Etiqueta: Vulnerabilidad

Vulnerabilidad en WhatsApp y Telegram en Android expone a la modificación de archivos

Publicado el

por Fco. José Hidalgo

WhatsApp-730x461

Una investigación llevada a cabo por el equipo de Modern OS Security, de la firma de seguridad Symantec, ha descubierto una nueva vulnerabilidad en las aplicaciones de mensajería WhatsApp y Telegram para dispositivos Android, que posibilitaría que actores maliciosos pudieran manipular los archivos multimedia almacenados, o directamente puedan ser reemplazados por otros bajo distintos fines.

Esta nueva vulnerabilidad ha recibido el nombre de Media File Jacking, y aprovecha el lapso del tiempo «crítico» que transcurre desde que los archivos recibidos por las aplicaciones de mensajería son guardados y el momento en el que se ponen a disposición de los usuarios en pantalla.
Continúa leyendo «Vulnerabilidad en WhatsApp y Telegram en Android expone a la modificación de archivos»

Firefox recibe actualizaciones de seguridad para corregir una vulnerabilidad crítica

Publicado el

por Miriam Schuager

Firefox

Mozilla ha lanzado actualizaciones de seguridad, así que si utilizas Firefox es importante que lo actualices de inmediato.

Aunque no han brindado muchos detalles, en la descripción del parche de seguridad para Firefox 67.0.3 y Firefox ESR 60.7.1, mencionaron que es para reparar una vulnerabilidad de día cero que está siendo explotada por hackers.

Este problema de seguridad permite que los atacantes trabajen de manera remota para atacar sistemas vulnerables. Por ejemplo, pueden engañar a los usuarios con páginas web falsas que sirven de intermediarias para insertar códigos en el sistema.
Continúa leyendo «Firefox recibe actualizaciones de seguridad para corregir una vulnerabilidad crítica»

Slack corrige la vulnerabilidad de secuestro de descargas en su aplicación para Windows

Publicado el

por Fco. José Hidalgo

slack-730x407
Si usas Slack desde su aplicación de escritorio para Windows, deberás actualizarte a la versión más reciente, la versión 3.4.0, que corrige una vulnerabilidad que posibilitaba a los atacantes redirigir las descargas a un servidor de los mismos.
A pesar de la existencia de dicha vulnerabilidad, no existen indicios de haber sido explotada, por lo que de entrada no habría usuarios afectados. La vulnerabilidad fue descubierta por el investigador David Wells, perteneciente a la firma de seguridad Tenable, y desde dicha firma se ha trabajado con Slack a través de la plataforma HackerOne, para la eliminación de la misma.
Continúa leyendo «Slack corrige la vulnerabilidad de secuestro de descargas en su aplicación para Windows»

Una vulnerabilidad en Google Fotos habría posibilitado conocer el historial de ubicaciones

Publicado el

por Fco. José Hidalgo

GoogleFotos

La versión web del popular servicio de alojamiento de fotos y vídeos de Google, Google Fotos, ha contado con una vulnerabilidad, ahora parcheada, que habría posibilitado a los atacantes conocer las ubicaciones donde hayan estado los usuarios afectados.

La vulnerabilidad se aprovechada de la función de búsquedas que, gracias a los metadatos que se generan y se guardan automáticamente con las fotos en el propio servicio, facilita las búsquedas de fotos que tengan alojados en base a aspectos como localizaciones, horas, fechas u objetos detectados en las propias fotos, entre otros aspectos.
Continúa leyendo «Una vulnerabilidad en Google Fotos habría posibilitado conocer el historial de ubicaciones»

Tumblr corrige una vulnerabilidad detectada sin que haya que lamentar usuarios afectados

Publicado el

por Fco. José Hidalgo

Tumblr-iniciosesion

La plataforma de publicación Tumblr, en aras de la transparencia, ha querido compartir públicamente la vulnerabilidad detectada en su versión web de escritorio y corregida a las pocas horas, sin que haya habido constancia de que haya afectado a ningún usuario.

Esta vulnerabilidad fue detectada por un investigador participante en el programa de recompensas de errores, notificando el descubrimiento a la propia plataforma semanas atrás, la cual tardó tan sólo 12 horas en ponerle solución y en mejorar los sistemas de monitorización y análisis al objeto de facilitar la detección de posibles vulnerabilidades en el futuro.
Continúa leyendo «Tumblr corrige una vulnerabilidad detectada sin que haya que lamentar usuarios afectados»

Nueva vulnerabilidad en Facebook afecta a casi 50 millones de usuarios

Publicado el

por Fco. José Hidalgo

Facebook

Esta semana, Facebook ha sido objeto de un nuevo ataque que ha afectado a casi 50 millones de usuarios, según acaba de compartir hoy la compañí­a a través de un comunicado.

El ataque se ha producido en la tarde del pasado martes, donde los atacantes han aprovechado una vulnerabilidad existente desde hace más de un año en el código de la función «Ver cómo», una función que permite a los usuarios conocer como sus perfiles son vistos por los demás.
Continúa leyendo «Nueva vulnerabilidad en Facebook afecta a casi 50 millones de usuarios»

Investigadores alertan de la vulnerabilidad de altavoces inteligentes en redes mal configuradas

Publicado el

por Fco. José Hidalgo

Imagen: Sonos One
Imagen: Sonos One

Investigadores de Trend Micro han descubierto recientemente que miles de altavoces inteligentes de varios modelos de Sonos y Bose están expuestos a recibir posibles ataques de piratas informáticos, los cuales podrí­an desde gastar simples bromas de audio o llegar incluso más lejos, controlar por completo los altavoces para establecer comandos que van desde reproducir canciones especí­ficas que se les exijan de forma remota o incluso hablar consigo mismo, o peor, obtener datos de la IP, de la red WiFi, del ID del dispositivo, de las cuentas de usuario de Spotify y otros servicios configurados, entre otros datos, o incluso controlar otros dispositivos conectados.

De hecho, a principios de año, un usuario de una unidad de Sonos ha señalado en los foros del fabricante que ha ido escuchando en la misma sonidos reproducidos aleatoriamente, incluyendo crujidos de puertas, llantos de bebés y roturas de cristales.
Continúa leyendo «Investigadores alertan de la vulnerabilidad de altavoces inteligentes en redes mal configuradas»

Los principales asistentes por voz cuentan con importante vulnerabilidad, según investigadores

Publicado el

por Fco. José Hidalgo

EchoDot-730x411

Un grupo de cientí­ficos chinos han descubierto que asistentes digitales con control por voz de las principales compañí­as son vulnerables ante la técnica de DolphinAttack, en la cual se pueden establecer comandos de voz en frecuencias inaudibles por el ser humano, pudiendo dar lugar a la activación de dispositivos sin desearlo, por ejemplo, abrir la puerta trasera que disponga de cerradura inteligente en una casa hasta incluso cargar contenido malicioso en ordenadores y dispositivos móviles, entre otras posibilidades.

Resulta que tanto los micrófonos como el software de reconocimiento si detecta los comandos de voz establecidos por rangos de frecuencias inaudibles para el ser humano por encima de los 20 kHz. Los resultados de la investigación han sido recogidos en un documento que fue recientemente aceptado por ACM Conference on Computer and Communications Security. Los investigadores han usado en sus pruebas teléfonos inteligentes con un dispositivo de unos tres dólares compuesto por un altavoz y un amplificador.
Continúa leyendo «Los principales asistentes por voz cuentan con importante vulnerabilidad, según investigadores»

Una mala práctica de desarrolladores convierten sus bots para Slack en vulnerables

Publicado el

por Fco. José Hidalgo

Imagen: Listado de bots de Slack
Imagen: Listado de bots de Slack

De acuerdo a un reciente informe de la compañí­a de seguridad Detectify, el hecho de que desarrolladores de bots para Slack hayan mantenido los tokens dentro del código de los mismos han hecho que estos se conviertan en vulnerables, y por tanto, que conversaciones, datos sensibles, además de otras informaciones, hayan podido ser accesibles por personas ajenas a las propias organizaciones.

Detectify ha informado de esta situación a la propia Slack la cual ya ha tomado cartas en el asunto revocando los tokens filtrados y advirtiendo a los propios desarrolladores de que tengan más cuidado en este asunto, tratando de situar los tokens al mismo nivel de importancia que las contraseñas.
Continúa leyendo «Una mala práctica de desarrolladores convierten sus bots para Slack en vulnerables»

Silent Circle parchea la vulnerabilidad encontrada en Blackphone

Publicado el

por Fco. José Hidalgo

smartphone

Ya hemos hablado en más de una ocasión del Blackphone, uno de los teléfonos móviles bajo Android existentes en el mercado pensados para la privacidad y la seguridad en las comunicaciones. Como ya sabemos, la seguridad al 100% no existe, y como prueba de ello, Blackphone ha tenido hasta hace bien poco una vulnerabilidad cuya explotación permitirí­a al atacante el enví­o y recepción de mensajes de textos, además de conocer el estado de las llamadas y el desví­o de las mismas hacia un número concreto.

Por suerte, esta vulnerabilidad ha sido parcheada fruto de la colaboración de la empresa fabricante, Silent Circle, con el grupo de investigadores de la firma de seguridad digital SentinelOne, quienes fueron los descubridores de esta vulnerabilidad e hicieron uso del programa oficial de recompensas de errores de Silent Circle. La investigación y desarrollo del parche correspondiente ha tomado un total de cuatro meses.

Lo que más llama la atención de este episodio es que Silent Circle no ha actuado como suelen hacer otras compañí­as, o sea, no ha ocultado la existencia de la vulnerabilidad, pasando más bien a la acción buscando la manera de ponerle fin a la mayor brevedad posible sin poner en riesgo a sus propios usuarios. Las conclusiones de la firma de seguridad han sido expuestas en una publicación en su blog oficial.