Hace unos días advertimos de la vulnerabilidad Stagefright, que que ponía en peligro el 95% de los dispositivos Android. Ahora se trata de los lectores de huellas dactilares incluidos en algunos modelos de estos móviles.

Los investigadores de la empresa de seguridad FireEye, Tao Wei y Yulong Zhang, develaron estos fallos en su presentación Fingerprints on Mobile Devices: Abusing and Leakingdes durante la conferencia Black Hat en Las Vegas. Para su investigación los trabajadores tomaron los modelos Samsung Galaxy S5 y HTC One Max. Sin embargo, se trataría de un problema compartido por el resto de teléfonos Android.

El problema está en que los posibles atacantes podrían robar masivamente huellas dactilares. Obteniendo, además, una imagen en alta definición. Para empeorar las cosas, el sensor en algunos dispositivos sólo está controlado por "system" en vez de "root", haciendo más fácil el ataque. En otras... Continuar leyendo

A principios de esta semana, investigadores de seguridad en Zimperium revelaron Stagefright, una vulnerabilidad crítica en Android que permite que mediante un mensaje de texto multimedia MMS atacar a 950 millones de dispositivos.
El defecto fundamentalmente reside en un componente del Kernerl de Android llamado "Stagefright", una biblioteca de reproducción multimedia utilizada por Android para procesar, grabar y reproducir archivos multimedia. La vulnerabilidad se ha confirmado desde la versión 2.2 a la 5.1.1.

Stagefright está siendo explotada activamente y el atacante sólo necesita del número de teléfono de la víctima para enviar un mensaje MMS malicioso y comprometer el dispositivo, sin ninguna acción por parte del usuario.

Nuevas formas de explotar Stagefright

En el escenario anterior un atacante puede aprovechar Stagefright solo contra sus números conocidos. Pero ahora, según la ... Continuar leyendo

El escandalo de los documentos filtrados del Hacking Team está poniendo en evidencia la seguridad de muchos sistemas y aplicaciones. Esta empresa conocía los agujeros de seguridad de cientos de aplicaciones, lo que le permitía acceder sin problemas a los ordenadores y móviles de los usuarios.

El Hacking Team habría desarrollado una aplicación que podría ejecutar malware en Android y se habría colado en la tienda de aplicaciones Google Play en forma de aplicación de noticias, según los especialistas de seguridad de Trend Micro. La aplicación denominada BeNews sólo requiere tres permisos por parte del usuario cuando era instalada y consiguió pasar todos los controles de seguridad de Google ya que "no contenía código malicioso detectable".

Muchas veces somos poco conscientes de los riesgos que comportan nuestras acciones, y en materia de seguridad y privacidad de la información, el tema se hace todavía más evidente.

Un ejemplo claro de esto es el momento de deshacerse de un antiguo ordenador personal, ya sea para que lo utilice otra persona (venta, donación o cesión), o simplemente para finalizar su vida útil. En dicha situación, muchas personas, preocupadas por la protección de la información contenida en el equipo, sabe que es necesario eliminar sus archivos personales antes de ello. No obstante, ¿Estamos convencidos de que el borrado de datos que realizamos es suficiente para la protección de dicha información? ¿Nadie podrá acceder a dicha información una vez sea eliminada? ¿Quién nos asegura que con técnicas especializadas, un atacante no podrá recuperar mi información?

Los profesionales de la seguridad, nos sentimos con la obligación de informar a los usuarios de sus riesgos... Continuar leyendo

Con la salida al mercado del iPhone 6 y el iPhone 6 Plus, quedó un poco ensombrecido un movimiento que la competencia realizaba, el cifrado por defecto en las nuevas versiones de Android.

Para entrar en materia, podemos decir que todos los dispositivos con Android desde la versión 3.0 cuentan con una opción para habilitar un cifrado en la partición /data del usuario, de tal manera que toda información que entre o salga debe cifrarse/descifrarse antes de ser utilizada.

Para aquellos que como un servidor hayan probado (o utilicen desde entonces) el cifrado en Android, seguramente recordarán que la primera vez te pedían que insertaras una contraseña. Para colmo, al menos en la versión que yo lo activé (supongo que sería la 3.5) te obligaban además que la contraseña fuera alfanumérica de seis o más caracteres (nada de PIN o patrón de desbloqueo) y que además debía ser semejante a la de desbloqueo.

Esta restricción es debida a que el FDE ... Continuar leyendo

"No podía creerlo, pero después de varias pruebas, parece que es verdad: en el navegador de Android es posible cargar JavaScript arbitrario en cualquier página". Con esta introducción de Joe Vennix, del equipo de Metasploit, se presenta el último "desastre de privacidad" en Android (ha habido varios, al menos clasificados como desastres, y Joe ha desarrollado exploit para algunos...). Pero este es un poco especial, por su sencillez y alcance.

Rafay Baloch lo descubrió a principios de septiembre. Un fallo en el navegador por defecto de Android que permite eludir la política de SOP (Same Origin Policy) en las páginas. A efectos prácticos, significa que si se visita una web de un atacante con el navegador por defecto, el atacante podría tener acceso a toda la información de cualquier página. No solo la información explícita sino obviamente a las cookies (si no están protegidas) y por tanto, pueden robar las sesiones de las webs.

¿SOP?

La política... Continuar leyendo

El investigador Rafay Baloch ha publicado una vulnerabilidad, identificada como CVE-2014-6041, que afecta a la mayoría de los sistemas Android.

La Política del mismo origen o Same Origin Policy (SOP) es una medida de seguridad básica que deben implementar todos los navegadores actuales. La idea es muy sencilla: el código de una página que se ejecuta en cliente (casi siempre javascript) no debe ser capaz de acceder al código de otra.

Eso es porque, aunque hay algunas excepciones con unas pocas propiedades y atributos, si se permitiera acceder globalmente desde un origen a otro (Esquema, dominio y puerto) un sitio A podría acceder a las propiedades de otro sitio B, es decir, un sitio malicioso podría obtener las cookies, location, response, etc. de otro sitio por el que está navegando el usuario. Un ejemplo claro sería cuando un usuario accede a un sitio malicioso y es posible robar una sesión de Facebook abierta en otra pestaña del navegador.... Continuar leyendo

Cada vez más transacciones bancarias se realizan desde el móvil, un 33% según los últimos datos de un estudio de RSA, la división de Seguridad de EMC, es decir, un 20% más con respecto a las operaciones realizadas durante 2013, y un 67% más desde 2012. Este escenario hace que en la actualidad una de cada cuatro operaciones fraudulentas identificadas se origine desde un dispositivo móvil, como indica el citado Informe sobre Fraude en Internet [PDF] en el que analiza el estado actual del cibercrimen en función de su experiencia y sus conocimientos en el rastreo de estas actividades delictivas.

En el estudio se pone de manifiesto también el aumento de ataques de phishing, que crecieron un 25% en julio con respecto al mes anterior. En total, se identificaron 42.571 ataques de este tipo con un impacto económico de entorno a 362 millones de dólares a nivel global.

En el periodo analizado por el informe de RSA (abril, mayo y junio... Continuar leyendo

Cuando hablamos de malware en dispositivos iOS como iPhone o iPad casi siempre se asocia a aquellos dispositivos en los que se les ha realizado el Jailbreak. Las bondades de realizar esta operación son bien conocidas por la mayoría de usuarios, pero si no andamos con cuidado, podemos exponer nuestro sistema a importantes riesgos de seguridad.

Robo de ingresos por publicidad

Hoy vamos a hablar de Adthief, un malware para dispositivos iOS 7.x con Jailbreak que roba los ingresos que obtienen legítimamente aquellos desarrolladores a través de la publicidad dentro de sus aplicaciones.

Este malware fue descubierto por el investigador Axelle Apvrile el pasado mes de marzo y fue publicado recientemente. En esta investigación se observa cómo el malware se camufla como una extensión de Cydia Substrate y suplanta la Identificación (ID) del desarrollador por la del creador del malware, haciendo que este último se quede con los ingresos derivados de la publicidad. ... Continuar leyendo

Investigadores estadounidenses han descubierto un defecto que pueda explotarse a través de Android, Windows, iOS y otros sistemas operativos, y podría permitir atacar servicios populares como GMail y muchos otros. Los expertos en seguridad de la Universidad de California Riverside Bourns Facultad de Ingeniería y la Universidad de Michigan identificaron una debilidad que se cree que existe en varios sistemas operativos y que podría permitir una atacante robar datos sensibles a través de aplicaciones maliciosas.

La debilidad se puso a prueba a través en Android, pero los investigadores afirman el método podría ser utilizado a través de todas las plataformas porque el error radica en componentes compartidos en otros sistemas operativos: la capacidad de las aplicaciones para acceder a la memoria compartida de un dispositivo móvil. Sin embargo, no se han llevado a cabo pruebas en otros sistemas.

El ataque funciona cuando un usuario descarga una aplicación... Continuar leyendo