23 de noviembre de 2014

IOS y ANDROID. El porcentaje de aplicaciones hackeadas y clonadas aumenta

Entre Apple y Google se reparten más del 90% del mercado de dispositivos móviles y esto es importante sobre todo de cara a la seguridad. Los hackers sabeedores de ello tratan de conseguir el control de los dispositivos móviles y para ello se ayudan de dos acciones: o recurrir a aplicaciones hackeadas (complicado) o de lo contrario recurrir a la utilización de clones de aplicaciones legítimas (más factible).
La primera de las opciones es la más complicada pero donde mayor cantidad de datos se consiguen, ya que el acceso no autorizado a una aplicación y a los datos de una cuenta que esté vinculada a esta aplicación implica daños importante de cara a la privacidad del usuario. Aunque resulta complicado porque en primer lugar es necesario localizar el fallo y después averiguar la forma de explotarlo, algo que no siempre es posible de forma remota.
La segunda opción que es la de utilizar aplicaciones clonadas con malware añadido suele ser la preferida de los ciberdelincuentes.- Éstas son aplicaciones que poseen cierto renombre entre los usuarios y cuya fama es destacable, provocando que el usuario no dude en instalarla en su dispositivo. Los resultados serían inmediatos: una gran cantidad de usuarios infectados con archivos maliciosos.
Porcentajes similares pero mayor cantidad de aplicaciones hackeadas y clonadas en Android
En la imagen de la izquierda puede verse el porcentaje de aplicaciones que han sido hackeadas en los dos sistemas operativos más utilizados en este momento.






A continuación se podrá ver los porcentajes de aplicaciones clonadas, pudiendo ver cuáles despiertan más interés por los hackers, correspondiéndose con la mayor o menor cantidad de descargas que tengan y la importancia de los datos que se manejen en ellas.


En lo referido a aplicaciones gratuitas se puede ver como el porcentaje es menor en ambas, y el razonamiento es muy sencillo, la mayoría de los usuarios buscan alternativas para descargar de forma gratuita aplicaciones de pago, y para ello tienen que recurrir a tiendas de aplicaciones no oficiales que es donde sí se encuentran estos clones.



Fuente: Softpedia

DETEKT. El anti-spyware de Amnistia Internacional

Detekt, es un nuevo software gratuito y de código abierto que protegerá nuestros equipos de los programas de spyware más utilizados por las agencias gubernamentales. 
La aplicación, desarrollada por el investigador de seguridad alemán Claudio Guarnieri, ha sido lanzada en asociación con Amnistía Internacional y diferentes organizaciones pro derechos civiles y de protección al consumidor.
La función de Detekt es la de escanear y analizar nuestros equipos para detectar si estamos infectados con alguno de los programas de ciberespionaje más utilizados por los gobiernos. Esta herramienta será de especial utilidad para todos los periodistas y activistas que, según Amnistía Internacional, son espiados en docenas de países alrededor del mundo.
Algunos de estos malwares espía, como el programa FinSpy desarrollado por la empresa FinFisher, son capaces de leer nuestros correos electrónicos, monitorizar nuestras conversaciones por Skype, extraer archivos de nuestros discos duros o sacarnos una foto utilizando la cámara web de nuestro ordenador.
Amnistía Internacional avisa de que lo más normal es que los desarrolladores de spyware reaccionen al lanzamiento de este programa, y que actualicen sus aplicaciones para evitar que sean detectadas. Por eso la asociación avisa de que, aunque los análisis de Detekt en nuestro equipo den negativo, podríamos igualmente estar infectados.
Más información
Fuente: Genbeta


HACKERS. Filtradas miles de credenciales de PlayStation Network, Windows Live y 2K

 El grupo de hackers DerpTrolling ha filtrado una lista con más de 5.000 credenciales de PlayStation Network (PSN), Windows Live y 2K en Internet para denunciar la falta de seguridad en los servidores de las compañías.
   "Querido Internet, lo siguiente es una pequeña porción de lo que Lord Gaben y el resto de sus tripulaciones han saqueado gloriosamente por los mares abiertos de Internet", comenzaba el post donde se han filtrado las cuentas.
   En la publicación, el grupo de hackers reclama la autoría de la filtración y, según ha podido saber CNET, la revelación "no corresponde a una demostración de fuerza", ya que entonces hubieran optado por "atacar 2K" que hubiera sido similar al ataque que perpetraron contra los servidores de Blizzard.
   Los hackers han querido aclarar que no quieren dañar a sus "niños" con la filtración de "datos tan peligrosos" y lo califican como "una advertencia a las compañías".
   DerpTrolling ha filtrado concretamente 2.131 credenciales de PSN, 1.473 de Windows Live y 2.000 de 2K, pero aseguran tener en su poder hasta 800.000 cuentas y contraseñas de 2K, 500.000 números de tarjetas de crédito, dos millones de cuentas de Comcast, 620.000 cuentas de Twitter, 1,2 millones de credenciales pertenecientes a los dominios de la CIA, 200.000 de Windows Live, tres millones de cuentas de Facebook y 1,7 millones de cuentas Origin de Electronic Arts.
   Según explican, la razón de que hayan filtrado una selección de las cuentas en su poder proviene de un consejo de otro grupo de hackers, RedHack, ya que, a pesar que DerpTrolling se atribuya el hackeo de varios servidores, no publican los datos confiscados.

Fuente: Europa Press

DOUBLEDIRECT: Nuevo ataque Man In The Middle para redirigir el tráfico de la víctima

El nombre de este nuevo ataque es DoubleDirect, y es que una vez que se ha redirigido el tráfico, el atacante puede robar todos los credenciales e incluso añadir un payload malicioso para infectar el dispositivo y posteriormente infectar la red corporativa.
Zimperium Mobile Security Labs ha investigado durante el año pasado esta nueva técnica que están usando cibercriminales para realizar ataques Man In The Middle (MITM) y redireccionar el tráfico de la víctima hacia el dispositivo del atacante.
Aplicaciones y paises afectados
  • El tráfico de servicios tan populares como Google, Facebook, Twitter o Hotmail, se redirige durante estos ataques en el dispositivo de la víctima. 
  • Algunos de los países en los que se han identificado estos ataques son por ejemplo España, Canadá, Francia, Suiza, Rusia, Reino Unido y otros muchos.
Modu opernadi del ataque DoubleDirect
  • Este nuevo ataque envía un ICMP de tipo 5 para modificar la tabla de enturamiento de un host. La tabla de enrutamiento se utiliza para enviar mensajes a un determinado host por la mejor ruta disponible en ese momento. Al modificar la tabla de enrutamiento de la víctima, en lugar de enviar los datos por una ruta legítima y que será la mejor ruta posible, la enviará hacia una subred con una IP arbitraria donde el atacante podrá realizar un ataque MITM e incluso comprometer el dispositivo explotando vulnerabilidades conocidas. De esta forma también se podría incluso acceder a la red corporativa.
  • En DoubleDirect, se está utilizando la técnica de ICMP Redict pero en full-dúplex, en lugar de los tradicionales ataques ICMP Half-Dúplex, ya que Zimperium Mobile Security Labs descubrió que los atacantes son capaces de predecir las IPs a la que accede la víctima. ¿Cómo lo consiguieron? Según Zimperium Mobile Security Labs fue a través de las peticions DNS que realizó la víctima.
Más información
Fuente: Redeszone.net

ASTERISK. Boletines de seguridad

Asterisk ha publicado siete boletines de seguridad (AST-2014-012 al AST-2014-018) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos permitir acceso no autorizado, ataques de denegación de servicio o de elevación de privilegios.
 Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior.
Detalle e Impacto de las vulnerabilidades corregidas
  1. El primero de los problemas (AST-2014-012) reside en el tratamiento de listas de control de acceso con múltiples direcciones IP mezcladas lo que podría permitir el tráfico no autorizado. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.28. 
  2. Por otra parte, en el boletín AST-2014-013, se trata una vulnerabilidad que podría el acceso no autorizado debido a que no se cargan debidamente las listas de control de acceso definidas en pjsip.conf. Este problema afecta a Asterisk Open Source 12.x y 12.x; así como a Certified Asterisk 11.6.
  3. El boletín AST-2014-014 trata una vulnerabilidad en ConfBridge que podría provocar condiciones de denegación de servicio. Este problema afecta a Asterisk Open Source 11.x y a Certified Asterisk 11.6.
  4. Dos de los problemas (AST-2014-015 y AST-2014-016) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio. Afectan a las ramas 12 y 13 de Asterisk Open Source.
  5. En el boletín AST-2014-017 se soluciona una vulnerabilidad de escala de privilegios a través de las funciones dialplan y actions. Este problema afecta a las ramas 11.x, 12.x y 13.x de Asterisk Open Source y a Certified Asterisk 11.6. 
  6. Por último, el boletín AST-2014-018, soluciona una vulnerabilidad de escalada de privilegios a través de la función DB del dialplan. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.x.
Recomendación
  • Se han publicado las versiones Asterisk Open Source 1.8.32.1, 11.14.1, 12.7.1 y 13.0.1; y Certified Asterisk 1.8.28-cert3 y 11.6-cert8 que solucionan los problemas descritos.
  • También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes boletines publicados.
Más información:
Fuente: Hispasec

GOOGLE. Lanza Chrome 39 y corrige 42 vulnerabilidades

Google ya no sorprende con sus actualizaciones de Chrome, prácticamente todos los meses nos ofrecen una nueva versión. En octubre publicaba Chrome 38, y poco más de un mes después anuncia la nueva versión 39 del navegador. Se publica la versión 39.0.2171.65 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 42 nuevas vulnerabilidades.
Detalle de la actualización e Impacto de las vulnerabilidades corregidas
  • Según el aviso de Google se ha incluido el soporte para 64 bits en Mac, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.
  • La actualización incluye la corrección de 42 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 42 vulnerabilidades, solo se facilita información de 13 de ellas.
  • Una vulnerabilidad de falsificación de la barra de direcciones (CVE-2014-7899), un error que permite la navegación a los intentos que no tienen la categoría de navegable (CVE-2014-7905), una vulnerabilidad de doble liberación en Flash (CVE-2014-0574) y otro problema por memoria sin inicializar en Skia (CVE-2014-7909).
  • Otras vulnerabilidades están relacionadas con el uso después de liberar memoria en pdfium (CVE-2014-7900 y CVE-2014-7902), en plugins pepper (CVE-2014-7906) y en blink (CVE-2014-7907). Dos vulnerabilidades por desbordamiento de entero en pdfium (CVE-2014-7901) y en media (CVE-2014-7908). Y vulnerabilidades de desbordamiento de búfer en pdfium (CVE-2014-7903) y en Skia (CVE-2014-7904).
  • También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-7910). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 41.500 dólares en recompensas a los descubridores de los problemas.
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Más información:
Fuente: Hispasec

APPLE . Actualiza el iOS con la verisón 8.1.1 de iOS y solventa 9 vulnerabilidades

Apple ha liberado la versión 8.1.1 de iOS, su sistema operativo para dispositivos móviles (iPAd, iPhone e iPod). Esta versión, además de proporcionar mayor estabilidad y mejorar el funcionamiento del sistema en el iPad 2 y el iPhone 4s, contiene nueve correcciones a vulnerabilidades de diversa índole.
Detalle e Impacto de las vulnerabilidades corregidas
  • Los problemas corregidos residen en CFNetwork (CVE-2014-4460) debido a que no se limpia totalmente la cache web tras una sesión de navegación privada, en Spotlight (CVE-2014-4453) debido a que se incluye información innecesaria como parte de la conexión inicial entre Spotlight o Safari y los servidores Spotlight Suggestions.
  •  Una vulnerabilidad (CVE-2014-4455) en dyld podría permitir a un usuario local la ejecución de código sin firmar y un problema de validación en el kernel al tratar ciertos campos de metadatos podría permitir la ejecución de código con privilegios del sistema (CVE-2014-4461). Dos problemas en la pantalla de bloqueo podrían permitir a usuarios con acceso al dispositivo exceder el número de intentos fallidos de introducción de contraseña (CVE-2014-4451) o acceder a las fotos de la Librería (CVE-2014-4463).
  • Una vulnerabilidad en los perfiles de la Sandbox podría permitir a una aplicación maliciosa lanzar binarios arbitrarios (CVE-2014-4457). Por último, múltiples vulnerabilidades de corrupción de memoria en WebKit (CVE-2014-4452 y CVE-2014-4462), que podrían permitir la ejecución de código arbitrario al visitar una página web específicamente creada.
Recomendación
  • Esta nueva versión está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
Más información:
Fuente: Hispasec

SCADA. Vulnerabilidades en Siemens SIMATIC WinCC y PCS 7

 Se han identificado 2 vulnerabilidades críticas en los productos Simatec que utilizan el componente WinCC.. Dichas vulnerabilidades se han catalogado con Importancia: 5 - Crítica
Recursos afectados
SIMATIC WinCC:
  • V7.0 SP2 y anteriores: Todas las versiones
  • V7.0 SP3: Todas las verisones
  • V7.2: Todas las versiones anteriores a V7.2 Update 9
  • V7.3: Todas las versiones anteriores a V7.3 Update 2
SIMATIC PCS 7:
  • V7.1 SP4 y anteriores: Todas las versiones
  • V8.0: Todas las versiones anteriores a V8.0 SP2 con WinCC V7.2 Update 9
  • V8.1: Todas las versiones anteriores a V8.1 con WinCC V7.3 Update 2
  • TIA Portal V13: Todas las versiones anteriores a V13 Update 6
Detalle e Impacto de las vulnerabilidades detectadas
  • Explotando la primera de ellas, un usuario no autenticado, puede ejecutar código de manera remota en el servidor WinCC mediante el envío de paquetes malformados. Se ha asignado el identificador CVE-2014-8551 a la vulnerabilidad.
  • Un usuario no autenticado puede extraer archivos del servidor WinCC, mediante el envío de paquetes manipulados. Se ha asignado el identificador CVE-2014-8552.
Recomendación
·  Siemens ha publicado actualizaciones para algunos de los productos afectados. El resto de productos recibirán actualizaciones en un breve espacio de tiempo. Toda la información, está disponible en el enlace de la sección siguiente llamada  "más información".
Más información
Fuente: INCIBE

VULNERABILIDADES. Inyección de comandos shell en IBM Security Network Protection.

Se ha descubierto una vulnerabilidad de inyección de comandos shell en los productos IBM Security Network Protection a la cual se la catalogado de Importancia: 5 - Crítica
Recursos afectados
Los productos afectados son:
  • IBM Security Network Protection (XGS) modelos 3100, 4100, 5100, 7100.
  • Versiones de firmware: 5.1, 5.1.1, 5.1.2, 5.1.2.1, 5.2, 5.3
Detalle e impacto de la vulnerabilidad detectada
  • La vulnerabilidad, que puede ser explotada de manera remota, permite a un usuario no autenticado inyectar y ejecutar comandos arbitrarios shell en el sistema.
Recomendación
IBM ha publicado una solución para cada versión afectada de IBM Security Network Protection:
Más información
Fuente: INCIBE

WORDPRESS. Nueva versión resuelve múltiples vulnerabilidades

 WordPress ha publicado una nueva versión de su sistema de gestión de contenidos para resolver múltiples vulnerabilidades, bugs y añadir mejoras. La actualización se ha catalogado con nivel de Importancia: 4 - Alta
Recursos afectados
  • Todas las versiones de WordPress.
Detalle e impacto de las vulnerabilades corregidas
 Mediante esta actualización también se resuelven:
1)   Cuatro vulnerabilidades de cross-site scripting (una de ellas crítica) que podrían comprometer el sistema.
2)   Una vulnerabilidad de tipo cross-site request forgery.
3)   Una vulnerabilidad de denegación de servicio al comprobar contraseñas.
4)   Se han añadido medidas para evitar ataques de tipo server-side request forgery.
5)   Una vulnerabilidad para prevenir colisiones de hashes bajo determinadas circunstancias.
6)   Ahora se invalidan los enlaces de restablecimiento de contraseña cuando un usuario la recuerda y la utiliza para hacer login y después cambia su dirección de email.
7)   Así mismo, la nueva versión resuelve veintitrés bugs y añade mejoras en la validación de datos EXIF.
Recomendación
  • Actualizar a la versión 4.0.1 de WordPress.
Más información
Fuente: INCIBE

XEN HYPERVISOR. Múltiples vulnerabilidades

Se han descubierto varias vulnerabilidades en los sistemas Xen con arquitectura x86 (los sistemas ARM no son vulnerables). Se han catalogado de Importancia: 3 - Media
Xen es un monitor de máquina virtual de código abierto desarrollado por la Universidad de Cambridge que permite ejecutar el kernel de forma paravirtualizada sobre un hipervisor.
Recursos afectados
  • Xen 3.2.1 y superiores
Detalle e Impacto de las vulnerabilidades
  • Restricciones insuficientes en ciertas llamadas MMU update (CVE-2014-8594)
  • Las operaciones update MMU para tablas de página están pensadas para ser utilizadas únicamente en máquinas invitadas, sin embargo un incorrecto chequeo permite a otras máquinas explotar dichas operaciones para causar una denegación de servicio.
  • Chequeo de privilegios insuficiente para instrucciones de salto en x86 (CVE-2014-8595)
  • Un incorrecto chequeo de privilegios para instrucciones CALL, JMP, y RETF permitiría a un atacante conseguir privilegios de supervisor o causar una denegación de servicio a una máquina invitada.
Recomendación
Aplicar los siguientes parches:
1)  CVE-2014-8594
a)   xen-unstable, Xen 4.4.x, Xen 4.3.x: xsa109.patch
b)   Xen 4.2.x: xsa109-4.2.patch
2)  CVE-2014-8595
a)   xen-unstable, Xen 4.4.x: xsa110-unstable.patch
b)   Xen 4.3.x, Xen 4.2.x: xsa110-4.3-and-4.2.patch
Más información
Fuente: INCIBE

VULNERABILIDAD. Desbordamiento de pila en Advantech Webaccess

Se ha identificado una vulnerabilidad de desbordamiento de búfer en el software basado en navegador para HMI, control y adquisición de datos en SCADA Advantech WebAccess, a la cual se la ha catalogado de Importancia: 4 - Alta
Recursos afectados
  • WebAccess 7.2
  • Otras versiones posiblemente también estén afectadas, pero aún no han sido comprobadas.
Detalle e Impacto de las vulnerabilidad
  • El software Advantech WebAccess es vulnerable un ataque de desbordamiento de búfer (stack), que puede ser aprovechado por un atacante remoto para la ejecución de código arbitrario mediante la incorporación de un HTML malicioso en un parámetro específico de un componente de ActiveX.
Recomendación
  • Al ser una vulnerabilidad del lado del cliente, los usuarios deben evitar la ejecución de archivos html que no sean de confianza. Así mismo, es aconsejable la utilización de software de seguridad que prevenga este tipo de ataques, como por ejemplo Microsoft EMET o Sentinel.
Más información
 Fuente: INCIBE

DRUPAL. Descubierta vulnerabilidades de secuestro de sesión y DoS

Se ha detectado una vulnerabilidad de secuestro de sesión que afecta a las versiones 6.x y 7.x, y otra de denegación de servicio que únicamente afecta a la rama 7.x. Para ambas versiones ya existen actualizaciones que corrigen los problemas catalogados  con Importancia: 4 - Alta
Recursos afectados
Todas las versiones de Drupal:
1)   Anteriores a 6.34
2)   Anteriores a 7.34
Detalle e impacto de las vulnerabilidades detectadas
1)   Secuestro de sesión (Drupal 6 y 7).- A través de una petición especialmente manipulada es posible que una sesión de usuario pueda dar acceso a otras, permitiendo la suplantación de las mismas. Este ataque es posible realizarlo en sitios que sirven contenidos con "HTTP" y "HTTPS", aunque es posible que existan otros vectores de ataque.
2)   Denegación de servicio (Drupal 6 y 7).- Drupal 7 incluye una API para codificar (hashing) las contraseñas y no almacenarlas en texto plano. Una vulnerabilidad en esta API podría permitir a un atacante, a través de una petición especialmente modificada, que provocaría un agotamiento de CPU dando como resultado una denegación de servicio del sitio afectado. Esta vulnerabilidad puede ser explotada por usuarios sin necesidad de logarse en el sistema. Esta vulnerabilidad, también afecta a la versión 6 de Drupal si está habilitada una versión del módulo Secure Password Hashes anterior a la 6.x-2.1.
Recomendación
Más información
 Fuente: INCIBE

VULNERABILIDAD. Detectado desbordamiento de búfer en Advantech AdamView

Se ha identificado una vulnerabilidad de desbordamiento de búfer en el software HMI de adquisición de datos Advantech AdamView., catalogada de Importancia: 4 - Alta
Recursos afectados
  • Advantech AdamView V4.3
  • Otras versiones estén probablemente afectados, pero todavía no han sido comprobadas
Detalle e Impacto de la vulnerabilidad
  • El software Advantech AdamView, contiene dos campos vulnerables a ataques de desbordamiento de búfer, que pueden ser explotados por atacantes para ejecutar código arbitrario mediante archivos con la extensión .gni, asociado a este software.
Recomendación
  • Este producto no tiene soporte por parte del fabricante, por lo que no va a crear ningún parche o actualización. Es por ello, que se recomienda no abrir archivos .gni de fuentes no confiables.
  • Así mismo, es aconsejable la utilización de software de seguridad que prevenga este tipo de ataques, como por ejemplo Microsoft EMET o Sentinel.
Más información
 Fuente: INCIBE

SCADA. Inyección de comandos en Advantech EKI-6340

Se ha identificado una vulnerabilidad de inyección de comandos en la serie de productos Advantech EKI-6340, catalogada de Importancia:4 - Alta
Recursos afectados
  • Advantech EKI-6340
Detalle e Impacto de la vulnerabilidad
  • Los productos de la serie Advantech EKI-6340 son puntos de acceso inalámbricos utilizados en sistemas de control industrial. Se ha identificado una vulnerabilidad el los dispositivos que es causada por una incorrecta validación de los parámetros de entrada, lo que puede provocar la inyección de código.
Recomendación
El fabricante ha decidido NO corregir la vulnerabilidad en la serie EKI-6340 ya que los productos serán discontinuados próximamente.
Con el objetivo de mitigar el riesgo, los investigadores que han reportado la vulnerabilidad recomiendan:
1)   Cambiar la contraseña del usuario invitado o eliminar la cuenta si no se utiliza.
2)   Editar el fichero fshttpd.conf y eliminar la línea "guest_allow=/cgi/ping.cgi".
3)   Comprobar que el usuario administrador no tiene la contraseña por defecto.
4)   Así mismo, ICS-CERT recomienda tomar medidas defensivas que reduzcan la posibildiad de explotación de la vulnerabilidad:
5)   Minimizar la exposición de la red a dispositivos de control y cerciorarse de que no son accesibles vía Internet.
6)   Ubicar las redes y sistemas de control detrás de firewalls, aislándolos de la red corporativa.
7)   Cuando un acceso remoto es requerido, utilizar métodos seguros como VPNs.
Más información
 Fuente: INCIBE

WINDOWS PHONE. Malware introducido en el sistema por la técnica de copiar y pegar

Windows Phone  se ha detectado  un agujeros de seguridad que puede considerar crítico, ya que permite reemplazar aplicaciones legítimas por otras que pueden contener virus y además heredar los permisos de administración de la aplicación legítima gracias al archivo manifest.
Hasta este momento se sabe poco sobre este fallo de seguridad, pero prácticamente podría confirmarse que todos los dispositivos con este sistema operativo están afectados por este problema. Este ha sido reproducido utilizando un Nokia Lumia 822 y es probable que se repita en el resto de terminales que utilicen dicho sistema operativo, ya que tal y como se puede imaginar, se trata de un fallo que está asociado al software que ejecutan los terminales móviles.
Este fallo deja la puerta abierta a los ciberdelincuentes para actuar contra los usuarios que estén utilizando un terminal con este sistema operativo, desarrollando un código que sea capaz de realizar todo lo necesario para conseguir ejecutar un virus o cualquier otro tipo de archivo malicioso.
Sin embargo, hay que tener en cuenta una serie de aspectos que son necesarios para que pueda darse el ataque.
Bajo qué condiciones están afectados los usuarios de Windows Phone
  • En primer lugar hay que explicar en qué consiste el fallo de seguridad. Este permite utilizar los permisos de ejecución de una aplicación legítima en otra (por ejemplo un virus) utilizando solo el método de copiar y pegar, es decir, acudir al directorio en el que está instalada la aplicación legítima que se desea sobrescribir y sustituir todo los archivos existentes por los del paquete malware. Sin embargo, para que esto resulte efectivo es necesario que dicho paquete se encuentre en la tarjeta SD. Los encargados de descubrir el fallo de seguridad han añadido que la vulnerabilidad se encuentra en el módulo que permite la instalación de aplicaciones desde la tarjeta SD. Para concluir el proceso con éxito, solo sería necesario utilizar el mismo archivo manifest que la aplicación legítima que ha sido eliminada. De este modo, el virus o troyano podría ejecutarse heredando los permiso de la aplicación suprimida.
Los ordenadores de sobremesa el peor enemigo en estos momentos
  • Teniendo en cuenta que la mayoría de las aplicaciones proceden de la tienda oficial de Windows Phone, parece poco probable que se puede aprovechar este fallo de seguridad. Sin embargo, si el equipo se conecta a un equipo con sistema operativo Windows que está infectado con un virus y se procede a la copia del paquete desde el sistema de sobremesa al terminal móvil es muy probable que el ataque finalmente llegue a buen puerto, poniendo en peligro los datos de los usuarios almacenados en el terminal.
  • A pesar de haber informado a los responsables del sistema operativo móvil los de Redmond aún no han emitido ningún tipo de respuesta, quedando en el aire aún si este problema será resuelto en una actualización y si es así cuándo se va a proceder.
Fuente: Softpedia

ANDROID. Resuelve un problema de escalada de privilegios en Lollipop

Android Lollipop, según se ha podido saber, resuelve un problema de seguridad que permite una escalada de privilegios y que afecta al módulo relacionado con la serialización de archivos.
El problema resulta bastante equiparable al de Windows Phone que hemos mencionado en el día de hoy, permitiendo que una aplicación falsa heredase los permisos de ejecución de una legítima.
En este caso, el resultado es idéntico, ya que el proceso de serialización y deserialización utilizando java.io.ObjectInputStream es utilizado en la mayoría de los archivos que se encuentran en el almacenamiento del dispositivo, sobre todo con la finalidad de salvar un determinado estado. Al aplicar la deserialización se puede obtener un clon de la aplicación, permitiendo que este sea utilizado para fines muy diversos.
Con este fallo de seguridad se pueden atacar procesos pertenecientes al sistema, sobre todo teniendo en cuenta que los parámetros que se pasan a los métodos pertenecientes a ObjectInputStream no se comprueban, afirmando desde Java que esto debe ser una tarea del programador que es el que debe realizar esta comprobación.
No se han detectado exploits y no se espera una solución para las versiones anteriores a Android Lollipop
Desde Mountain View han confirmado que no se ha detectado en Internet la presencia de exploits que puedan llegar a aprovechar este fallo de seguridad, suponiendo un “consuelo” (al menos de momento) para todos aquellos usuario que no van a recibir la actualización.
Algo que aún es de envidiar con respecto a Apple es el compromiso con dispositivos con versiones de iOS antiguas, ofreciendo actualizaciones de seguridad y una fragmentación bastante menor que la que a día de hoy ofrece Google con Android. De momento no existen planes para publicar una actualización que resuelva el problema en Android 4.4.4 y otras versiones anteriores.
Fuente: Softpedia

NOTCOMPATIBLE. Troyano más sofisticado que afecta a Android

Expertos en seguridad han tenido la oportunidad de analizar el troyano más sofisticado para Android, "NotCompatible" 
Conclusiones del analisis de NotCompatible
  • En primer lugar hay que indicar que el virus parece estar dirigido a todos aquellos usuarios que posean un terminal con el sistema operativo de Google. Sin embargo, hay que matizar que el máximo interés para este y los ciberdelincuentes son aquellos que se utilicen en el ámbito empresarial. A pesar de esto, al no poder realizar distinción entre los terminales, en un principio todos se están viendo afectados por igual.
  • Para llevar a cabo las infecciones los ciberdelincuentes se están ayudando de ingeniería social, recurriendo a correos electrónicos con archivos que poseen el .apk en lugar de otro documento que se indica al usuario: un archivo PDF con un resguardo de compra, un documento de texto, una imagen, … Sin embargo, esta no es la única vía para distribuir el troyano, ya que se han utilizado también sitios web hackeados para publicar el contenido y que así los propietarios de los dispositivos descarguen el contenido.
NotCompatible posee una botnet que analiza de forma minuciosa los datos recopilados
  • En esta botnet los ciberdelincuentes no han dejado nada al azar. En un primer momento, cuando el dispositivo es infectado este comienza a establecer la comunicación P2P y cifrada con un servidor de control y que proporciona instrucciones al troyano. Sin embargo, este solo funciona como un mero balanceador de carga, ya que en función de la ubicación geográfica del dispositivo, este se asigna a uno de los más de 10 servidores que se encuentran repartidos por países de todo el mundo, como Suecia, Estados Unidos, Holanda, Polonia o Reino Unido. Después de haberse asignado a un servidor, este envía una petición de configuración y el servidor responde, todo esto tal y como ya hemos mencionado utilizando comunicaciones cifradas.
  • Este último aspecto del cifrado es algo que ha sorprendido y mucho a los expertos en seguridad que han llevado el análisis, ya que resulta imposible distinguir este tráfico de el tráfico legítimo que es generado por otras aplicaciones haciendo uso de SSL, SSH o servicios VPN.
La finalidad de esto: campañas de malware o spam dirigidas
  • El troyano es capaz de detectar qué direcciones de correo electrónico se están utilizando en los dispositivos infectados. De esta forma, y en función de la situación geográfica del mismo, se pueden realizar ataques con malware o correos electrónicos spam mucho más personalizados y adaptados a cada región. 
  • Tampoco debemos olvidar la potencial utilización de  los dispositivos para finalidades no legítimas, como la realización de ataques de denegación de servicio.
Fuente: Softpedia

PAYPAL. Los usuarios víctimas de una oleada de spam de la Apple Store

Los diferentes problemas de seguridad sufridos por los equipos de PayPal han provocado que los datos de sus usuarios en algún momento queden expuestos, de ahí que ahora estos estén recibiendo un mensaje spam que utiliza como gancho una compra realizada en la Apple Store.
La finalidad de esta campaña no es otra que la de el robo de las credenciales de acceso a las cuentas del servicio de pagos, aprovechando sobre todo que se acercan las fechas navideñas y que la ingeniería social para estos temas está alcanzando su punto más álgido. 
Aunque no se conocen las cifras relacionadas con esta oleada de spam, todo parece indicar que al menos el 80% de los usuarios con cuenta activa en el servicio han recibido este mensaje, desconociendo el porcentaje de usuarios que han accedido al sitio web falso dedicado a robar el usuario y la contraseña de acceso.
Como suele ser habitual, se utilizan temas importantes para que el usuario se vea obligado a prestar atención al contenido y a interactuar con los enlaces o los ficheros que se adjuntan en el cuerpo del mensaje.
Una compra realizada en la Apple Store sin ser autorizada
  • En el cuerpo del mensaje se ve un documento con un formato muy similar al utilizado por PayPal. Teniendo en cuenta que el usuario no ha realizado esa compra, prestará mucha más atención a una parte del correo donde se muestra un texto que contiene un enlace hacia una página donde se permite la cancelación de la compra. Al acceder a dicho contenido el usuario es redirigido a un sitio web que a priori es de PayPal, siendo en realidad una página web falsa diseñada para robar las credenciales de acceso a la cuenta y algunos datos más.
  • El envío de las credenciales pueden resultar fatales parar el usuario, ya que la cuenta del servicio de pagos podría ser robada sin que se percatase de ello. Sin embargo, todo esto queda anulado si esta posee activada la autenticación en dos pasos, ya que sin el código de verificación que se envía al iniciar sesión y que es necesario introducir para completar el proceso, los ciberdelincuentes no tienen ninguna opción.
  • Para detectar que este mensaje es totalmente falso y aleatorio solo hay que fijarse que el usuario no es llamado por el nombre, sino que se utiliza un saludo genérico recurriendo a la dirección de correo electrónico.
Fuente: Softpedia

FACEBOOK. Nuevo scam: Sorteo de dos Audi R8

Una nueva oleada de mensajes scam se está distribuyendo a través de Facebook y en esta ocasión el gancho utilizado es mucho más original y se insta a los usuarios a participar en un sorteo de dos Audi R8.
Una imagen vale más que mil palabras, y nunca mejor dicho, ya que los ciberdelincuentes han utilizado la fotografía de este coche para llamar la atención de los usuarios, participando en el sorteo de forma automática con solo proporcionar su dirección de correo electrónico y “Seguir” la página en cuestión, además de compartir dicho contenido. La finalidad de esto es doble, ya que no solo se consigue las direcciones de correo de una gran cantidad de usuarios sino que se obtiene una mayor difusión.
En la página se anuncia que los ganadores del sorteo se darán a conocer a lo largo del día, pero después de una semana que la estafa lleva activa aún no se ha procedido a realizar ningún tipo de anuncio y el número de usuarios siguiendo esta aún continúa aumentando.
Lo más importante de esta estafa es que se tarde en descubrir lo que es en realidad, y para eso los ciberdelincuentes piden a los usuarios que dejen un comentario indicando qué características les gustaría que tuviese el vehículo.
Un control mayor sobre este tipo de actividades
  • Expertos en seguridad y colectivos de usuarios solicitan que desde Facebook actuen con mano dura con este tipo de prácticas, procediendo mejor pornto que tarde a la desactivación del perfil o de la página para evitar que el número de usuarios sea demasiado grande.
  • Aunque se desconoce la finalidad, es probable que el hecho de pedir la dirección de correo electrónico sea un indicativo de que estas puedan venderse en el mercado negro para luego ser víctimas de oleadas de spam, pudiendo obtener un beneficio de 800 euros con esta operación.
Fuente: Softpedia