9 de noviembre de 2011

¿ NOS ESPIAN CUANDO ESCRIBIMOS “EMAIL” O “ SMS” EN LUGARES PUBLICOS?

Investigadores de la Universidad de Carolina del Norte han demostrado que es posible espiar a distancia cuando escribimos "email" y "sms".
Y ello es posible gracias al nuevo software bautizado como iSpy, capaz de identificar el texto introducido en una pantalla táctil descifrando las letras que se pulsan en función del movimiento de los dedos. De esta forma, es capaz de reproducir el mensaje que está escribiendo.
Éxito garantizado al 90%:
  • “Podemos estar en el segundo piso de un edificio y leer un teléfono que esté en la planta baja”, asegura el investigador Jan-Michael Frahm.
  • Según los responsables del experimento, la probabilidad de acierto es del 90%, ya que en algunas letras cercanas puede haber errores.
  • Además de cotillear los mensajes, iSpy podría descifrar las contraseñas que los usuarios introducen para entrar en sus cuentas e incluso en sus servicios de banca online.
Distancia de captación:
  • La distancia desde la que iSpy puede llegar a funcionar depende del tipo de cámara utilizada para grabar:
  • Con una cámara de las que normalmente se integran en los teléfonos móviles se puede espiar a una distancia de 3 metros,
  • Con una cámara réflex digital HD se podrían leer mensajes hasta desde 60 metros de distancia.
Fuente: Gizmodo, New Scientist

VULNERABILIDAD EN “PhpMyAdmin”

Se ha informado de una vulnerabilidad en PhpMyAdmin que podría permitir a un atacante con permisos para la creación de bases de datos, leer ficheros arbitrarios del servidor donde se aloja la aplicación.
La vulnerabilidad ha sido descubierta por 80sec y publicada a través de la web china de recopilación de exploits, wooyun.org
Detalles de la vulnerabilidad:
  • El fallo se localizaría en la función 'simplexml_load_string' del fichero 'libraries/import/xml.php'. Un atacante remoto autenticado podría obtener información sensible a través de un fichero XML especialmente manipulado.
  • Junto con el advisory se ha hecho pública una prueba de concepto que demuestra la vulnerabilidad. 
Sistemas y versiones afectadas:
  • El problema está confirmado en la versión 3.4.7, aunque posiblemente afecte a otras. No se ha publicado solución oficial aún.
  • Este escenario es especialmente crítico en sistemas de hosting compartido.
    Más información en:
    http://www.80sec.com/xml-entity-injection.html

    Fuente: Hispasec