18 de diciembre de 2018

La interferencia rusa en elecciones EE.UU. dirigida hacia afroamericanos

La campaña que llevó a cabo Rusia para influir en las elecciones presidenciales de 2016 en las redes sociales se centró en dirigir los esfuerzos hacia usuarios afroamericanos, como parte de sus tácticas para favorecer el voto del candidato republicano, el ahora presidente de Estados Unidos, Donald Trump. Estas son algunas de las conclusiones a las que ha llegado un informe elaborado para el Comité de Inteligencia del Senado a cuyo borrador a tenido acceso The New York Times .
El documento, a cargo de la empresa de ciberseguridad New Knowledge, es uno de los dos informes elaborados por grupos independientes de investigadores que ha solicitado el Comité bipartidista de inteligencia del Senado. El otro análisis, llevado a cabo por un grupo de la Universidad de Oxford y la empresa de análisis de redes sociales Graphika, ha sido filtrado a The Washington Post . Ambos textos, cuya publicación se espera para este lunes, concluyeron que las publicaciones de cuentas falsas desde Rusia en Twitter, Instagram, Facebook y YouTube generaron más de 300 millones de interacciones de los internautas estadounidenses entre 2015 y 2017.
En concreto, los investigadores analizaron más de 10 millones de publicaciones en Twitter de miles de cuentas falsas rusas, más de 116.000 publicaciones en Instagram y 61.000 en Facebook así como más de 1.000 videos de YouTube. La plataforma de fotografías se descubre como la principal herramienta empleada en la campaña.
Entre los principales objetivos de la Agencia de Investigación de Internet (IRA, en sus siglas en inglés), la compañía vinculada al Kremlin que se encargó de llevar a cabo la campaña de desinformación, se encuentran la comunidad afroamericana.
Los investigadores han hallado un esfuerzo multiplataforma dirigido a los estadounidenses de raza negra, a menudo con memes sobre la brutalidad policial, para después proporcionarles mensajes que les desanimaba a ir a votar. Entre las narraciones compartidas con las audiencias negras había un meme que decía: “No votaré, ¿quieres?”, mientras otro rezaba: “Todos chupan, estamos jodidos 2016”. Otros instaban a los negros a votar por Jill Stein, la candidata del Partido Verde.
Según detalla el NYT en base al informe, de las 81 páginas de Facebook creadas por la IRA, 30 son diseñadas para un público afroamericanos, que suman 1,2 millones de seguidores. Por el otro lado, unas 25 páginas iban dirigidas a captar al votante de la derecha y contaban con 1,4 millones de seguidores. En cambio, solo siete páginas se centraron en ideologías de izquierda (con 689.045 seguidores).
Fuente: La Vanguardia.com

FBI, GOOGLE Y COMPAÑÍAS DE SEGURIDAD. Cierran campaña multimillonaria de fraude con publicidad

El FBI junto con Google y un conjunto de otras compañías de seguridad trabajaron para cerrar una de las campañas de fraude de publicidad más grande y sofisticado de los últimos años.
Esta campaña infectó alrededor de 1.7 millones de sistemas para generar clics falsos, esta campaña lleva en activo varios años y se calcula que ha generado decenas de millones de dólares en ingresos.
La campaña apodada 3ve (“Eve”) lleva en línea desde 2014 pero en el último año se ha visto incrementada generando alrededor de 30 millones de dólares de beneficio. El esquema de bots de 3ve implementó las capacidades de crear redes de bots, crear versiones falsas de sitios web y vender el inventario de anuncios fraudulentos a los anunciantes. También disponía de la característica de ocultar las IP reales e infectar a los usuarios con malware, todo esto con el objetivo de generar clics falsos sobre anuncios y recibir el pago.
Se han detectado más de 80 servidores generando tráfico falso, más de 10.000 sitios web falsificados y más de 60.000 cuentas vendiendo anuncios a través de más de un millón de IP comprometidas, generando así 12.000 millones de solicitudes diarias de anuncios.
Según Google la campaña se ha denominado 3ve porque se basa en un conjunto de tres operaciones distintas cada una de las cuales toma medidas exclusivas para evitar la detección y cada una se basa en arquitecturas diferentes que utilizan componentes diferentes.
3ve.1: Malware BOAXXE también conocido como METHBOT o MIUREF
3ve.2: Malware KOVTER
3ve.3: IP de centros de datos como proxy
El resultado de esta operación ha sido 8 personas acusadas de fraude multimillonario, 31 dominios y 89 servidores que formaban parte de esta infraestructura.
Más Información:
Fuente: Hispasec

HACKING. Uso de estas técnicas con fines propagandísticos para un famoso youtuber: PewDiePie

PewDiePie es un youtuber sueco, quizás el youtuber más popular de internet. Actualmente su cuenta es la más seguida, junto con T-Series, una compañía musical india, de la que hablaremos en unas líneas.
Lo acontecido es cuando menos, premonitorio o claramente descriptivo de la sociedad en la que vivimos hoy en día, lo que puede ser considerado algo gracioso o anecdótico para algunos, nos alarma y preocupa profundamente a otros.
El popular Youtuber PewDiePie vio recientemente su trono amenazado al ver como la cuenta T-Series llegaba a igualarle en millones de suscriptores. Este caso fue usado por PewDiePie para crear contenido alrededor de este hecho y hacer un llamamiento a sus fans para no caer del primer puesto. En este vídeo de su canal podemos hacer un seguimiento en directo de ambas cuentas. https://www.youtube.com/watch?v=C7SIlD5UFxU.
Pues bien, al menos dos de sus seguidores llevaron a cabo un ataque en cerca de 2 millones de impresoras de las cuales al menos en 100.000 de ellas lograron imprimir panfletos haciendo un llamamiento para buscar suscriptores de la cuenta de PewDiePie.
Estas impresoras estaban abiertas a internet a través de los protocolos IPP, JetDirect y LPD, por lo que perfectamente podrían haber sido encontradas a través de la herramienta Shodan.
Al margen de lo ‘script kiddies’ del asunto, lo delirante del tema y sobre lo que debemos de poner el foco es sobre cómo un fanatismo, si bien es cierto que sustentado por un tono jocoso, ha llevado a estas dos personas a cometer un delito para, como se suele decir, llenarse de ‘loles’ y acrecentar su imagen virtual.
Fuente: Hispasec

HUAWEI. Seis razones por las que podría amenazar la seguridad mundial

La detención en Canadá de la directora financiera de Huawei a petición de EE. UU. es el último episodio de los continuos temores a que el gigante tecnológico chino suponga un peligro para la seguridad. La posibilidad de que el país asiático instale puertas traseras en los equipos es una de las mayores preocupaciones
La detención en Canadá hace unos días de la directora financiera de Huawei e hija de su fundador, Meng Wanzhou, aumenta aún más las tensiones entre Estados Unidos y China. Su arresto está vinculado a una solicitud de extradición de Estados Unidos. El pasado viernes, al tribunal canadiense se le explicó que esta solicitud estaba relacionada con el supuesto uso por parte de Huawei de Skycom Tech, una compañía que trabajaba con las empresas de telecomunicaciones iraníes, para vender equipos a Irán entre 2009 y 2014, violando las sanciones impuestas por parte de EE. UU. a este país. China sostiene que su detención es una violación de los derechos humanos y está exigiendo su rápida liberación.
Detrás de este drama público, hay otro entre bambalinas que viene de largo y está centrado en los temores de las agencias de inteligencia occidentales que indican que Huawei plantea una amenaza importante para la seguridad mundial. Entre las mayores preocupaciones que asustan se encuentran las siguientes:
Podría haber "interruptores de la muerte" en los equipos Huawei...
Esta empresa china es el mayor fabricante del mundo de productos como estaciones base y antenas que los operadores móviles utilizan para las redes inalámbricas. Y esas redes llevan datos que se usan para ayudar a controlar las redes eléctricas, los mercados financieros, los sistemas de transporte y otras partes de la infraestructura vital de este país. El temor es que los servicios militares y de inteligencia de China puedan insertar puertas traseras de software o hardware en los aparatos de Huawei que se podrían utilizar para degradar o deshabilitar las redes inalámbricas extranjeras en caso de una crisis. Esto ha llevado a movimientos por parte de Estados Unidos para bloquear el uso de equipos chinos.
... que no logran detectar ni las inspecciones más exhaustivas
Desde 2010, Reino Unido ha estado gestionando un centro especial, cuyo personal incluye a miembros de su agencia de inteligencia GCHQ, para analizar el equipo de Huawei antes de su despliegue. Pero a principios de este año, alertó de que tenía "solo una garantía limitada" de que los equipos de la compañía no representaran una amenaza para la seguridad. Según algunos comunicados de prensa, el centro descubrió que parte del código de Huawei en las redes reales se comportaba de manera diferente a como lo hacía cuando lo testaban, además de que algunos de sus proveedores de software no estaban sujetos a controles rigurosos.
Las puertas traseras se pueden utilizar para la búsqueda de datos
Huawei afirma que sus equipos conectan a más de un tercio de la población mundial. También gestiona grandes cantidades de datos para las empresas. Es por eso que en los círculos de inteligencia occidental existe el temor de que las puertas traseras puedan usarse para acceder a información confidencial utilizando los equipos de esta empresa. Sería difícil hacerlo sin ser detectados, pero no imposible. Huawei no solo fabrica equipos, también puede conectarse a de forma inalámbrica para recibir las actualizaciones y los parches para corregir errores. Existe la preocupación de que esta conectividad remota pueda ser explotada por los ciberespías chinos.
Esta compañía también está entre los mayores fabricantes del mundo de smartphones y de otros dispositivos de consumo, y también por eso aumenta la posibilidad de que China pudiera aprovecharse de estos productos para el espionaje. En mayo, el Departamento de Defensa de EE. UU. ordenó a las tiendas minoristas en las bases militares estadounidenses que dejaran de vender teléfonos de Huawei y ZTE, otro gran gigante tecnológico chino, debido al temor de que pudieran ser atacados para revelar la ubicación y los movimientos del personal militar.
El despliegue de las redes inalámbricas 5G lo empeorará todo
Las compañías de telecomunicaciones de todo el mundo están a punto de lanzar la próxima generación de redes inalámbricas para móviles, conocida como 5G. Además de acelerar las transferencias de datos, las redes 5G permitirán que los coches autónomos hablen entre sí y con los semáforos inteligentes. También conectarán y controlarán una gran cantidad de robots en las fábricas y en otros lugares. Y el ejército también las usará para todo tipo de aplicaciones. Todo esto aumentará drásticamente la cantidad de dispositivos conectados, y el caos que se produciría si las redes que los soportan son atacadas. También aumentará la cantidad de datos corporativos y de otro tipo que los ciberdelincuentes podrían atacar. Tanto Australia como Nueva Zelanda han prohibido recientemente el uso de los equipos de Huawei en la nueva infraestructura inalámbrica 5G. Esta semana, el BT de Reino Unido siguió su ejemplo.
Las compañías chinas venderán tecnología a los países desafiando el embargo comercial de Estados Unidos 
Estados Unidos ha investigado las afirmaciones de que Huawei envió productos con componentes tecnológicos estadounidenses a Irán y a otros países bajo al embargo de Estados Unidos. En una audiencia judicial, un abogado del Gobierno canadiense dijo que la señora Meng fue acusada de convencer a los banqueros estadounidenses de que no había conexión entre Skycom y Huawei, cuando en realidad sí que existía esa conexión. El presunto fraude provocó que los bancos realizaran transacciones que violaban las sanciones estadounidenses contra Irán. Los funcionarios chinos han afirmado en repetidas ocasiones que no consideran que las compañías chinas estén sujetas a los dictados comerciales de otras naciones.
Huawei no se libra tanto como afirma de la influencia del Gobierno chino
Huawei ha destacado repetidamente que es una empresa privada cuyos propietarios son sus empleados. La conclusión es que no quiere que los clientes pierdan la confianza en la integridad de sus productos. Por otro lado, sus estructuras de gobernanza aún son un misterio, y su fundador, Ren Zhengfei, que antes era oficial en el Ejército Popular de Liberación de China, mantiene un perfil bajo. Estas cuestiones "hacen preguntarte cuánta independencia tiene realmente", explica el experto en ciberseguridad del Consejo de Relaciones Exteriores de Nueva York (EE.UU.) Adam Segal.
En su defensa, Huawei puede subrayar el hecho de que ningún investigador de seguridad ha encontrado puertas traseras en sus productos. "Existe toda esta preocupación, pero nunca ha habido una prueba fehaciente", afirma el experto del Grupo Eurasia, Paul Triolo. Aunque eso sea cierto, no cambiará la opinión de EE. UU., que está intensificando sus esfuerzos para persuadir a sus aliados con el fin de mantener a Huawei fuera de todas sus redes.
Fuente: MIT Technology Review

AMAZON. Crea 'software' que busca datos en el historial médico de pacientes

El anuncio llega después de que en enero la tecnológica anunciara un acuerdo con Berkshire Hathaway y JP Morgan para crear una sociedad de servicios de salud.
La multinacional estadounidense Amazon ha desarrollado un 'software' basado en inteligencia artificial que bucea en el historial médico de los pacientes para extraer de forma rápida y organizada la información relevante que necesiten usar los doctores.
La compañía anuncia que el nuevo servicio, bautizado como Amazon Comprehend Medical, procesa "textos médicos desestructurados" e identifica información como "diagnósticos, tratamientos, dosis y síntomas".
La herramienta está pensada para que hospitales, aseguradoras, investigadores y empresas farmacéuticas ahorren parte del tiempo y dinero que actualmente se destina a hallar datos puntuales de cada paciente entre los documentos que conforman su historial médico.
La compañía con sede en Seattle (Washington, Estados Unidos) destacó su potencial para mejorar los tratamientos al permitir a los doctores disponer de información más rápidamente y en algunos casos con mayor precisión que en el proceso manual.
La división de computación en nube de la empresa, Amazon Web Services, ya hace tiempo que ofrece servicios similares de análisis de textos mediante inteligencia artificial en otros ámbitos, pero esta es la primera vez que se adentra en el mundo de la salud.
Según la compañía, Amazon Web Services no podrá ver los datos que procesan sus algoritmos en la búsqueda de información porque estos están encriptados y su desbloqueo está solo permitido a aquellos clientes que dispongan de una clave.
Este anuncio llega después de que en enero se hiciera pública una alianza entre Amazon, Berkshire Hathaway, el 'brazo inversor' del multimillonario Warren Buffet y el banco estadounidense JP Morgan para crear una compañía independiente de cuidados de salud. La firma tiene como objetivo reducir los costes de la atención médica y mejorar los servicios ofrecidos a sus empleados en Estados Unidos.
En concreto, la compañía, que no tendrá ánimo de lucro, se enfocará inicialmente en ofrecer soluciones tecnológicas de atención médica a un coste "razonable" y de "alta calidad" para sus empleados en EEUU y familiares, pero que se podría trasladar al resto de trabajadores del país, explicaron en un comunicado
Fuente: Expansion.com

MICROSOFT. Parchea una vulnerabilidad 0-day explotada activamente

Microsoft ha liberado el habitual paquete mensual acumulativo de parches de su sistema operativo Windows para el mes de diciembre.
En esta ocasión se han parcheado un total de 39 vulnerabilidades, 10 de las cuales tienen criticidad alta y otras tantas son valoradas como importantes.
Según Kaspersky, una de las vulnerabilidades era un 0-day que está siendo activamente explotado por varios grupos maliciosos (o APTs) tales como FruityArmor o SandCat.
El fallo en cuestión que está siendo aprovechado permite elevar privilegios a debido a un fallo en el kernel de Windows (ntoskml.exe) y ejecutar código arbitrario. A este fallo se le ha dado el identificador CVE-2018-8611 y consiste en una mala gestión en el procesado de ciertas operaciones en modo kernel. Lo que permite evitar las (modernas) políticas configuradas para los procesos.
Este fallo afecta a todas las versiones de Windows; desde Windows 7 hasta Windows Server 2019.
Otra vulnerabilidad con el identificador CVE-2018-8517 es una denegación de servicio remota presente en aplicaciones web desarrolladas con el framework .NET cuya causa es un manejo incorrecto de solicitudes web malformadas.
De esta última vulnerabilidad no se tienen evidencias de que haya sido explotada a gran escala.
El resto de parches cubren parches para distintos productos de la familia de Microsoft, tales como Edge, Internet Explorer, Office, etc.
Como siempre, se recomienda aplicar los parches de seguridad tan pronto como sea posible.
Más información:
Fuente: Hispasec

Vulnerabilidades en Google Drive y Fotos permitían robo de archivos

Se han encontrados 3 fallos: uno de spoofing, otro de authentication bypass, y finalmente uno de revelación de información sensible
El desarrollador Gergő Turcsányi de Avatao ha encontrado 3 vulnerabilidades en Google Drive y Fotos, que no guardan relación entre sí, y que permitían acceder a los ficheros de estos servicios. El descubridor de estos fallos ha sido recompensado con 4133$ por sus hallazgos.
La primera vulnerabilidad se trata de un spoofing en la url de invitación para acceder a Google Drive. Este enlace, que incluye los emails con los que compartir los ficheros, permite definir el nombre de la persona con la que se compartirá el enlace, a pesar de no ser una característica pública.
No obstante, para la explotación de esta vulnerabilidad, se requiere que el usuario acepte compartir los archivos en la ventana de diálogo. Este fallo ha sido recompensado con 500$ por Google.
La segunda vulnerabilidad se encuentra en la API de Google Drive: esta API tiene varios puntos de entrada que parecen mantenidos por retrocompatibilidad, y que realizan acciones redundantes. Investigando más al respecto, se ha descubierto que estas APIs no controlan si el usuario de Google está autorizado a acceder al fichero, requiriendo únicamente utilizar una sesión de Google.
Esta vulnerabilidad, que ha sido recompensada con 500$, tiene como limitación que para obtener el fichero es necesario conocer su ID. Al ser dicho ID una cadena larga de caracteres y números, limita mucho su explotación.
La tercera vulnerabilidad, y la más grave de las tres, afecta al proceso de compartir bibliotecas de imágenes en Google Fotos. El fallo es similar al primer reporte, pero en este caso no se requiere ninguna validación por parte del usuario, necesitando únicamente abrir el enlace y autenticarse. El problema se encuentra en la url de redirección incluida en la autenticación:
Como puede entenderse, una de las urls contiene a la otra. El fallo radica en el parámetro request de la petición.
Sólo es necesario modificar el email, y volver de codificar usando base64, para que un atacante pueda generar una url con la obtener acceso a la biblioteca de imágenes. El fallo le ha servido a su descubridor para obtener 3.133$ de recompensa.
Estas 3 vulnerabilidades ya se encuentran solucionadas, habiéndose arreglado las 2 primeras el 16 de enero, y la tercera el 22 de agosto.
Más información:
How I could have stolen your photos from Google: https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/
Fuente: Hispasec

Hackeo de Quora afecta a 100 millones de usuarios

Quora ha confirmado que han sufrido un ciberataque y que muchos datos de sus usuarios han sido comprometidos. Esta cifra puede llegar a los 100 millones.
Quora es una red social de distribución masiva de conocimientos, donde los usuarios pueden exponer sus dudas; y por algoritmos propios, estas dudas intentan llegar a las personas que tengan conocimiento sobre el tema y puedan dar una respuesta válida. Fue creado en 2009, aunque en España empezó a conocerse hace apenas un par de años.
Quora tuvo indicios del acceso el pasado 30 de noviembre, fecha en la que comenzaron a realizar una investigación más profunda para ver a qué información se accedió y qué usuarios se vieron comprometidos. A estos, se les contactarán por correo electrónico informándoles de lo ocurrido.
Según la propia empresa, los datos a los que han tenido acceso los ciberdelincuentes han sido desde información básica del usuario como nombre o correo electrónico, hasta datos más privados, como acciones realizadas (públicas y privadas), datos importados de otras redes sociales o incluso las contraseñas, aunque estas se almacenen cifradas.
Actualmente el caso está reportado a la policía para investigar más sobre el ataque e intentar descubrir a las personas que hay detrás del ataque. La investigación interna también sigue su curso para que este tipo casos no se vuelvan a repetir en el futuro.
Recomendación
  1. Cambiar la contraseña de seguridad de la red social.
  2. Verificar que sus datos personales no han sido modificados, y en caso de ser así, volver a restablecerlos.
  3. Cambiar la contraseña en otros servicios si esta fuera la misma que se ha utilizado en esta red social.
Más información:
Fuente: Hispasec

Bancos atacados mediante conexiones locales

Al menos ocho bancos de Europa del Este han sido atacados usando el mismo modus operandi, bautizado por Karspersky como DarkVishnya, causando más de diez millones de dólares en pérdidas.
Durante el año 2017 y también durante este mismo año, especialistas de la compañía antivirus Kaspersky investigaron varios incidentes de robo en al menos ocho bancos europeos.
Todos ellos compartían el mismo patrón de actuación; un dispositivo conectado diréctamente a la red local de la organización. En ocasiones en alguna oficina central, en otras, en una oficina regional o incluso, en otro país distinto.
Detalle del ataque
El ataque comprende 3 fases bien definidas:
En una primera fase, se consigue acceso físico con la excusa de entregar un paquete, buscar un empleo en la compañía, etc. Una vez dentro de las instalaciones, se conecta un dispositivo a un PC o a alguna regleta con conexiones RJ45 (en alguna sala de reuniones o en lugares apartados sin llamar mucho la atención).
Éste dispositivo comunmente puede ser un netbook o un portátil barato, una Raspberry Pi o un Bash Bunny. Una vez conectado, el acceso a la red se conseguía mediante una conexión GPRS/3G/LTE presente en el dispositivo.
Más tarde, en una segunda fase, los atacantes comienzan a ganar acceso a directorios compartidos, servidores web y cualquier otro recurso abiertamiente disponible con el objetivo de obtener la mayor cantidad de información sobre la red. También usaban fuerza bruta o esnifaban conexiones de red para moverse lateralmente hasta llegar finalmente a las máquinas responsables de hacer pagos.
En la tercera y última fase, se mantenía el acceso a las máquinas de la organización mediante técnicas habituales para poder acceder en cualquier otro momento, tales como la habilitación de puertas traseras, escritorios remotos, etc.
Más información:
Fuente: Hispasec

DELL. Posible filtración de datos de clientes

No se ha podido confirmar si el ataque tuvo éxito, aunque la compañía ya ha reseteado las contraseñas de sus usuarios
El día 9 de noviembre, el equipo de Dell detectó un acceso no autorizado a su red que pretendía robar información privada de sus clientes, limitándose a nombres, emails y hashes de contraseña. Según el anuncio oficial, no se han extraído otros datos sensibles, como pueden ser las tarjetas de crédito.
Aunque no ha podido comprobarse si los atacantes lograron extraer la información, Dell ha reseteado la contraseña de todos sus usuarios, y recomienda cambiar la clave si ésta se utilizase en otros sitios.  Además de la investigación interna, se ha solicitado a una auditoría a una empresa externa para esclarecer los hechos. En el anuncio, también se especifica que pudo haberse borrado información, aunque no se tiene constancia de ello.
La posible filtración no ha afectado a otros productos de la compañía, viéndose afectada sólo la tienda en línea y los usuarios que estuviesen registrados en el portal dell.com. Las contraseñas, al utilizar un hash (no se ha especificado cómo) no es posible descifrarlas, siendo vulnerables únicamente mediante la fuerza bruta. A pesar de esta medida de seguridad, siempre es recomendable cambiar la contraseña en una filtración, y aún más si se utilizan palabras de diccionario.
Más información:
Fuente: Hispasec

Descubiertas vulnerabilidades de día-0 en iPhone X, Samsung Galaxy S9 y Xiaomi Mi6

Hackers consiguen comprometer la seguridad de dispositivos móviles durante la prestigiosa competición Pwn2Own, celebrada en Tokio.
Pwn2Own es uno de los concursos de hacking ético más populares, se lleva celebrando desde el año 2007 durante la conferencia de seguridad PacSec; está organizada por Trend Micro’s Zero Day Initiative (ZDI) y se reparten cuantiosos premios en metálico a los concursantes que consigan explotar nuevas vulnerabilidades en dispositivos y software (actualizado) de uso general.
La competición se divide en cinco categorías: Navegadores, Distancia corta, Mensajería, Baseband e IoT:
Equipos de hackers de diversas las nacionalidades o representando a compañías de ciberseguridad fueron capaces de encontrar hasta 18 vulnerabilidades de día cero (0-days) en dispositivos móviles de Apple, Samsung y Xiaomi. Junto con los correspondientes exploits que permitían tomar el control total del dispositivo.
Apple iPhone X con iOS 12.1
El equipo compuesto por los investigadores Richard Zhu y Amat Cama (Fluoroacetate Team) descubrieron y explotaron una combinación de dos vulnerabilidades en iOS; La primera de ellas es un fallo just-in-time (JIT) en el navegador iOS de Safari junto con una escritura “out-of-bounds” (escritura fuera de un cierto límite) en el sandbox de Safari que les permitió descargar una imagen del dispositivo. Con este trabajo, Fluoroacetate ganó 50.000$.
Samsung Galaxy S9
De nuevo, el equipo Fluoroacetate consiguió explotar un heap overflow en el baseband del terminal que permitía la ejecución de código arbitrario en el terminal. Con este bug, el Team Fluoroacetate logró embolsarse otros 50.000$
El Team MWR descubrió también otras tres vulnerabilidades diferentes para este mismo dispositivo, que forzaban al terminal a visitar un portal captativo sin interacción del usuario. Después, usaron una redirección insegura junto con un fallo en la carga de aplicaciones para instalar una app maliciosa. Esta hazaña les supuso una recompensa de 30.000$.
Xiaomi Mi6
Fluorocetate continuó al día siguiente con este terminal y encontraron un integer overflow en el motor javascript del navegador web de Xiaomi Mi6 que les permitió copiar una imagen de prueba del dispositivo y con ello volver a ganar otros 25.000$. Este equipo logró encontrar otra vulnerabilidad más a través de NFC usando la capacidad touch-to-connect (tocar para conectar) del dispositivo, forzando al terminal a que abra el navegador web y visite un sitio web especialmente preparado para comprometer completamente el terminal móvil, con esta última vulnerabilidad ganaron 30.000$.
El Team MWR Labs logró combinar cinco bugs diferentes para instalar silenciosamente una app vía JavaScript y bypaseando la lista blanca de aplicaciones para lanzar automáticamente una aplicación maliciosa. Para lograrlo, MWR forzó al navegador por defecto del dispositivo a que visite un sitio web malicioso una vez que el terminal se conecta a un punto de acceso wireless malicioso. Con esta vulnerabilidad, el Team MWR consiguió 30.000$.
En el segundo día, el Team MWR combinó un fallo en las descargas del dispositivo junto con un bug que permitía la instalación silenciosa de cualquier app, para exfiltrar una fotografía de prueba en este dispositivo.
Más información:
PWN2OWN TOKYO 2018
Fuente: Hispasec

MARRIOTT. Informa que hackeo en base de datos afecta a 500 millones de clientes

Marriott ha informado que la base de datos de reservas de Starwood ha sido hackeada, lo que podría revelar información sensible de alrededor de 500 millones de huéspedes. Las principales marcas de Starwood son algunas de las principales cadenas hoteleras del mundo, entre las que se encuentran, St. Regis, The Luxury Collection, W Hotels, Sheraton, Westin, Le Meridien, Design Hotels o Four Points.
La investigación de la compañía hotelera ha revelado que una tercera parte no autorizada ha copiado y cifrado la información, así como había reflejo de un acceso no autorizado a la red de Starwood desde el año 2014.
Tras conocerlo, Marriott ha tomado medidas para solucionar el agujero de seguridad, aunque a la información a la que ya han podido acceder los ciberdelincuentes se encuentran nombres, direcciones postales, números de teléfono, correos electrónicos, números de pasaporte, información de la cuenta de Starwood Preferred Guest, fecha de nacimiento y género, entre otros datos personales, según explica la empresa a través de un comunicado.
Los hackers también podrían haber tenido acceso a información más sensible todavía en la base de datos, la información de las tarjetas de crédito y su fecha de caducidad. Aunque Marriott ha aclarado que esta información se encuentra cifrada, existen dos componentes necesarios para descifrar dicha información, y la empresa no descarta que también hayan accedido a dichos componentes.
Mientras prosigue con la investigación, Marriott ha reportado este incidente a la policía y a las autoridades reguladoras, aunque ha declinado dar más información específica.
Fuente: El Economista.es

POCOPHONE F1. Nadie ofrece más por menos de 339 € como Xiaomi

Xiaomi con el Pocophone sigue un planteamiento sencillo y práctico a la vez pues prescinde de funciones que aportan valor añadido al teléfono y se centra en los elementos básicos que busca el cliente: batería, potencia, experiencia de usuario, cámaras y precio..
El Pocophone F1 (desde 339 euros) monta el procesador más avanzado de Qualcomm, el Snapdragon 845, y una memoria RAM de 8 GB, con lo que su potencia interna está a la altura del Samsung Galaxy Note 9, Pixel 3, LG V40, Huawei Mate 20 Pro o OnePlus 6T, los topes de gama Android de este año.
Este 'corazón' no sólo hace que el terminal se mueva con fluidez y que la experiencia de usuario sea una de las mejores que se pueden tener dentro de la oferta de Xiaomi, sino que permite ejecutar aplicaciones exigentes sin sufrir, así como recuperar apps o juegos que habíamos dejado abiertos después de un tiempo.
Precisamente, para que el procesador trabaje a pleno rendimiento durante más tiempo, el F1 incorpora refrigeración líquida, un avance más habitual para smartphones gaming. Con este método disipador de calor, el smartphone es capaz de mantener la estabilidad y la alta frecuencia de rendimiento durante más tiempo.
Más allá del procesador y la memoria, para hacer más ligero el uso del terminal, Xiaomi ha rediseñado su sistema operativo con MIUI para POCO. Una adaptación de Android más fluida que se traduce en una mayor rapidez a la habitual a la hora de relacionarse con la interfaz y las aplicaciones. Entre las ventajas del nuevo software está la incorporación de App Drawer, una fórmula en la que las aplicaciones se categorizan en el menú y se pueden encontrar más fácilmente.
Atrae por potencia y precio, conquista por la cámara y la batería
Aunque el tándem de potencia a bajo precio es el principal atractivo del Pocophone F1, la batería y su cámara fotográfica terminan de conquistar al usuario reafirmando así la decisión de compra.
Incorpora una gran batería de 4.000 mAh que se traduce en una autonomía de algo más de dos días utilizando a diario y dándole buen uso al terminal. Incorpora además carga rápida Quick Charge 3.0, no es la más avanzada del mercado, pero brilla entre las mejores.
Por su parte, en el apartado fotográfico apuesta por una doble cámara trasera de 12 y 5 megapíxeles y una frontal de 20 megapíxeles. En ambos casos incorpora el tratamiento de la imagen a través de inteligencia artificial (IA) lo que permite mejorar la luminosidad, la calidad de las imágenes así como la velocidad de uso.
Tanto en la cámara trasera como en la delantera permite tomar imágenes con desenfoque. Mientras que la cámara principal lo realiza con ambos objetivos, en la frontal lo hace gracias a la IA, aunque la fotografía resultante es muy precisa.
Xiaomi explica que su software es capaz de reconocer hasta 206 tipos de escenas diferentes y adaptar la exposición, velocidad, saturación y otros ajustes, todo para que la imagen sea de la mayor calidad posible.
Lo cierto es que en el uso, respuesta y resultados de la cámara, el usuario olvidará que tiene entre manos un smartphone de 300 euros ya que su rendimiento está mucho más alto que los móviles de la misma categoría de precio.
Sombras: diseño, ausencia de NFC y gestión de notificaciones
El Pocophone F1 no es perfecto, tiene ciertas sombras, aunque si se ponen en perspectiva con su precio son más que comprensibles.
La primera carencia evidente es su diseño. Es más grueso que los de su categoría o la gama alta que dispone de la misma capacidad de bateria así como puesta por una terminación de plástico frente al cristal o metal de otros modelos.
Pese a que su pantalla de 6,18 pulgadas rinde de forma notable y pese a ser LCD permite ver contenido con comodidad incluso en el exterior con mucha luz gracias a sus 500 nits, el espacio que queda en la parte superior entre los bordes y el notch no es suficiente. Esto hace que la gestión de las notificaciones no sea todo lo cómodo que debería ya que el icono de aviso de las apps quedan ocultas en un primer vistazo. Así, será necesario deslizar hacia abajo para ver las notificaciones pendientes.
Otra de las ausencias del Pocophone es su carencia de tecnología NFC, la que permite entre otras cosas, usar el móvil para pagar en comercios o permitir realizar determinadas acciones. De este modo, si esto es crucial para su día a día, debe tenerlo en cuenta antes de comprarlo.
Frente a estas ausencias, el Pocophone sí incorpora dos tecnologías que van quedando en el olvido tanto en la gama alta y la gama media: soporte para tarjetas microSD así como salida de auriculares.
El rey de la calidad-precio
En suma, Xiaomi ha conseguido con el Pocophone un auténtico órdago al mercado de la telefonía móvil. Es capaz de -salvo por su diseño- dar al usuario una experiencia premium en un teléfono que en su configuración más alta no llega a los 400 euros.
El Pocophone F1 es el rey imbatible en la calidad y precio, superando así al bueno, bonito y barato Mi A2 de Xiaomi. Nadie ofrece tanto por tan poco.
Fuente: El Economista.es

SQLite. Fallo crítico podría afectar a miles de apps

El grupo Blade de Tencent ha descubierto un fallo de seguridad en SQLite, que permite realizar RCE, o provocar rupturas inesperadas del programa que utiliza este servicio.
SQLite es un gestor de base de datos relacional y multiplataforma que encontramos embebido en multitud de aplicaciones y sistemas. Lo que diferencia a SQLite de otros SGBD es que no es un proceso independiente con el que el programa principal se comunica, sino que se lanza con el programa pasando a ser parte integral del mismo. Por eso esta vulnerabilidad estará presente durante largo tiempo en diferentes sistemas y aplicaciones, ya que es necesario actualizar la librería utilizada dentro de la aplicación.
Los investigadores de Tencent han descubierto la posibilidad de encontrar fugas de información del programa que se está ejecutando, detener su ejecución o incluso conseguir ejecutar comandos de forma remota simplemente accediendo a una página web malintencionada, si se da el caso en el que el navegador soporte SQLite junto con la ya obsoleta API WebSQL, que es capaz de traducir el código del exploit a sintaxis SQL. Firefox y Edge no dan soporte a WebSQL, pero otros navegadores basados en el proyecto open-source de Chromium como motor del navegador sí, como es el caso de Google Chrome, Opera, Vivaldi, etc.
Pero, aún siendo los navegadores el principal objetivo de ataque, El equipo Blade afirmó en este comunicado que “ha sido posible explotar ‘Google Home’ con esta vulnerabilidad y actualmente no tienen pensado revelar el código utilizado para explotarla”. Mostrando así que el fallo no solo afecta a algunos navegadores, sino que todos los sistemas que utilicen SQLite que no estén actualizados y cumplan las características necesarias son vulnerables.
El fallo fue reportado al equipo de SQLite y actualizado en la versión SQLite 3.26.0 al igual que se reportó a Chromium y se ha limitado el uso de WebSQL en la nueva versión 71.
En esta prueba de concepto se bloquea el proceso del rendizador utilizando ‘Magellan’.
Claro que para que cause efecto es necesario utilizar el navegador adecuado, por ejemplo Google Chrome en una versión menor que la 71. En el código podemos ver que se utiliza el motor de búsqueda de texto completo (full-text) FTS3, y que se están alterando los datos de las ‘shadow tables’ manualmente.  Por otra parte, la nueva actualización de SQLite da la opción de utilizar estas mismas tablas con permiso ‘read-only’, lo que nos hace pensar en que el fallo nace en los permisos de acceso a las ‘shadow tables’.
Más información
Fuente: Hispasec

GOOGLE +. Descubren un nuevo fallo de seguridad y acelera su cierre

Google, a través de un comunicado, ha acelerado el cierre de su plataforma Google + a 90 días hábiles desde el 10 de diciembre, en lugar del mes de abril de 2019, fecha prevista para el cierre definitivo de la fallida red social de Google.
Este comunicado ha sido propiciado por un nuevo fallo de seguridad encontrado por los propios procesos de seguridad del gigante tecnológico. El fallo fue introducido en una actualización de noviembre.
El fallo permitía a una aplicación de terceros solicitar información confidencial de un usuario aún cuando este no lo había autorizado, este fallo habría afectado a 52.5 millones de usuarios. La vulnerabilidad, concretamente estaba en la API “People: get” y potencialmente permitía la sustracción de la información personal de todos los usuarios de la red social, incluyendo nombres, direcciones de correo, ocupación laboral, edad, etc.
Cabe recordar que en el mes de octubre, ya nos hicimos eco desde en este mismo boletín, de la vulnerabilidad sufrida que precipitaba el cierre de la misma para el mes de abril.
Más información:
Fuente: Hispasec

PHPMYADMIN. Actualización crítica

El proyecto phpMyAdmin, uno de los sistemas de administración de bases de datos MySQL más populares, dio un aviso el pasado domingo en su blog avisando sobre la última actualización de seguridad, algo que no habían hecho antes.
“Nos inspiramos en el flujo de trabajo de otros proyectos que a menudo anuncian con anticipación cualquier lanzamiento de seguridad para permitir que los encargados de paquetes y proveedores de alojamiento se preparen. Estamos experimentando si dicho flujo de trabajo es adecuado para nuestro proyecto”, explicaba el gerente de lanzamiento de phpMyAdmin, Isaac Bennetch.
Además de la típica corrección de errores, esta versión corrige tres vulnerabilidades críticas de seguridad.
Vulnerabilidades corregidas en la versión 4.8.4:
LFI (CVE-2018-19968):
Las versiones de phpMyAdmin de entre 4.0 y 4.8.3 incluyen un error de inclusión de archivos locales que podría permitir la lectura de archivos locales del servidor a un atacante remoto.Para explotar esta vulnerabilidad, el atacante debe tener acceso a las tablas de almacenamiento de configuración de phpMyAdmin, aunque puede crearse fácilmente en cualquier base de datos a la que tenga acceso el atacante.
CSRF/XSRF (CVE-2018-19969):
Las versiones de 4.7.0 a 4.7.6 y de 4.8.0 a 4.8.3 incluyen un defecto de Cross-site Request Forgery que de ser explotado, permitiría a los atacantes realizar operaciones SQL malintencionadas.Para explotar esto únicamente deberían de convencer a las víctimas de que abran enlaces especialmente diseñados.
XSS (CVE-2018-19970):
Hay un fallo de Cross-site Scripting entre las versiones 4.0 y 4.8.3 con el que un atacante puede inyectar código a través de un nombre de tabla/base de datos especialmente diseñado.
Recomendación
Se recomienda a todos los usuarios de este software que actualicen a la última versión cuanto antes.
Mas información:
Fuente: Hispasec

APPLE. Actualizaciones para múltiples productos

Apple ha publicado 8 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows y Shortcuts para iOS. Entre todos los productos se corrigen 26 fallos de seguridad.
Detalle de actualización
Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.
El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 12.1.1, resuelve 20 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Airport’, ‘Disk Images’, ‘FaceTime’, el kernel y ‘WebKit’ entre otros. Cuatro de los fallos permitirían la ejecución de código arbitrario a través de una web especialmente manipulada (CVE-2018-4441, CVE-2018-4442, CVE-2018-4443 y CVE-2018-4438). Estas vulnerabilidades también están presentes en Safari, watchOS y tvOs. Otras dos vulnerabilidades en el kernel permitirían la ejecución de código arbitrario con privilegios de sistema (CVE-2018-4447 y CVE-2018-4461).
macOS Mojave 10.14.2 y los Security Update 2018-003 para High Sierra y 2018-006 para Sierra. En este caso se solucionan 13 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘Carbon Core’, ‘Disk Images’, ‘IOHIDFamily’, el kernel y ‘WindowServer’. Siete de estas vulnerabilidades podrían permitir la ejecución de código arbitrario con privilegios de kernel (CVE-2018-4463, CVE-2018-4465, CVE-2018-4427, CVE-2018-4447, CVE-2018-4461, CVE-2018-4449 y CVE-2018-4450).
Safari 12.0.2 cuenta con otro boletín que soluciona 9 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. También varios de los errores corregidos permitirían que una web maliciosa suplantase la URL mostrada al usuario para hacerle creer que se encuentran en un sitio web legítimo (CVE-2018-4440 y CVE-2018-4439).
El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.1.2, soluciona 15 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario (CVE-2018-4438, CVE-2018-4441, CVE-2018-4442, CVE-2018-4443, CVE-2018-4437, CVE-2018-4464, CVE-2018-4461, CVE-2018-4447, CVE-2018-4427).
tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 12.1.1, donde se corrigen 14 vulnerabilidades en múltiples componentes. Dos de ellas permitirían elevar privilegios en el sistema (CVE-2018-4435 y CVE-2018-4303) y/o la ejecución de código arbitrario (CVE-2018-4438, CVE-2018-4441, CVE-2018-4442, CVE-2018-4443, CVE-2018-4437, CVE-2018-4464).
Las versiones iTunes 12.9.2 e iCould 7.9 para Windows corrigen 8 vulnerabilidades cada una, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.
Más información:
Fuente: Hispasec

Acceso root en Polkit para usuarios con uid mayor a INT_MAX

El fallo, que aún no está solucionado, es reproducible ejecutando cualquier aplicación que utilice PolicyKit
PolicyKit, comúnmente llamado Polkit, es un componente para los sistemas Unix que permite a procesos no privilegiados ejecutar funciones que requieren permisos de superusuario, sin que estos tengan que ejecutarse como root. A diferencia de sudo, no requiere que todo el proceso sea ejecutado con privilegios del sistema, dando un mayor control sobre los permisos.
Este componente, empleado en la mayoría de distribuciones GNU/Linux y utilizado por múltiples programas, no controla correctamente los permisos cuando el usuario tiene un número de identificación (UID) superior al de INT_MAX (2147483647), pudiendo utilizar Polkit sin ninguna restricción y sin que se pida ninguna contraseña.
Un ejemplo de programa que utiliza Polkit es Systemctl: cuando no son necesarios permisos, por ejemplo para ejecutar ‘systemctl status nginx’, se ejecuta el comando sin restricciones. No obstante, para ejecutar ‘systemctl stop nginx’ (parar un servicio), aparece una ventana de confirmación solicitando la contraseña del usuario, y sólo si éste estuviese autorizado podrá realizar la acción. Con esta vulnerabilidad, el comando se ejecuta sin necesidad de estar autorizado y sin que aparezca la ventana de confirmación.
La vulnerabilidad, con identificador CVE-2018-19788, todavía no se encuentra solucionada, aunque su explotación es complicada salvo que exista ya un usuario con un uid superior a 2147483647, algo de por sí difícil, y que probablemente sea la razón por la que ha pasado el fallo tanto tiempo desapercibido. Para probar la vulnerabilidad, basta con crear un nuevo usuario del sistema y modificar el uid, pudiendo ejecutar cualquiera de los comandos anteriores.
Más información:
Fuente: Hispasec