Etiqueta: Vulnerabilidad

LastPass anuncia fallos de seguridad en su software que en principio no habrían sido explotados

Publicado el 12 julio, 2014

LastPass, el popular gestor de contraseñas compatible prácticamente con cualquier sistema operativo y plataforma existente, acaba de anunciar a través de de una entrada en su blog la existencia de algunas vulnerabilidades que afectarían a la seguridad del servicio. A pesar de ello, aseguran que no han sido explotadas ni han afectado de modo alguno a los usuarios, pero han creído necesario alertar a los mismos.

Tal y como explican en su blog, todo empezó cuando en agosto de 2013, Zhiwei Li, un investigador de seguridad, contactó con ellos con el fin de alertarles acerca de la existencia de algunas vulnerabilidades en su servicio. Concretamente, el problema se encontraba en los marcadores de LastPass (utilizados por menos del 1% de sus usuarios), así como en las contraseñas de un solo uso (OTPs). Al parecer, el problema podría haber sido explotado si el usuario hizo uso del marcador en un sitio web que conociese el fallo y estuviese preparado para aprovecharlo. Otra forma por la cual el fallo de seguridad podría haber sido explotado sería si el usuario accedió a un sitio web atacante mientras estaba conectado a su LastPass, habiendo permitido que el atacante utilizase los datos personales del usuario para crear una contraseña de un solo uso falsa. A pesar de ello, se trata de algo improbable, ya que es prácticamente imposible que se hayan dado todas estas condiciones con el fin de aprovechar el bug.

El equipo de LastPass asegura que no tiene constancia alguna de que nadie aparte de su equipo de investigadores haya tenido conocimiento del bug. A pesar de ello, si lo crees conveniente, puedes cambiar la contraseña del servicio o todas tus contraseñas almacenadas, aunque afirman que no es necesario en absoluto. Por supuesto, las vulnerabilidades ya han sido solucionadas.

Aparece vulnerabilidad en versiones de Internet Explorer, afectando especialmente a usuarios de Windows XP

Publicado el 27 abril, 2014

por Fco. José Hidalgo

Era cuestión de tiempo que apareciese la primera vulnerabilidad después de que Windows XP haya dejado de recibir soporte oficial. Microsoft ha informado este pasado sábado un aviso de seguridad indicando a los clientes de la existencia de una vulnerabilidad en todas las versiones de Internet Explorer (desde la versión 6 hasta la versión 11) por la que los ciberdelincuentes podrían ejecutar código de forma remota, teniendo acceso completo a la instalación de programas, visualización y borrado de datos, entre otras acciones, con tan sólo visitar un sitio web especialmente diseñado para el aprovechamiento de la misma.

La situación de hace especial para aquellos usuarios que todavía siguen usando Windows XP e Internet Explorer por su importancia, como señalan desde ComputerWorld, dado que este sistema operativo ya no recibirá actualización de seguridad alguna.

Los usuarios de las versiones recientes de Windows podrían recibir los parches para sus sistemas, bien dentro de las actualizaciones mensuales de seguridad o bien fuera del ciclo, una posibilidad casi segura que formaría parte de las medidas que tomarán para proteger a sus clientes. Hasta entonces, en su propio anuncio han incluido una serie de soluciones provisionales enfocados en el uso de Internet Explorer, aunque eso no quita que los usuarios puedan tomar la vía de la instalación y uso de otros navegadores, como Chrome y Firefox, que son también compatibles con Windows XP.

Microsoft recomienda a los clientes una serie de medidas siguiendo las instrucciones del Microsoft Safety & Security Center para habilitar un firewall, aplicar todas las actualizaciones de las aplicaciones y la instalación de una aplicación antimalware.

Bluebox Heartbleed Scanner nos permite conocer los puntos vulnerables de nuestros dispositivos Android

Publicado el 12 abril, 2014

por Fco. José Hidalgo

Quien más y quien menos, muchos usuarios hemos escuchado hablar últimamente de Heartbleed, que es el nombre que ha recibido la vulnerabilidad recientemente descubierta en la versión 1.0.1 y 1.0.1f de la librería OpenSSL, implementada en muchos de los servicios de Internet que usamos actualmente. Como os comentamos recientemente, esto permitiría a los atacantes entrar en los servidores que usan dichas librerías para la obtención de los datos sensibles. Los datos que podrían obtener pueden ser desde nombres de usuario y contraseña, e incluso hasta datos bancarios. Lo cierto es que los expertos no se ponen de acuerdo para determinar el alcance de la gravedad de esta vulnerabilidad ni qué datos están en peligro, y también que ya hay servicios que se han puesto manos a la obra a parchear dichas librerías o implementar otras soluciones.

Nosotros los usuarios poco podemos hacer, y tratándose de nuestros dispositivos Android, una de esas pocas cosas que podemos hacer es instalarnos la aplicación Bluebox Heartbleed Scanner, que presentan desde Android Police y que podemos descargar gratuitamente desde Google Play. La misión de esta aplicación consiste en escanear las aplicaciones que tengamos instaladas para localizar aquellas que dispongan de las bibliotecas afectadas y si además están activadas, ofreciendo posteriormente un informe indicándonos si nuestros terminales corren el peligro de sufrir ataques. Según el citado medio, todas las versiones de AOSP desde la 4.1 en adelante contienen versiones vulnerables de OpenSSL, donde sólo Android 4.1.1 tenía la vulnerabilidad activada, existiendo la posibilidad de que fabricantes hayan modificado sus ROMs personalizadas quitando la vulnerabilidad, «aunque es bastante improbable».

En cualquier caso, si queremos descubrir si tenemos puntos débiles en nuestros dispositivos, Bluebox Heartbleed Scanner nos ofrecerá la información que necesitamos, disponible para dispositivos Android desde la versión 2.3.3 en adelante, donde además, tenemos más información al respecto que la propia compañía ha publicado en su blog.

Problemas de seguridad en LastPass

Publicado el 19 agosto, 2013

por Fco. José Hidalgo

Buena prueba de que no existen sistemas 100% seguros, como nada en la vida, la tenemos en un bug encontrado en la aplicación para Windows del gestor de contraseñas LastPass, servicio dedicado al almacenamiento de contraseñas en un servidor seguro para permitir a los usuarios identificarse automáticamente en aquellos sitios web donde estén registrados. El bug afecta únicamente a aquellos usuarios que usen la versión 1.0.20 del plugin de LastPass en equipos bajo Windows, afectando sólo al complemento para Internet Explorer, eliminándose los datos al cerrar sesión del propio navegador.

El bug permite mostrar algunas de las contraseñas de los propios usuarios, aunque para explotarlo, los atacantes deberían realizar un volcado de memoria, que se realizaría cuando los usuarios afectados intentan conectarse de un proceso a otro, permitiendo así al atacante tener acceso a las contraseñas utilizadas durante la última sesión de navegación, incluso si el navegador ya no hace registros con LastPass. Los atacantes también podrían aprovechar el acceso físico de los ordenadores afectados para explotar la vulnerabilidad.

Según un portavoz de la compañía:

Si se explota, las contraseñas almacenadas en LastPass eran accesibles al realizar un volcado de memoria del navegador (…) Si un usuario ha iniciado sesión en IE y en el complemento de LastPass descifraría así localmente sus datos, las contraseñas que se habían utilizado en esa sesión de navegación serían visibles en el volcado de memoria como resultado.

En este sentido, la misma compañía ya ha lanzado una actualización para solventar el problema, cumpliendo así con la privacidad y seguridad de los datos de los propios usuarios, como dijo el mismo portavoz a Mashable.

En cualquier caso, el alcance del problema hubiera sido mínimo, aunque el rápido ofrecimiento de una solución es un detalle muy a tener en cuenta para este tipo de situaciones. Además, los usuarios pueden seguir confiando en los servicios de gestión de contraseñas, ya que a juicio de LastPass, sigue siendo una vía más segura que confiar en la típica información de registro para acceder a las cuentas de usuarios en diferentes servicios.

Si eres uno de los usuarios afectados, puede descargarte la actualización desde este enlace.

¿Agujero de seguridad en las aplicaciones móviles de Facebook?

Publicado el 6 abril, 2012

por Fco. José Hidalgo

¿Realmente la aplicación móvil de Facebook para iOS y Android tenía un agujero de seguridad o más bien son los terminales con jailbreak o rooteados quienes hacen vulnerables los sistemas? Veréis, ya que este es un caso donde las cosas pueden ser de una manera o de otra según el prisma con el que se mire, y viene en relación a lo que podría ser un agujero de seguridad en la aplicación móvil de Facebook para iOS y Android.

En un principio se acusaba a la aplicación móvil de Facebook de tener un agujero de seguridad en el que los piratas informáticos tenían algunas formas de acceso a los terminales móviles, donde podían leer los archivos .plist de Facebook, donde se contiene el token de acceso de la aplicación, la clave completa y secreta OAuth, según posteó el desarrollador Gareth Wright. Esto podía motivar que los piratas informáticos podían acceder y hacerse pasar por el propietario legítimo, pudiendo incluso acceder a servicios de terceros donde se necesite acceder con la identidad de Facebook.

Pero el caso es que hubo expertos que no daban por válidos los argumentos por inexactos o engañosos, dado que Wright descubrió este supuesto agujero de seguridad teniendo su dispositivo con jailbreak realizado, de manera que el acceso al archivo .plist lo realizará sólamente la propia aplicación salvo que el terminal tenga el jailbreak realizado o rooteado para el caso de terminales Android, así como si se tiene acceso físico a la memoria flash, algo muy poco probable.

Esta situación ha sido comentada en TechCrunch, donde también se hace eco de las declaraciones de la propia red social Facebook que va más en consonancia con lo que indican los expertos. También recomienda que para los casos de robo, se utilicen aplicaciones de borrado remoto, recomendando Find My Phone para iOS o Exchange para terminales Android.

Vía: Techcrunch