12 de agosto de 2013

ANDROID La autentificación mediante 'un clic' compromete a los usuarios del Sistema.

El sistema de autentificación mediante un clic de Google en Android denominado 'weblogin', puede poner en peligro la seguridad de los usuarios, según demostró el experto en seguridad Craig Young, mediante una aplicación falsa que permitiría a 'hackers' acceder a los datos privados de la cuenta de Google del usuario.
Esta funcionalidad, denominada 'weblogin', permite acceder a determinadas páginas sin tener que introducir ningún tipo de contraseña ni información, ya que el sistema utiliza los datos de la cuenta de Google del usuario para 'loguearse'.
Demostración del fallo de seguridad
  • El investigador ingenió una aplicación falsa, con una apariencia similar a la de Google Finance, y la lanzó a la Play Store indicando claramente que se trataba de una 'app' maliciosa.
  • Durante su instalación, la aplicación pide permiso al usuario para encontrar y usar las cuentas del dispositivo y acceder a la web.
  • A continuación, aparece otro aviso que solicita acceso a una URL que comienza con 'weblogin'. Según el fundador de esta aplicación, este segunda advertencia es totalmente desinformativa, por lo que la mayoría de los usuarios probablemente aceptarían la petición.
  • Si esto ocurre, los usuarios son inscritos automáticamente en la web de Google Finance y, a la vez, la identificación se desvía a través de una conexión encriptada que desemboca en un servidor controlado por un hacker. "Y el problema es que la autentificación de 'weblogin' no funciona solo para Google Finance, sino para todos los servicios de Google", explicó Young.
Impacto del fallo de seguridad
  • Por ejemplo, este sistema puede proporcionar acceso a los documentos de la víctima de Google Drive, correo de Gmail, entradas del calendario de Google Calendar, historial de búsquedas Google Web o la información que pueda ser privada que esté almacenada en las aplicaciones de Google.
  • Además, de esta manera también se podría acceder a la cuenta de Google Play del usuario e instalar de forma remota aplicaciones en el dispositivo de este. Asimismo, el hacker tendría la posibilidad de cambiar contraseñas así como de crear y modificar listas de mails, e incluso añadir nuevos usuarios con privilegios administrativos.
Más información
Fuente: Europa Press

APPLE Desvelará su nuevo iPhone el 10 de septiembre

Apple Inc, la mayor compañía mundial de tecnología, presentará el nuevo diseño de su iPhone en septiembre, según indicó el blog de tecnología AllThingsD.
El blog citó fuentes no identificadas diciendo que Apple revelará el diseño de su nuevo teléfono inteligente en un evento especial el 10 de septiembre.
La compañía no estuvo disponible para comentar el informe.
  • Los lanzamientos del iPhone de Apple son uno de los eventos más esperados en el calendario de la industria tecnológica.
  • Reuters informó en junio que Apple estaba explorando el lanzamiento de iPhones con pantallas más grandes, así como modelos más baratos en diferentes colores el próximo año, según varias fuentes con conocimiento del tema
  • En cualquier caso, el nuevo iPhone llegará a las estanterías de las tiendas a tiempo para la crucial temporada navideña.
Más información
Fuente: Reuters

ANDROID. La vulnerabilidad ‘Master Key’ sigue explotándose

La empresa de seguridad Sophos ha detectado nuevas muestras de malware para Android que siguen explotando la vulnerabilidad llamada ‘Master Key’, aunque no de forma masiva, de diferentes formas a las detectadas por Symantec hace unas semanas.
Detalle de la vulnerabilidad ‘Master Key’
  • Esta vulnerabilidad permite que un atacante inyecte código malicioso en aplicaciones Android sin invalidar la firma digital. Según explica Ducklin, investigador de Sophos, no se rompen las claves criptográficas, pero permite que los hackers creen una llave maestra para desbloquear el acceso a un dispositivo e instalar malware haciéndose pasar por otro software legítimo.
  • También las nuevas muestras detectadas tienen archivos ejecutables que recogen datos de las aplicaciones instaladas, mensajes de texto o la identidad internacional del abonado móvil (IMSI) de la SIM.
  • Además, se conecta a un servidor y está preparado para enviar SMS a una lista de números en China.
Recomendación
  • El experto asegura que el fallo se corrige a nivel de código fuente de Android y que es crítico que los fabricantes ofrezcan la actualización a sus usuarios.
  • Por el momento lo que los usuarios pueden hacer para reducir el riesgo de infección es obtener sus aplicaciones desde Google Play, la tienda de aplicaciones de Google para su sistema operativo.
Más información
Fuente: ITespresso

Microsoft AVANZA 8 BOLETINES DE SEGURIDAD QUE PUBLICARÁ EL MARTES

Microsoft ha publicado un avance de los boletines de seguridad que lanzará el 13 de agosto siguiendo el ciclo habitual de actualizaciones. Este mes los avisos corresponden a ocho boletines que corregirán vulnerabilidades que afectan a Internet Explorer, Microsoft Windows, y Microsoft Server Software. 
Impacto de las vulnerabilidades corregidas
  • Tres de estos boletines, calificados como críticos, solucionan fallos que podría permitir la ejecución de código remoto y afectan a todos los productos indicados anteriormente.
  • Los cinco boletines restantes son de nivel importante, están dedicados a los sistemas operativos Microsoft Windows y solventan vulnerabilidades que permitirían revelar información, realizar denegaciones de servicio y elevar privilegios.
Recursos afectados por las actualizaciones 
  1. El navegador Internet Explorer desde la versión 6 hasta la 10, cuyas vulnerabilidades serán corregidas en el primer boletín.
  2. Microsoft Windows XP y 2003 Server.- Las vulnerabilidades de estos productos son solventadas en el boletín en segundo boletín.
  3. Microsoft Exchange Server 2007, 2010 y 2013.- Las vulnerabilidades que afectan ha esta aplicación son solucionadas por el tercer boletín.
  4. SO. Microsoft.- Las vulnerabilidades que permitirían elevar privilegios en sistemas operativos de la Compañía son tratadas y corregidas en los boletines cuarto y quinto.
  5. Microsoft Windows Server 2003, 2008 y 2012.- El octavo boletín se dedica a vulnerabilidades que permitirían revelar información en estos productos.
  6. "Microsoft Windows Malicious Software Removal Tool".- Microsoft también actualizará esta herramienta disponible desde Windows Update, Microsoft Update, Windows Server Update Services y su centro de descargas.
  7. Microsoft Windows Vista, 7, 8, Server 2008, Server 2012 y RT.- Los boletines sexto y séptimo solventarán denegaciones de servicio en estos productos. Concretamente :  
  • El sexto boletín sólo es aplicable a Microsoft Windows Server 2012. 
  • Mientras que el séptimo afecta al resto de los sistemas operativos indicados. 
Más información:
Fuente: Hispasec

¿ LE PREOCUPA EL ROBO DE SU SMARTPHON / MOVIL ?

Pues bien, caso que ocurriese, Google y Apple le ayudan a encontrar su móvil robado. Ofrecen aplicaciones que permiten localizar el aparato en un mapa. El objetivo principal es combatir las altas cifras de robos en las ciudades.
Detalles de la Aplicación de Apple para el rastreo de tu Smartphon
  • La aplicación de Apple se llama "Find My iPhone"  y  ya existe desde hace 3  años. Puede descargarse en su nube iCloud. 
  • Tras unos sencillos pasos el usuario de Apple, ya sea iphone, iPad o Mac puede bloquear el dispositivo a distancia e incluso enviar un mensaje que aparecerá en la pantalla para avisar de la pérdida del mismo y poder contactar con quien lo tenga para su devolución.
  • En el caso de que sea un robo, el usuario podrá rápidamente borrar toda la información que tenga almacenada en el dispositivo, además de advertir de su posición.
  • Apple recuerda que es muy fácil acceder a este servicio. Sólo es necesario estar conectado a su nube mediante una cuenta de icloud.com o bien usar directamente la aplicación en otro dispositivo para poder localizarlo en el mapa.
Detalles de la Aplicación de Google para el rastreo de tu Smartphon
  • Por su parte Google, anunció la puesta en marcha de su nueva aplicación "Android Device Manager". Está destinada a smartphones con sistema Android. 
  • La aplicación será parecida al "Find My iPhone" y contará con un mapa en tiempo real que permitirá borrar también la información almacenada en el dispositivo.
  • También con la aplicación se podrá también activar el sonido en el aparato para cuando el dispositivo se encuentre en modo silencio. 
  • Además, la aplicación de Google también añadirá la opción de poder modificar desde "Android Device Manager" la contraseña de bloqueo de pantalla y controlar cómo y en qué momento se bloquea la pantalla.
  • Esta herramienta llegará este mismo mes y estará disponible en Google Play para equipos Android cuyo sistema operatio esté en versiones desde 2.2 en adelante.
Más información
Fuente: Appleinsider.com