28 de diciembre de 2011

TELÉFONOS “GSM” VULNERABLES ANTE UNA NUEVA ESTAFA

Una vulnerabilidad en la tecnología inalámbrica de la Red del Sistema Global de Telefonía o GSM, que se utiliza por el 80% del mercado total de telefonía móvil, podrían ser aprovechada por los ciberdelincuentes para enviar mensajes o llamadas a modo de estafa.
Detalle de la vulnerabilidad
  • Esta vulnerabilidad tiene que ver con que los comandos de red se envían con el más simple código informático. La gama de opciones para modificar los datos al azar puede mejorar la seguridad, pero los expertos consideran que la implementación de la protección ha variado dependiendo de los portadores.
  • Cada comando GSM tiene una extensión de 23 bytes. Este espacio da la posibilidad de modificar los datos para que sean más difíciles de interceptar, pero algunos que utilizan todo el espacio necesitan de una solución más sofisticada para su seguridad.
Reflexiones finales:
  • Según Karsten Hohl, responsable de los laboratorios de investigación en seguridad de Alemania, se han dado ataques similares antes dirigidos a smartphones. Pero esta nueva tendencia expone a cualquier teléfono móvil con tecnología GSM. Los ataques pueden dirigirse a “cientos de miles” de dispositivos en un breve espacio de tiempo, según Nohl.
  • Los estafadores hacen llamadas a números de teléfono desde sistemas telefónicos o móviles hackeados. Tras hacerse con el dinero deseado abandonan la actividad antes de ser descubiertos. Los usuarios identifican el problema cuando reciben las elevadas facturas telefónicas.

NUEVAS VULNERABILIDADES EN “WhatsApp”

Se ha informado de tres muevas vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta aplicación.
  • WhatsApp Messenger ( WhatsApp  ), es un cliente de mensajería instantánea disponible para múltiples plataformas móviles como por ejemplo iOS, Android, BlackBerry OS, y Symbian.
  • La apliación permite el envío de mensajes de texto, imágenes, audio y videos, pudiendo ser compartido con los demás contactos utilizando el propio número de teléfono como ID y buscando automáticamente en la agenda a otros contactos que utilicen este programa.
Detalle de las vulnerabilidades reportadas:
  1. Pueden cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.
  2. Es vulnerable a ataques de fuerza bruta, la función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.
  3. No está cifrado el tráfico de datos a través del protocolo XMPP de WhatsApp, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.
Recomendaciones:
  • La empresa desarrolladora ha impuesto, como medida de protección ante la segunda vulnerabilidad, una limitación de 10 intentos para introducir el código enviado.
  • Sin embargo no se ha pronunciado al respecto de las otras dos vulnerabilidades.
Más información:
SEC Consult SA-20111219-1 :: Multiple vulnerabilities in WhatsApp
http://seclists.org/fulldisclosure/2011/Dec/387
Fuente: Hispasec