigador que descubrió el problema, explica que intentó comunicarse con Buffalo, D-Link, Linksys y Netgear, y simplemente fue ignorado; razón por la que decidió hacer público su descubrimiento. Viehbock además dijo que pronto publicará una herramienta que permita que cualquier persona use esta vulnerabilidad, como manera de presión para que ofrezcan una pronta solución.

Al menos nos agrada saber que todos los ordenadores en tu red casera tienen un firewall instalado, que tienes al ruteador configurado con criptografía TKIP y que transfieres información personal importante únicamente usando sitios con SSL... ¿o nos equivocamos?

[Vía The Verge]

Leer - Stefan Viehbock
Leer - US-CERT

Resulta difícil creer que un periférico situado tan en segundo plano como una impresora pueda llegar a ser toda una amenaza para la oficina. Y no es ninguna exageración, ya que eso es justo lo que exponen unos investigadores de la Universidad de Columbia, que tras realizar serios análisis de seguridad, han llegado a la conclusión de que se trata de un elemento clave y fácilmente vulnerable para provocar reacciones en cadena que nunca antes habríamos pensado. El problema de todo ello radica en el proceso de actualización del firmware de estos dispositivos, un método que según han podido comprobar no requiere ningún tipo de firma digital o certificado, siempre y cuando se traten de modelos de antes del 2009. De esta forma, los hackers podrían reprogramar la impresora según sus necesidades, consiguiendo por ejemplo que una cola de impresión sea clonada a otro equipo remoto (con los problemas de privacidad que eso conlleva) o anulando el sensor de temperatura del fusor para provocar un incendio tras un continuo uso.

En la investigación se habla de que son muchos los modelos de HP, LaserJet para ser exactos, los que están afectados por este problema, y aunque desde el fabricante ya dicen estar trabajando para recabar más información al respecto, aseguran que hay muy pocas probabilidades de que la vulnerabilidad pueda ser usada en el mundo real, ya que la mayoría de usuarios domésticos utilizan impresoras de inyección de tinta y las grandes empresas tienen cortafuegos con los que bloquear conexiones entrantes. Aun así, desde la Universidad de Columbia afirman que esto es sólo el principio, ya que a día de hoy son muchos los dispositivos los que tienen acceso a la red, como reproductores de DVD, electrodomésticos y cualquier dispositivo domótico. ¿Demasiada ficción o deberíamos empezar a preocuparnos?

[Vía @mikko]

La última hazaña de Charlie Miller (el experto en seguridad que encontró la vulnerabilidad en las baterías de los Macbook) va a traer cola, ya que su último descubrimiento ha permitido que se puedan ejecutar acciones sobre terminales iOS de manera remota (descargar la lista de contactos, hacer vibrar el teléfono, mandar un SMS, etc.), y todo desde una aplicación descargada desde la propia Apple Store. Al parecer, la App creada por él mismo (InstaStock), se aprovechaba de un agujero de seguridad, pasó los controles de la tienda de aplicaciones sin problemas y permitió a Miller poder hacer una completa demostración de la misma como podrás ver en el vídeo que tienes tras el salto. Evidentemente las noticias han llegado a Cupertino, y Apple ya ha retirado la aplicación y los derechos de desarrollador a Miller. Según cuenta a CNET, hace tres semanas que ya avisó del problema a Apple, sin embargo no sabe si la nueva actualización 5.0.1 incluye la solución, así que mientras se arregla o no, no olvides estar atento y procura no descargar en estos días aplicaciones desconocidas de la App Store.