TRIPADVISOR. La dimensión del fraude de la web publica por primera vez sus cifras

La web acepta que el 2,1% de las opiniones enviadas a su web en 2018 fueron identificadas como fraudulentas.

Stephen Kaufer, presidente y director ejecutivo de TripAdvisor, lleva tiempo tragando sapos relacionados con las dudas generadas por la base de su negocio: la autenticidad y honestidad de las opioniones de los usuarios. Por ejemplo, hace unos meses, el propietario de un restaurante español (Marina Beach Club, en Valencia) llevó a juicio a esta multinacional, a la que reclama 660.000 euros por no controlar las opiniones negativas y por no permitirle darse de baja.

¿Los comentarios de TripAdvisor son fiables? ¿Hace lo suficiente para verificarlos? Ante la acumulación de noticias y reportajes que no terminan de ofrecer conclusiones satisfactorias a esas preguntas, el equipo de Kaufer decidió reunir y examinar sus propios datos. Este martes ha hecho público por primera vez un informe sobre los comentarios alojados en la web y sobre el trabajo que realiza su equipo para desactivar las opiniones «problemáticas» (ese es el término exacto que utilizan).

En la introducción de este estudio, Kaufer reconoce que «sabemos que no somos perfectos» y acusa a «terceros» de publicar «cifras inexactas sobre la autenticidad del contenido de las opiniones o sobre las dimensiones del fraude en nuestra plataforma». Dice que lo hacen a pesar de no tener acceso a los «datos técnicos clave necesarios para saber si una opinión es fraudulenta o no».

 ¿Cuáles son entonces sus cifras? Los datos oficiales de la empresa proceden del análisis de las opiniones enviadas a la plataforma entre enero y diciembre de 2018. Durante esos doce meses, TripAdvisor recibió 155 millones de publicaciones de contenido por parte de los usuarios; 66 millones de ellas eran opiniones. El portal de internet asegura que el 100% de esas opiniones pasaron por un proceso previo y automático de moderación, mientras que 2,7 millones se sometieron a un examen posterior y más exhaustivo realizado por un equipo humano.

De los 66 millones de opiniones enviadas a TripAdvisor en 2018, el 2,1% fueron identificadas como fraudulentas, según la compañía. El 73% (más de un millón) fueron bloqueadas en el proceso de moderación automático previo a la publicación, mientras que el 0,6% (374.220) llegaron a estar online antes de ser eliminadas en posteriores verificaciones. El 98,5 de las opiniones falsas detectadas fueron identificadas por TripAdvisor, según el citado informe, y el 1,5% se eliminaron como resultado de alguna denuncia.

Más allá de las opiniones falsas (enviadas con el objetivo de «manipular injustamente la puntuación media de un negocio»), TripAdvisor admite que el 4,7% de las valoraciones enviadas por los internautas fueron rechazadas al recibirlas o retiradas tras su publicación debido a «violaciones de nuestra normativa».

Estos datos, como es lógico, hacen referencia a los comentarios detectados y eliminados en alguno de los procesos de control, antes o después de subirlos a la web. No hay estimaciones, en cambio, de los comentarios «problemáticos» que puedan superar esos filtros. La asociación británica Which, por ejemplo, aludía a varios ejemplos de críticas muy buenas en determinados establecimientos cuyos autores no tenían ninguna contribución más en la web, lo que les hacía dudar de su fiabilidad.

¿Qué hace TripAdvisor si descubre que un negocio publica opiniones fraudulentas? Dicen que primero eliminan el contenido falso y luego aplican una penalización que consiste en bajar la posición del establecimiento en la clasificación de popularidad. En 2018, 34.643 negocios recibieron al menos una penalización, cifra que incluye a aquellos que enviaron opiniones falsas y a los que pagaron a terceros por hacerlo. Si la actividad continuara, TripAdvisor puede llegar a poner una alerta roja visible en el perfil del negocio (en 2018 la aplicó en 351 ocasiones).

En internet no faltan los ejemplos de negocios que se quejan por los comentarios que aparecen en su web, de periodistas que han logrado que un establecimiento inexistente tuviera una calificación máxima, de internautas que dicen cobrar por colgar en internet opiniones favorables.

 ¿Cuál es el volumen de ese mercado negro de las opiniones? En realidad, nadie lo sabe con certeza. En el informe reflejado en estas líneas aparecen las cifras oficiales que maneja la compañía, pero no parece que ese esfuerzo pueda satisfacer a los escépticos.

Fuente: ABC.es

iOS 13. Llega con regalo incluido, bug para ‘bypassear’ la pantalla de bloqueo del iPhone.

El día 19 de septiembre saldrá la versión 13 del sistema operativo de Apple para móviles iOS. En principio parecen buenas noticias pero cuidado, iOS 13 contiene una vulnerabilidad que podría permitir eludir la protección de la pantalla de bloqueo de tu iPhone y acceder a información confidencial.

Jose Rodríguez, un investigador de seguridad español, se puso en contacto con The Hacker News y reveló que descubrió un error que permite saltar las restricciones de la pantalla de bloqueo de iOS 13 dejando acceder a la lista completa de contactos de iPhone, así como a la información guardada de los mismos.

Mediante VoiceOver puedes navegar por mucho contenido del iPhone a partir de ese agujero, incluso puedes llegar a conocer a qué Apple ID está vinculado el iPhone..

Lo reporté a Apple y Apple lo arregló sin decir nada, sin mencionarlo en el contenido de seguridad de iOS 12.1.1 https://t.co/H4mOyrnzx5

— Jose Rodriguez (@VBarraquito) December 5, 2018

Jose comunicó a The Hacker News que descubrió el nuevo error en la pantalla de bloqueo de su iPhone que ejecuta la versión beta de iOS 13 y lo reportó a Apple el 17 de julio.

Sin embargo, Apple no reparó el error incluso después de haber sido informado hace meses, y el bypass sigue siendo posible de ejecutar en la versión Gold Master (GM) de iOS 13, la versión final del software que se lanzará el próximo 19 de septiembre.

¿Cómo funciona el bloqueo de pantalla de iOS 13 en el iPhone?

El error permite a cualquier persona con acceso físico al iPhone de un objetivo engañar al smartphone para que le conceda acceso a la lista completa de contactos almacenados, así como información detallada para cada contacto individual, incluidos sus nombres, números de teléfono y correos electrónicos, todo ello utilizando únicamente una llamada de FaceTime.

Este último hack de bloqueo de pantalla de iPhone es similar al que Rodríguez descubrió el año pasado en iOS 12.1, que permite saltarse la pantalla de bloqueo de un iPhone específico utilizando la función integrada VoiceOver.

Para demostrar el nuevo bug, Rodríguez compartió un video con ‘The Hacker News’, demostrando cómo funciona el hack y lo simple que es incluso para cualquier usuario que no entienda mucho de nuevas tecnologías.

El error consiste en realizar una llamada de FaceTime en el iPhone del objetivo y luego acceder a la función VoiceOver de Siri para obtener acceso a la lista de contactos, así como a toda la información guardada de estos contactos.

Sin embargo, es probable que Apple repare este problema en la próxima versión iOS 13.1, que se espera que llegue al público el 30 de septiembre. Todos los usuarios deberían parchear sus dispositivos iPhone a finales de mes.

Hasta entonces, se recomienda a los usuarios de iPhone que no dejen su teléfono desatendido, al menos en lugares públicos y de trabajo.

Más información

Bypass similar del año pasado:

https://thehackernews.com/2018/10/iphone-lock-passcode-bypass.html

https://thehackernews.com/2019/09/ios-13-lockscreen-bypass.html

Fuente: Hispasec

ALESA. Bypass mediante SQL Injection

Si hay algo que los usuarios de las nuevas tecnologías se están viendo obligados a comprender actualmente, es que casi todo lo que nos rodea puede ser vulnerado de manera que quien lleva a cabo el ataque tenga acceso a nuestros datos personales e información privada, Esta vez ha sido el turno de Alexa, uno de los productos estrella de Amazon.

Ya en 2018 aparecieron noticias acerca de un fallo de seguridad de Alexa que permitía al dispositivo grabar las conversaciones de los usuarios por error debido a una incorrecta implementación de la funcionalidad de activación por voz. En esta ocasión la vulnerabilidad no se encuentra en Alexa en sí, sino en las aplicaciones que instalamos en el dispositivo.

El investigador Tal Melamed, director de seguridad y hacking ético de Protego, ha descubierto que es posible vulnerar aplicaciones instaladas en Alexa mediante la técnica de inyección SQL (SQLi en inglés) si éstas no realizan una correcta validación de datos . Lo único que tendría que hacer el usuario malicioso sería ejecutar comandos por voz (en lugar de por teclado, como es lo usual) utilizando traducciones de texto para obtener acceso a las aplicaciones con fallas de seguridad y que contienen información sensible.

En un vídeo donde se muestra cómo es posible explotar la vulnerabilidad, Tel Melamed lleva a cabo una pequeña PoC mediante la traducción de palabras y números. En el vídeo el investigador utiliza una aplicación y una base de datos SQL desarrolladas por él mismo, pero se debe tener en cuenta que estamos ante un caso que podría tratarse de cualquier aplicación que exija un número de cuenta bancaria o un texto particular como método único de identificación.

Los pasos seguidos en el vídeo son los siguientes:

1)Tel Melamed intenta acceder a la cuenta del usuario administrador, para lo cual no está autorizado.

2)Alexa deniega la solicitud.

3)El investigador evade la denegación de Alexa proporcionando un número aleatorio junto a sintaxis que ejecutará la inyección SQL.

4)Cuando al investigador se le solicita un identificador de cuenta (ID) simplemente responde con un número aleatorio y «or/true», lo cual le concede el acceso a cualquier línea de la base de datos.

5)Alexa da al investigador la información del balance de la cuenta de administrador para la cual Tel Melamed no tenía acceso autorizado.

En cuanto a las medidas de protección ante esta vulnerabilidad, lo que el usuario puede hacer es poco ya que la brecha se encuentra en la aplicación, y para solventarla los desarrolladores deberían llevar a cabo la adopción de medidas como una correcta validación de los datos de entrada, un método que solucionaría muchos (si no todos) los problemas causados por las inyecciones de comando maliciosas, vulnerabilidad que se encuentra en el puesto número uno del Top 10 de OWASP en su último informe de 2017.

Recomendación

Desde Hispasec Sistemas recomendamos a los usuarios que, además de elegir contraseñas robustas, sean cuidadosos a la hora de usar aplicaciones que nos solicitan información confidencial como el número de cuenta bancaria. Siempre hay que descargar este tipo de aplicaciones desde markets oficiales y asegurarnos de que están verificadas y autorizadas por la entidad de la que formamos parte.

Más información:

Alexa SQL Injection Hack Into Unsecured App

Simple Voice-Command SQL Injection Hack into Alexa Application

OWASP Top 10 – 2017

Hackers Expose Scary Amazon Echo Vulnerability

Fuente: Hispsaec