Skip to Content

AOL Tech

vulnerabilidad posts

Una vulnerabilidad en WhatsApp deja al descubierto el historial de mensajes a otras apps

Una vulnerabilidad en WhatsApp deja al descubierto el historial de mensajes a otras apps
Puede que el anuncio de compra por parte de Facebook haya sido una de las grandes noticias del año para WhatsApp, pero en la otra cara de la moneda la aplicación de mensajería podría tener cuestiones mucho más urgentes.

Bas Bosschert, especialista en informática de los Países Bajos, asegura haber encontrado un fallo en la plataforma que podría permitir el acceso al historial de chat a otras apps sin que el usuario se percate, con todo lo que ello implicaría. Según indica Bosschert, el problema radica en la manera en la que se almacena la base de datos en la tarjeta SD del dispositivo, dejándolos accesibles para otros programas que también hagan uso de la tarjeta y que podrían por ejemplo subirlos a sus servidores.

Actualización de OS X parcha un grave agujero de seguridad y trae nuevas opciones

Actualización de OS X parcha un grave hueco de seguridad y trae nuevas opciones
La semana pasada se publicó información que confirmaba un grave agujero de seguridad en la biblioteca SSL de iOS y Mac OS X, y aunque la actualización para el sistema operativo móvil apareció de inmediato, hemos tenido que esperar hasta hoy para que llegue a Mac. La versión 10.9.2 de Mavericks no sólo parcha este problema que afectaría a Safari, FaceTime, iMessage, Twitter, Calendar, Mail, iBooks y otras aplicaciones, sino que también trae algunas mejoras interesantes (por eso posiblemente se demoró Apple en publicar el parche).

Por ejemplo, el software ahora permite hacer y recibir llamadas de audio por medio de FaceTime, bloquear contactos de iMessage, mejora la compatibilidad de Mail al usar Gmail y otros tantos detalles adicionales que afectan a varias aplicaciones y servicios del sistema operativo. Por lo tanto, te recomendamos actualices lo antes posible, aunque debes asegurarte de hacerlo durante un tiempo libre, porque es necesario reiniciar el ordenador y esperar unos minutos para que se complete la instalación.

Para comprobar si tu ordenador OS X es vulnerable a este problema con SSL, puedes visitar el sitio gotofail.com desde Safari (la vulnerabilidad ha sido bautizada como "Go To Fail" debido a un error con la instrucción "goto").

[Vía MacRumors]

Leer - Apple
Leer - GoToFail

Apple corrige de tapadillo un problema grave de verificación con la actualización iOS 7.0.6

Apple corrige de tapadillo un problema grave de verificación con la actualización iOS 7.0.6
Si cuentas en tu poder con un dispositivo iOS ya puedes ir volando a actualizar el software puesto que Apple acaba de poner a disposición de los usuarios la actualización 7.0.6 de la plataforma que, como veremos, no es ligera precisamente. Resulta que se ha detectado que las versiones previas de iOS debido a un fallo detectado ahora, no se conectaban mediante una verificación SSL facilitando los ataques de hackers, o como podemos leer en las notas de Apple, permitiendo que los atacantes "capturen o modifiquen datos en una sesión iniciada y protegida por SSL/TLS". ¿Por qué es grave y en qué momentos los dispositivos quedaban más al descubierto? La gran amenaza residía al conectarse a redes abiertas o no conocidas por el usuario, donde la vulnerabilidad quedaba más al descubierto.

No sabemos muy bien si este agujero de seguridad ha sido descubierto dentro de casa o como consecuencia de ataques, pero en cualquier caso, ya ha sido solucionado con esta actualización.

Leer - Apple (1)
Leer - Apple (2)

Malware en los servidores de Yahoo convirtió PC europeos en mineros de Bitcoin

Malware en los servidores de Yahoo convirtió PC europeos en mineros de Bitcoin
¿Y si una de las páginas más visitadas de internet instalara malware? Eso es justo lo que pasó la semana pasada con Yahoo!, ya que tal y como han informado a través de un comunicado oficial, durante los días 31 de diciembre y 3 de enero algunos banners de su sistema de publicidad ubicado en servidores de Europa propagaron malware que afectaba directamente a los equipos de los usuarios. La vulnerabilidad atacó a través de versiones obsoletas de Java y provocaba que el ordenador del afectado comenzará a hacer cálculos destinados a la red Bitcoin, con la peculiaridad de que las recompensas iban destinadas al creador del malware. Genius.

Por el momento, Yahoo! no ha dado detalles de cuántas personas se han visto afectadas por este problema, y aunque prometen ofrecer más información muy pronto, la empresa de seguridad Fox IT se ha adelantado asegurando que se infectaron una media de 27.000 ordenadores por hora, llevándose la peor parte países como Rumania, Reino Unido y Francia. El malware ha afectado únicamente a ordenadores europeos con Windows, quedando a salvo otros sistemas operativos y dispositivos móviles. ¿Qué dirá la jefa al respecto?

Una vulnerabilidad en ciertos Nexus permite ataques DoS mediante SMS

Una vulnerabilidad en los Nexus permitiría ataques DoS mediante SMS
Está visto y comprobado que el pobre Galaxy Nexus está en racha. Un administrador de sistemas llamado Bogdan Alecu ha descubierto un bug que lo haría susceptible de un ataque al recibir un gran volumen de SMS Flash o clase 0, aquellos mensajes que se muestran directamente en la pantalla del equipo y no se almacenen automáticamente. El ataque de denegación de servicio (o DoS por sus siglas en inglés) forzaría el reinicio del smartphone, aunque también puede deshabilitar las conexiones o directamente forzar el cierre de la aplicación de mensajes. Según indica Alecu, además de al Galaxy Nexus, el fallo afectaría también a los Nexus 4 y Nexus 5, pero al parecer no sería aplicable al resto de la familia Android. Google ha explicado a PCWorld que ya está al tanto del problema y anda estudiándolo detenidamente, pero de momento no hay detalles sobre cuándo podría empezar a desplegarse el parche correspondiente. Mientras tanto, ya sabes, mucho cuidado con qué recibes.

[Vía Slashgear]

Vulnerabilidad permite el secuestro de aplicaciones de iOS en redes WiFi

Vulnerabilidad permite el secuestro de aplicaciones de iOS en redes WiFi
Desde siempre hemos sabido que no se debe usar redes WiFi desconocidas por el riesgo a sufrir ataques conocidos como "de intermediario" (man in the middle). El problema es que muchas personas ignoran ese detalle, y debido a esto el secuestro de aplicaciones de iOS, detallado recientemente por la gente de Skycure, adquiere una relevancia importante.

La información publicada describe un ataque que consigue que aplicaciones que se conecten a un servidor usando HTTP desde una red WiFi comprometida terminen cambiando el URI, mostrando desde ese momento información modificada a los usuarios, aún después de desconectarse de la red. Según indica Skycure en su estudio, una gran cantidad de populares aplicaciones incluyen esta vulnerabilidad,bien poque no usan HTTPS para recibir información o porque hacen caso a la redirección 301.

Si piensas que alguna de las aplicaciones que usas ha sido modificada usando este truco, solamente debes eliminarla y volver a instalarla para solucionar el problema. En todo caso, esperamos que los desarrolladores se hagan eco de la vulnerabilidad y parchen sus aplicaciones tan pronto sea posible; hasta entonces te recordamos que has tener cuidado al conectarte a redes WiFi que no sean de tu total confianza.

Si quieres aprender un poco más sobre el problema, no dejes de ver los videos publicados tras el salto.

Vulnerabilidad del navegador Tor habría compartido información de usuarios por medio de malware

Vulnerabilidad en el navegador Tor habría enviado información de ubicación de usuarios
La gente que usa el navegador Tor lo hace precisamente para aprovechar el anonimato que brinda esta tecnología, así que es muy grave saber que una vulnerabilidad habría enviado información de los usuarios a servidores cerca de Washington DC. El agujero de seguridad estaría relacionado con una implementación de JavaScript usada en Firefox 17, la versión utilizada para el fork del navegador Tor. Por medio de ese "exploit", un malware específico desarrollado para atacar ordenadores Windows habría obtenido el nombre y la dirección MAC del ordenador, mandando a continuación estos datos a un servidor con IP perteneciente a una empresa ubicada en Reston, Virginia, que trabaja para el gobierno de Estados Unidos.

Debe quedar claro que no se ha confirmado que el malware haya sido desarrollado o la información obtenida por el gobierno estadounidense, pero la existencia del software está confirmada. Por eso, los desarrolladores del navegador Tor recomiendan actualizar el software de inmediato, y hasta mencionan que para mayor seguridad es mejor no utilizar el sistema operativo Windows. Dejaremos las cosas ahí.

[Vía Wired]

Leer - Tor Project
Leer - Tor Blog

Apple confirma que iOS 7 no permitirá que se instale malware a través de un cargador

Apple confirma que iOS 7 no permitirá que se instale malware a través de un cargador
Los chicos de Georgia Tech han dado hace poco con una manera de lo más extraña para buscar las cosquillas a iOS: el truco reside en un cargador especial que oculta en su interior un ordenador que puede llegar a introducir malware en la plataforma una vez que el el dispositivo ha sido conectado y desbloqueado. Para tranquilidad de los usuarios de la manzana, parece que la historia no va a tener mucho más recorrido, ya que los de Cupertino han confirmado que la cuarta beta de iOS 7 y sus versiones posteriores cuentan con todo lo necesario para protegerse de las malas intenciones.

Apple no ha llegado a explicar en qué consiste exactamente la solución, pero Billy Lau -de Georgia Tech-, se ha aventurado a decir que el nuevo sistema operativo podría ser capaz de distinguir cuándo está conectado a un ordenador en lugar del cargador y así tomar las decisiones pertinentes. Dado el ineludible componente físico del ataque, en realidad sería suficiente con que tuvieras cuidado de no enchufar el equipo en lugares sospechosos hasta que la nueva versión de iOS esté disponible, pero de momento queda en el aire qué ocurrirá con aquellos equipos que no puedan actualizarse.

Descubren un agujero de seguridad que afectaría al 99% de los Android

Descubren un agujero de seguridad que afectaría al 99% de los Android
Un grupo de investigadores de Bluebox Security han descubierto un agujero de seguridad que afectaría al 99% de los dispositivos Android, y que estaría presente desde Android 1.6 (Donut). Según esta firma, cualquier desarrollador con malas intenciones podría modificar el código de un APK, sin necesidad de romper la firma cifrada, y permitir que se lleve a cabo la instalación de un troyano sin que el usuario sea consciente de ella. La magnitud de este problema podría ser enorme, según afirman sus descubridores, ya que afectaría a una cantidad enorme de dispositivos y gracias a ella el troyano podría "controlar el sistema Android y el resto de las aplicaciones".

Bluebox afirma que avisó de este problema a Google el pasado mes de febrero y según podemos leer en CIO, el único smartphone que se salvaría de esta pira sería el Galaxy S 4, lo que nos sugiere que los de Mountain View ya estarían trabajando en un parche. Otra pista de que los californianos se habrían puesto manos a la obra para solucionar este problema es que según Bluebox, Google habría cambiado los requisitos de acceso de forma que se bloquearía el acceso a las apps con este agujero. Se afirma también que Google está ya trabajando en una actualización para los Nexus de la casa, pero los de Brin y Page, preguntados por el asunto, han emitido el clásico "no comment". Esperemos que vayan distribuyendo pronto los parches que solucionen este problema.

Leer - Bluebox Security
Leer - CIO

Una vulnerabilidad de Viber permite superar la pantalla de bloqueo de Android (vídeo) [Actualizada]

Un fallo de seguridad de Viber permite superar la pantalla de bloqueo de Android (vídeo)
Si tu equipo es un Android y tu aplicación de mensajería y VoIP favorita es Viber, atento al grave problema de seguridad descubierto. Bkav Internet Security ha encontrado un serio agujero que permite a cualquier usuario acceder a tu Androide pese a que esté la pantalla de bloqueo activada empleando la conocida aplicación. Este agujero aprovecha el sistema de notificaciones y como podrás apreciar en el vídeo tras el salto, está al alcance de cualquier usuario y mediante un par de pasos.

La gente de Viber ha prometido una solución urgente, pero entre tanto te sugerimos que desactives las notificaciones de la app para evitar que mediante un par de mensajes en la plataforma y una simple pulsación al botón de retroceso dejen al descubierto la pantalla principal de tu smartphone. Te dejamos con el vídeo un poco más abajo.

[Actualización: El equipo de Viber nos ha confirmado que ya han lanzado una actualización para arreglar el fallo descrito. Se puede descargar en el siguiente enlace.]

Una vulnerabilidad en el Galaxy Note II permite acceder al navegador sin desbloquear el equipo

Una vulnerabilidad en el Galaxy Note II permite acceder al navegador desde el widget de noticias sin desbloquear el equipo
Desde la semana pasada hemos visto cómo un par de fallos hacían mella en la pantalla de bloqueo de los galácticos terminales de Samsung pero ya conoces el refrán: no hay dos sin tres. Hoy nuestro protagonista vuelve a ser el Note II, que está dando nuevos quebraderos de cabeza a sus creadores con el menú de contactos de emergencia (ICE por su siglas en inglés), sólo que esta vez viene ayudado por la ventana pop-up de su navegador para causar nuevos desaguisados. Para que el truco surta efecto es necesario tener activado el widget de noticias de la pantalla de bloqueo del equipo (ése que se encarga de mostrarte breves avances de noticias tan pronto como despiertas al equipo) y, al menos en nuestra unidad de pruebas, el acceso mediante pin.

Como de costumbre, un breve clic sobre alguno de estos extractos para ampliar la información hace que regresemos a la pantalla de bloqueo para introducir el pin; una vez ahí el quid de la cuestión es pulsar rápidamente sobre el botón "llamada de emergencia" y como por arte de magia nos aparecerá un pop-up con la noticia completamente cargada sin necesidad de haber escrito la contraseña, quedando al fondo el famoso menú de contactos ICE. Este a priori inocente quiebro a la seguridad del equipo podría no obstante suponer vía libre para que un extraño accediera a la información del portapapeles, cargara una web con contenido privado del usuario (por ejemplo si éste tiene más pestañas abiertas) o incluso se las apañara para descargar contenido malicioso sin más complicaciones. Eso sí, al tratar de maximizar la aplicación, el sistema nos vuelve a pedir la contraseña para continuar.

Una vulnerabilidad en el Galaxy Note II permitiría acceder brevemente a las apps aun con el equipo bloqueado - ¡Actualizada!

Una vulnerabilidad en el Galaxy Note II permitiría acceder brevemente a las apps aun con el equipo bloqueado (¡en vídeo!)
Un usuario de Galaxy Note II llamado Terence Eden ha descubierto una vulnerabilidad en Android 4.1.2 que hace que la seguridad del patrón de la pantalla de desbloqueo no nos parezca tan, tan fiable como hasta ahora. Aunque sea sólo durante un escuetísimo segundo, la pantalla de inicio del dispositivo puede quedar expuesta a los "maleantes" si, desde la pantalla de desbloqueo pulsamos el botón de emergencia, seguido del botón de contactos de emergencia (un icono similar a la agenda en el rincón inferior izquierdo de algunos equipos de Samsung) y, luego por último, mantenemos presionado el botón físico del dispositivo.

Cierto, esto sólo da acceso a la pantalla principal durante unos brevísimos instantes al posible atacante, pero es más que suficiente para ejecutar cualquier aplicación que pudiésemos tener en el escritorio (que, en cualquier caso, quedaría ejecutada de fondo y volveríamos a la pantalla de bloqueo). Sin ir más lejos, en el video que te hemos dejado tras el salto puedes ver cómo nuestro protagonista es capaz incluso de efectuar una llamada pulsando un widget, así que la amenaza a tener en cuenta es la posibilidad de usar este método para cargar otras apps que ejecuten acciones al inicio que puedan poner el equipo en riesgo.

El propio Terence asegura haber contactado con Samsung hace más de cinco días, pero aún no ha obtenido respuesta, así que imaginamos que la réplica de los coreanos estará al caer. Por si acaso, mantendremos ojos y oídos bien abiertos.

[Actualización: La respusta de Samsung ya está aquí para tranquilizar a sus usuarios indicando que está al corriente de la situación y que tiene planeado lanzar en breve una actualización para solventarlo.]

Microsoft indica que también fue víctima de hackers

Microsoft indica que también fue víctima de hackers
Nos asombra enterarnos que Apple y Facebook no fueron las únicas compañías que cayeron en los trucos de unos hackers malintencionados, porque Microsoft también ha sido víctima de un ataque mediante Java que se saldó con la instalación de malware en sus equipos. En un artículo publicado en el blog del Microsoft Security Response Center, el gerente general, Matt Thomlinson, admite que "un pequeño grupo de ordenadores, incluyendo unos en nuestra división de negocios Mac" fueron infectados con malware similar al usado en los otros ataques.

De todas maneras, Thomlinson aclara que no es nuevo que hackers vean a Microsoft como un objetivo a vencer, y por suerte, la información de los clientes no se vio comprometida. Ya que el problema no pasó a mayores, podemos decir que nos parece gracioso e irónico que algunos ordenadores Mac de Microsoft hayan sido los infectados.

[Vía Reuters]

Apple descubre ordenadores de empleados con malware debido a vulnerabilidad de Java

Apple descubre ordenadores de empleados infectados con malware debido a vulnerabilidad de Java
La semana pasada Facebook indicó que algunos de sus empleados habían sido víctimas de un ataque que terminó infectando sus ordenadores, y hoy Apple ha hecho público que también se ha encontrado con este mismo problema. La compañía dirigida por Tim Cook ha indicado que una vulnerabilidad de Java permitió que un sitio para desarrolladores instalara malware "en un pequeño número de sistemas" utilizados por sus empleados, aunque no se habría producido una fuga de datos personales y este ataque ha sido reportado a las autoridades.

La compañía de Cupertino añadió en su declaración que desde OS X Lion los Mac ya no incluyen Java preinstalado, y como una medida de seguridad adicional, desactivan el software si no se usa por más de 35 días. Además, para mantener seguros a los usuarios, hoy se publicará una actualización que buscará el malware en ordenadores Mac y de encontrarlo, procederá a desinstalarlo de inmediato.

[Actualización: El parche ya está disponible en la App Store.]

BlackBerry dice que una vulnerabilidad con el manejo de archivos TIFF permite acceso a servidores BES

BlackBerry dice que una vulnerabilidad con el manejo de archivos TIFF permite acceso a servidores BES
El alto nivel de seguridad incluido en los productos de BlackBerry es una de las principales razones para que esta empresa sea una de las favoritas entre los departamentos de sistemas. Por eso nos asombra ver una advertencia con categoría de "alta gravedad" para administradores de los BlackBerry Enterprise Server. Según indica el fabricante, una vulnerabilidad presente en la manera en la que la conexión MDS y el Messaging Agent muestran archivos TIFF en los móviles haría que una imagen con malware proporcione acceso a los servidores de una compañía.

Por ahora BlackBerry dice no haber recibido ningún reporte de ataques que usen esta vulnerabilidad, pero recomienda que los administradores actualicen el software BES tan pronto sea posible. Además, como ayuda adicional, han proporcionado soluciones temporales para quienes no puedan instalar la actualización de inmediato. Una vez más queda en evidencia que el trabajo de administrador de servidores no incluye momentos de descanso.

[Vía Naked Security]




Noticias AOL