Etiqueta: Vulnerabilidad

Bluebox Heartbleed Scanner nos permite conocer los puntos vulnerables de nuestros dispositivos Android

Publicado el 12 abril, 2014

Bluebox Heartbleed Scanner

Quien más y quien menos, muchos usuarios hemos escuchado hablar últimamente de Heartbleed, que es el nombre que ha recibido la vulnerabilidad recientemente descubierta en la versión 1.0.1 y 1.0.1f de la librería OpenSSL, implementada en muchos de los servicios de Internet que usamos actualmente. Como os comentamos recientemente, esto permitiría a los atacantes entrar en los servidores que usan dichas librerías para la obtención de los datos sensibles. Los datos que podrían obtener pueden ser desde nombres de usuario y contraseña, e incluso hasta datos bancarios. Lo cierto es que los expertos no se ponen de acuerdo para determinar el alcance de la gravedad de esta vulnerabilidad ni qué datos están en peligro, y también que ya hay servicios que se han puesto manos a la obra a parchear dichas librerías o implementar otras soluciones.

Nosotros los usuarios poco podemos hacer, y tratándose de nuestros dispositivos Android, una de esas pocas cosas que podemos hacer es instalarnos la aplicación Bluebox Heartbleed Scanner, que presentan desde Android Police y que podemos descargar gratuitamente desde Google Play. La misión de esta aplicación consiste en escanear las aplicaciones que tengamos instaladas para localizar aquellas que dispongan de las bibliotecas afectadas y si además están activadas, ofreciendo posteriormente un informe indicándonos si nuestros terminales corren el peligro de sufrir ataques. Según el citado medio, todas las versiones de AOSP desde la 4.1 en adelante contienen versiones vulnerables de OpenSSL, donde sólo Android 4.1.1 tenía la vulnerabilidad activada, existiendo la posibilidad de que fabricantes hayan modificado sus ROMs personalizadas quitando la vulnerabilidad, «aunque es bastante improbable».

En cualquier caso, si queremos descubrir si tenemos puntos débiles en nuestros dispositivos, Bluebox Heartbleed Scanner nos ofrecerá la información que necesitamos, disponible para dispositivos Android desde la versión 2.3.3 en adelante, donde además, tenemos más información al respecto que la propia compañía ha publicado en su blog.

Problemas de seguridad en LastPass

Publicado el 19 agosto, 2013

por Fco. José Hidalgo

Buena prueba de que no existen sistemas 100% seguros, como nada en la vida, la tenemos en un bug encontrado en la aplicación para Windows del gestor de contraseñas LastPass, servicio dedicado al almacenamiento de contraseñas en un servidor seguro para permitir a los usuarios identificarse automáticamente en aquellos sitios web donde estén registrados. El bug afecta únicamente a aquellos usuarios que usen la versión 1.0.20 del plugin de LastPass en equipos bajo Windows, afectando sólo al complemento para Internet Explorer, eliminándose los datos al cerrar sesión del propio navegador.

El bug permite mostrar algunas de las contraseñas de los propios usuarios, aunque para explotarlo, los atacantes deberían realizar un volcado de memoria, que se realizaría cuando los usuarios afectados intentan conectarse de un proceso a otro, permitiendo así al atacante tener acceso a las contraseñas utilizadas durante la última sesión de navegación, incluso si el navegador ya no hace registros con LastPass. Los atacantes también podrían aprovechar el acceso físico de los ordenadores afectados para explotar la vulnerabilidad.

Según un portavoz de la compañía:

Si se explota, las contraseñas almacenadas en LastPass eran accesibles al realizar un volcado de memoria del navegador (…) Si un usuario ha iniciado sesión en IE y en el complemento de LastPass descifraría así localmente sus datos, las contraseñas que se habían utilizado en esa sesión de navegación serían visibles en el volcado de memoria como resultado.

En este sentido, la misma compañía ya ha lanzado una actualización para solventar el problema, cumpliendo así con la privacidad y seguridad de los datos de los propios usuarios, como dijo el mismo portavoz a Mashable.

En cualquier caso, el alcance del problema hubiera sido mínimo, aunque el rápido ofrecimiento de una solución es un detalle muy a tener en cuenta para este tipo de situaciones. Además, los usuarios pueden seguir confiando en los servicios de gestión de contraseñas, ya que a juicio de LastPass, sigue siendo una vía más segura que confiar en la típica información de registro para acceder a las cuentas de usuarios en diferentes servicios.

Si eres uno de los usuarios afectados, puede descargarte la actualización desde este enlace.

¿Agujero de seguridad en las aplicaciones móviles de Facebook?

Publicado el 6 abril, 2012

por Fco. José Hidalgo

¿Realmente la aplicación móvil de Facebook para iOS y Android tenía un agujero de seguridad o más bien son los terminales con jailbreak o rooteados quienes hacen vulnerables los sistemas? Veréis, ya que este es un caso donde las cosas pueden ser de una manera o de otra según el prisma con el que se mire, y viene en relación a lo que podría ser un agujero de seguridad en la aplicación móvil de Facebook para iOS y Android.

En un principio se acusaba a la aplicación móvil de Facebook de tener un agujero de seguridad en el que los piratas informáticos tenían algunas formas de acceso a los terminales móviles, donde podían leer los archivos .plist de Facebook, donde se contiene el token de acceso de la aplicación, la clave completa y secreta OAuth, según posteó el desarrollador Gareth Wright. Esto podía motivar que los piratas informáticos podían acceder y hacerse pasar por el propietario legítimo, pudiendo incluso acceder a servicios de terceros donde se necesite acceder con la identidad de Facebook.

Pero el caso es que hubo expertos que no daban por válidos los argumentos por inexactos o engañosos, dado que Wright descubrió este supuesto agujero de seguridad teniendo su dispositivo con jailbreak realizado, de manera que el acceso al archivo .plist lo realizará sólamente la propia aplicación salvo que el terminal tenga el jailbreak realizado o rooteado para el caso de terminales Android, así como si se tiene acceso físico a la memoria flash, algo muy poco probable.

Esta situación ha sido comentada en TechCrunch, donde también se hace eco de las declaraciones de la propia red social Facebook que va más en consonancia con lo que indican los expertos. También recomienda que para los casos de robo, se utilicen aplicaciones de borrado remoto, recomendando Find My Phone para iOS o Exchange para terminales Android.

Vía: Techcrunch