Connect with us

PodCastRST

Fallo de seguridad afecta a dispositivos Samsung, Huawei y Xiaomi

Published

on

Trabajadores de Google Project Zero han detectado la aparición de un fallo de seguridad que permitiría tomar el control de datos de un dispositivo ajeno, el cual afecta a algunos modelos de Android entre los que se encuentran Pixel 2, Huawei P20 y Samsung Galaxy S9.

Este fallo se detectó por primera vez en diciembre de 2017, en Android 8 Oreo, pero se corrigió con un parche que se aplicó a los modelos que fueron atacados. Sin embargo tras la revisión de los códigos de seguridad, los investigadores descubrieron que Pixel 2 sigue siendo vulnerable a este ataque, debido a que en las últimas versiones de Android no han incluido este parche.

Pero lo que han podido observar desde Google Project Zero es que hay más dispositivos a los que este ataque les podría afectar: Pixel 2 con ‘software’ Android 9 y Android 10; Huawei P20; Xiaomi Redmi 5A, Xiaomi Redmi Note 5 y Xiaomi A1; Oppo A3; Moto Z3; móviles LG Oreo; y Samsung S7, S8, S9.

Este fallo de seguridad permite la lectura y escritura del «kernel» software que constituye una parte fundamental del sistema operativo del dispositivo, pero como informan desde el equipo de investigación de Google no es tan peligroso ya que para poder ejecutarlo se necesita descargar un código de aplicación desconocida en el terminal que se quiere atacar.

Google ya se ha puesto en contacto con las compañías afectadas para que tomen las medidas necesarias para paliar el problema, que básicamente es incorporar el parche que se utilizó en 2017 a todas las actualizaciones de los modelos afectados. La ingeniera de Google Project Zero, Natalie Silvanovich, ha publicado en su cuenta oficial de Twitter la existencia de un error en Signal la «app» de mensajería centrada en la seguridad y privacidad de los usuarios- que afectaba al cliente de Android y que permitía que la llamada a un usuario fuera contestada sin que este la aceptara.

«Un error en Signal permitía a la persona que llama forzar que la llamada fuera contestada sin interacción del usuario», asegura en su perfil. «Cuando la llamada está sonando, el botón de silenciar puede ser presionado para forzar al dispositivo al que se llama a que conecte, y el audio del dispositivo llamado será audible», explica Silvanovich en el blog de Chromium. De esta forma, el «hacker» tendría acceso al contenido de la llamada sin que el usuario supiera que la había respondido.

Esto se debe al denominado método «Handle Call Connected» que permite que una llamada acabe conectándose. Normalmente, las llamadas en la aplicación se responden o bien presionando sobre el botón «aceptar» o bien cuando el dispositivo que llama recibe una mensaje con las palabras «conectar» que indican que el receptor ha aceptado la llamada.

Sin embargo, «utilizando un cliente modificado, es posible enviar el mensaje de ‘conectar’ a un dispositivo que llama cuando una llamada entrante está en progreso pero todavía no ha sido aceptada por el usuario», asegura Silvanovich. Así, la llamada será contestada, pero el usuario no habrá interactuado en ningún momento con el dispositivo. «La llamada conectada solo usuario necesita habilitar manualmente el vídeo en todas las llamadas será una llamada de audio», apunta.

Aunque en principio se trata de «error lógico» que solo ha afectado al cliente de Android, y que se arregló el pasado viernes, la ingeniera también señala que el cliente de iOS pudo estar afectado por un error lógico similar. En este caso, la llamada no se completaba debido a un error en la interfaz de usuario «causado por una secuencia de estados inesperada».

La ingeniera de Project Zero de Google también ha dado a conocer en su cuenta oficial de Twitter la posibilidad de un ataque remoto a las cuentas de Signal si hubiera una vulnerabilidad por limitaciones en su WebRTC. «entristece que Signal tenga esta gran superficie de ataque remoto debido a limitaciones en WebRTC», explicaba en su «post».

Es un proyecto de código abierto que permite a los navegadores web y a las aplicaciones la comunicación en tiempo real a través de interfaces de programación de aplicaciones. Silvanovich afirma en el blog oficial de Chromium que «cuando una llamada por videoconferencia se hace a través de Signal, esta procesa los paquetes RTP (protocolo de transporte real) antes de que la llamada sea respondida». Esto implica que cualquier vulnerabilidad en WebRTC en el proceso de RTP «puede ser usada remotamente por un atacante sin interacción del usuario, y permite a un atacante múltiples intentos de explotar una vulnerabilidad», declara.

La ingeniera afirma que ha probado este proceso de ataque construyendo una «versión depuradora» del WebRTC y de Signal, incluyendo su biblioteca, e instalándolo en un dispositivo objeto del ataque. Después ha construido una versión publicada de WebRTC y de Signal que «corrompe los paquetes RTP cuando son lanzados», explica. Así, «cuando llamé al dispositivo objeto del ataque con el otro dispositivo, pude ver entradas de registro que indicaban que estaba procesando un RTP malformado sin responder la llamada», concluye.

La ingeniera recomienda que el proceso de completar la conexión RTP «sea movido después de que el usuario responda a la llamada». A pesar de ello, hoy se ha descubierto que el error ha sido invalidado, pues Signal «no planea hacer cambios para limitar el proceso RTP antes de que una llamada sea respondida a corto plazo», asegura Silvanovich.

Continue Reading

PodCastRST

Facebook deja de ser una red social y cambia de nombre

Published

on

Lo que se rumoraba hace varias semanas ya es una realidad: Facebook cambiará de nombre y ahora se llamará ‘Meta‘. Mark Zuckerberg, director de la compañía, lo acaba de anunciar en el Facebook Connect, transmisión en la que la red social está haciendo anuncios sobre el metaverso.

Meta reunirá todas las aplicaciones de la empresa (Facebook, Instagram, WhastApp y Messenger) y sus tecnologías. «Hablamos de un internet corpóreo: en lugar de mirar una pantalla, estaremos ‘dentro’. Será más natural y vívido: las pantallas no pueden conectar la experiencia humana completa, no pueden brindar la idea de la presencia. Con esta nueva tecnología sí se podrá: de eso se trata el metaverso», explicó Mark Zuckerberg sobre el metaverso de Facebook.

«Habrá avatars: con eso nos vamos a representar en el metaverso. En lugar de imágenes estáticas vamos a vivir con imágenes representativas de nosotros. Será mucho más rico que las experiencias que tenemos hoy», amplió Zuckerberg mientras explicaba en una trasmisión en vivo cómo será esta realidad aumentada o realidad ampliada.

“Hoy somos vistos como una empresa de redes sociales, pero en nuestro ADN somos una empresa que crea tecnología para conectar a las personas, y el metaverso es la próxima frontera, al igual que las redes sociales cuando comenzamos”, dijo Zuckerberg.

«Es la próxima evolución en una larga línea de tecnologías sociales y está marcando el comienzo de un nuevo capítulo para nuestra empresa«, cerró.

Continue Reading

PodCastRST

WhatsApp cambia el 15 de mayo conoce nuevos términos y condiciones

Published

on

Este sábado, 15 de mayo, entrará en vigor la nueva política de términos y condiciones de WhatsApp. Un cambio que ha traído mucha polémica, obligando a la empresa a aplazar la actualización unos días o, incluso, llevando a una pérdida de usuarios en favor de otras apps de la competencia. Integrada ya por completo en Facebook, esta última modificación irá precisamente a compartir muchos datos de los usuarios con el fin de sacar un mejor rendimiento comercial.

La aplicación de mensajería instantánea más famosa del mundo lleva mucho tiempo reiterando que va a introducir nuevas condiciones a sus clientes. Un cambio que verá la luz en WhatsApp este fin de semana, con un mensaje que muchos usuarios ya han aceptado días y meses atrás.
Whatsapp Business, una opción real pensada para la pequeña y mediana empresa

Los nuevos términos que, pese a las suposiciones iniciales, no serán de obligada aceptación ni tendrán sanciones. Al menos al principio, pues durante un tiempo indeterminado, WhatsApp dejará libertad a sus usuarios para aceptar o no las condiciones, eso sí, con un mensaje de aviso que irá apareciendo cada cierto tiempo.

Sin embargo, según pasen los meses o años, y la compañía siga detectando que hay usuarios que no han aceptado sus términos y condiciones, WhatsApp restringirá funciones de estos, pero «nunca eliminará sus cuentas» como se había pensado. Una de estas restricciones conocidas es el bloqueo a acceder a la lista de chats, aunque se podrá contestar mensajes y videollamadas.

Así son los nuevos términos y condiciones
Pero, ¿qué pide WhatsApp que se acepte? Ni más ni menos que compartir los datos e información de sus usuarios con la gran empresa a la que pertenece. Facebook quiere seguir ofreciendo una mejora comercial, que cada vez se acerque más a lo que desea el usuario y por ello se compartirán aspectos como la actividad del usuario, el diagnóstico del servicio y la información del dispositivo y su conexión.

Además, se añadirá información de con quién se contacta, se instalarán cookies para operar y proporcionar servicios comerciales y se promocionarán servicios y ofertas de toda la red de Facebook. Sin embargo, los mensajes seguirán siendo cifrados de extremo a extremo, así como en la Unión Europea esto no supondrá un cambio material aunque sí habrá que seguir aceptando.

 

Continue Reading

PodCastRST

WhatsApp Web crea acceso para videollamadas hasta 50 personas

Published

on

Todo el mundo quiere ganarle terreno a Zoom en esta nueva era del teletrabajo, y eso incluye a Facebook, que acaba de integrar en WhatsApp Web la posibilidad de iniciar una videollamada grupal de hasta 50 personas. Eso sí, se trata de un simple acceso directo a las salas de Messenger, un servicio aparte similar a Zoom.

Para crear una sala de Messenger, abre cualquier grupo de chat en WhatsApp Web, haz clic en el icono del clip (en la esquina superior derecha de la ventana) y pulsa el botón de la cámara (el que está en último lugar). Esto abrirá una nueva pestaña en el navegador para crear una sala de Messenger (tendrás que iniciar sesión con tu usuario y contraseña de Facebook). Una vez creada la sala, puedes compartir el enlace en cualquier chat de WhatsApp para que otros se unan.

Como digo, el creador de la sala necesita una cuenta de Facebook. Las personas que se unen desde WhatsApp Web pueden conectarse a través del navegador y no tienen que iniciar sesión en Facebook. Sin embargo, las que quieran unirse desde el teléfono, tendrán que instalar la aplicación móvil de Facebook Messenger. Las salas de Messenger solo están cifradas hasta el servidor. Las videollamadas nativas de WhatsApp, en cambio, tienen cifrado de extremo a extremo, pero están limitadas a ocho participantes.

Continue Reading

Trending

Copyright © 2017 Zox News Theme. Theme by MVP Themes, powered by WordPress.