Connect with us

PodCastRST

Fallo de seguridad afecta a dispositivos Samsung, Huawei y Xiaomi

Published

on

Trabajadores de Google Project Zero han detectado la aparición de un fallo de seguridad que permitiría tomar el control de datos de un dispositivo ajeno, el cual afecta a algunos modelos de Android entre los que se encuentran Pixel 2, Huawei P20 y Samsung Galaxy S9.

Este fallo se detectó por primera vez en diciembre de 2017, en Android 8 Oreo, pero se corrigió con un parche que se aplicó a los modelos que fueron atacados. Sin embargo tras la revisión de los códigos de seguridad, los investigadores descubrieron que Pixel 2 sigue siendo vulnerable a este ataque, debido a que en las últimas versiones de Android no han incluido este parche.

Pero lo que han podido observar desde Google Project Zero es que hay más dispositivos a los que este ataque les podría afectar: Pixel 2 con ‘software’ Android 9 y Android 10; Huawei P20; Xiaomi Redmi 5A, Xiaomi Redmi Note 5 y Xiaomi A1; Oppo A3; Moto Z3; móviles LG Oreo; y Samsung S7, S8, S9.

Este fallo de seguridad permite la lectura y escritura del «kernel» software que constituye una parte fundamental del sistema operativo del dispositivo, pero como informan desde el equipo de investigación de Google no es tan peligroso ya que para poder ejecutarlo se necesita descargar un código de aplicación desconocida en el terminal que se quiere atacar.

Google ya se ha puesto en contacto con las compañías afectadas para que tomen las medidas necesarias para paliar el problema, que básicamente es incorporar el parche que se utilizó en 2017 a todas las actualizaciones de los modelos afectados. La ingeniera de Google Project Zero, Natalie Silvanovich, ha publicado en su cuenta oficial de Twitter la existencia de un error en Signal la «app» de mensajería centrada en la seguridad y privacidad de los usuarios- que afectaba al cliente de Android y que permitía que la llamada a un usuario fuera contestada sin que este la aceptara.

«Un error en Signal permitía a la persona que llama forzar que la llamada fuera contestada sin interacción del usuario», asegura en su perfil. «Cuando la llamada está sonando, el botón de silenciar puede ser presionado para forzar al dispositivo al que se llama a que conecte, y el audio del dispositivo llamado será audible», explica Silvanovich en el blog de Chromium. De esta forma, el «hacker» tendría acceso al contenido de la llamada sin que el usuario supiera que la había respondido.

Esto se debe al denominado método «Handle Call Connected» que permite que una llamada acabe conectándose. Normalmente, las llamadas en la aplicación se responden o bien presionando sobre el botón «aceptar» o bien cuando el dispositivo que llama recibe una mensaje con las palabras «conectar» que indican que el receptor ha aceptado la llamada.

Sin embargo, «utilizando un cliente modificado, es posible enviar el mensaje de ‘conectar’ a un dispositivo que llama cuando una llamada entrante está en progreso pero todavía no ha sido aceptada por el usuario», asegura Silvanovich. Así, la llamada será contestada, pero el usuario no habrá interactuado en ningún momento con el dispositivo. «La llamada conectada solo usuario necesita habilitar manualmente el vídeo en todas las llamadas será una llamada de audio», apunta.

Aunque en principio se trata de «error lógico» que solo ha afectado al cliente de Android, y que se arregló el pasado viernes, la ingeniera también señala que el cliente de iOS pudo estar afectado por un error lógico similar. En este caso, la llamada no se completaba debido a un error en la interfaz de usuario «causado por una secuencia de estados inesperada».

La ingeniera de Project Zero de Google también ha dado a conocer en su cuenta oficial de Twitter la posibilidad de un ataque remoto a las cuentas de Signal si hubiera una vulnerabilidad por limitaciones en su WebRTC. «entristece que Signal tenga esta gran superficie de ataque remoto debido a limitaciones en WebRTC», explicaba en su «post».

Es un proyecto de código abierto que permite a los navegadores web y a las aplicaciones la comunicación en tiempo real a través de interfaces de programación de aplicaciones. Silvanovich afirma en el blog oficial de Chromium que «cuando una llamada por videoconferencia se hace a través de Signal, esta procesa los paquetes RTP (protocolo de transporte real) antes de que la llamada sea respondida». Esto implica que cualquier vulnerabilidad en WebRTC en el proceso de RTP «puede ser usada remotamente por un atacante sin interacción del usuario, y permite a un atacante múltiples intentos de explotar una vulnerabilidad», declara.

La ingeniera afirma que ha probado este proceso de ataque construyendo una «versión depuradora» del WebRTC y de Signal, incluyendo su biblioteca, e instalándolo en un dispositivo objeto del ataque. Después ha construido una versión publicada de WebRTC y de Signal que «corrompe los paquetes RTP cuando son lanzados», explica. Así, «cuando llamé al dispositivo objeto del ataque con el otro dispositivo, pude ver entradas de registro que indicaban que estaba procesando un RTP malformado sin responder la llamada», concluye.

La ingeniera recomienda que el proceso de completar la conexión RTP «sea movido después de que el usuario responda a la llamada». A pesar de ello, hoy se ha descubierto que el error ha sido invalidado, pues Signal «no planea hacer cambios para limitar el proceso RTP antes de que una llamada sea respondida a corto plazo», asegura Silvanovich.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

PodCastRST

Fallo de seguridad en WhatsApp podrían espiar tus mensajes

Published

on

La seguridad de los servicios digitales importa. Y mucho. Si se trata de uno de los más utilizados del mundo, como es el caso de WhatsApp, aún preocupa más. Un grupo de expertos en seguridad informática ha descubierto que Google permite que los usuarios puedan encontrar invitaciones a grupos privados y unirse sin problemas, permitiendo así que extraños puedan revisar desde mensajes a fotografías teóricamente privados.

El fallo de seguridad, descubierto por el medio especializado “Motherboard”, afecta a la privacidad de los datos personales de sus más de 2.000 millones de usuarios registrados en todo el mundo. El problema viene de que el motor de búsqueda del gigante de internet indexa enlaces de invitación a los chats en grupo. Es decir, utilizando búsquedas concretas en Google, cualquiera podría descubrir enlaces a los chats.

Se estima que el buscador alberga unos 470.000 resultados relativos a los términos de búsqueda «chat.whatsapp.com», parte de la dirección URL que componen las invitaciones a las conversaciones del servicio. Lo que quiere decir que si se publica el enlace de invitación en internet se corre el riesgo de que alguien lo encuentre.

Se trata de una función muy extendida que permite fácilmente compartir una dirección web por diversos canales para que usuarios puedan ingresar como nuevos miembros de un grupo. Grupos que se crean para fines muy diversos, incluso también para que padres de estudiantes tengan un punto de encuentro para organizar eventos escolares.

Este hecho significa que con una simple búsqueda en internet, usuarios malintencionados pueden descubrir y unirse a un chat grupal de WhatsApp sin ser el receptor legítimo. Su incidencia, sin embargo, no está generalizada dado que estos enlaces de invitación no suelen compartirse en foros por regla general. En opinión de Lorenzo Martínez, experto en seguridad informática en Securízame, este hallazgo «no es tan alarmista» y se debe a que los «grupos no tienen ningún tipo de autentificación».

«No debería haber alarmismo porque no cualquiera puede entrar a un grupo de WhatsApp haciendo una búsqueda en Google, porque para esto previamente alguien con acceso al mismo tiene que haber compartido en algún sitio que sea indexable por el motor de búsqueda», explica en conversación telefónica con este diario. «Los grupos de WhatsApp pueden no ser tan seguros como crees”», valoró por su parte en su perfil de Twitter Jordan Wildon, periodista multimedia del medio alemán «Deutsche Welle».

Continue Reading

PodCastRST

Llega el fin de los ordenadores con Windows 7

Published

on

El sistema operativo Windows 7, uno de los más populares de la pasada década, dejará de recibir apoyo técnico a partir de este martes, 14 de enero, lo que hará a quienes sigan utilizándolo más vulnerables a ataques de piratas informáticos.

Según el portal «Net Market Share», uno de cada cuatro ordenadores en el mundo sigue operando con Windows 7, pese a que Microsoft ya alertó hace un año de que a principios de 2020 dejaría de actualizar el sistema con nuevos parches a medida que se descubran potenciales ataques o debilidades en el software.

En una entrada en su página web, la compañía de Redmond (estado de Washington, EE.UU.) sugirió a quienes sigan usando Windows 7 que o bien actualicen su sistema operativo a uno más reciente si tienen un ordenador comprado hace menos de tres años o, en caso contrario, compren un nuevo aparato.

En la práctica, y como ya ocurrió hace unos años con el popular Windows XP, dejar de ofrecer actualizaciones y apoyo técnico hará a quienes no cambien a un nuevo sistema operativo más vulnerables a posibles virus, troyanos o ataques por parte de piratas informáticos. Según los datos más recientes de diciembre de 2019, más de la mitad de los ordenadores de sobremesa o portátiles en el mundo tienen instalado Windows 10, la última versión del sistema operativo, pero un considerable 26,62 % siguen usando Windows 7.

El resto lo componen fundamentalmente usuarios de ordenadores Mac con sistemas operativos de Apple, de Windows 8 y 8.1 (unos sistemas intermedios entre el 7 y el 10 que nunca gozaron de gran popularidad), Linux y un 2 % de usuarios que se resisten a abandonar Windows XP, pese a que Microsoft ya no ofrece apoyo para este software desde hace cinco años.

Según los medios especializados, la razón fundamental por la que tantas personas siguen usando Windows 7 es la satisfacción general de los usuarios con este sistema operativo, así como la mala acogida que Windows 10 tuvo en un primer momento entre parte de los clientes. ese a dejar de ofrecer asistencia técnica para Windows 7 al público en general, Microsoft seguirá dando apoyo a aquellas empresas y agencias gubernamentales que lo deseen y que estén dispuestas a pagar una gran cantidad de dinero por ello.

Además de hacer al sistema más vulnerable ante posibles ataques, dejar de prestar apoyo a un sistema conlleva, en la práctica, su progresiva desaparición del mercado, ya que otras compañías dejarán de fabricar productos compatibles con Windows 7, como por ejemplo navegadores de internet o programas de edición de vídeo y fotos.

Continue Reading

PodCastRST

Estas son las novedades de la PlayStation 5 de Sony

Published

on

Si algo funciona, ¿para qué cambiarlo? Sony se está guardando con mucho recelo las informaciones sobre su próxima consola de sobremesa, que llevará por nombre PlayStation 5 y que, por el momento, se conocen pocos detalles. La veterana firma japonesa ha querido calentar este lunes con un anuncio; el logo del dispositivo. De nuevo, no sufrirá demasiadas alteraciones y mantendrá el diseño de sus predecesores.

En el marco de la feria tecnológica CES 2020 que se celebra en Las Vegas (EE.UU.), la compañía ha desvelado el logotipo de su videoconsola de próxima generación que competirá contra la Xbox Series X de Microsoft. Ambas se lanzarán a finales de este año. Así, se ha podido conocer el logo que vendrá con fondo negro, las siglas PS y el nombre de la consola con la tipografía en blanco, en esta ocasión, con el número 5 en referencia a la quinta edición de esta plataforma lanzada originalmente hace veinte años.

Aunque todavía la empresa se quiere guardar más sorpresas para los próximos meses, sobre todo el diseño final de la plataforma, lo que ha querido anunciar a nivel técnico promete un gran rendimiento. La consola soportará sonido en 3D envolvente, una unidad de estado sólido (SSD) que mejorará la velocidad de escritura y la carga de juegos, será compatible con discos Blu-Ray en calidad Ultra Alta Definición. También se dejó patente que podrán utilizarse controles hápticos para mejorar la experiencia en determinados títulos.

La futura consola apostará por una arquitectura AMD con microprocesadores Ryzen de siete nanómetros y ocho núcleos, mientras que su empuje gráfico vendrá también proporcionado por AMD con tarjetas Radeon basada en la nueva (y potente) generación Navi. Una decisión que vendrá acompañada de un importante salto visual dado que soportará técnicas de renderizado llamado tipo «raytracing» -trazado de rayos, en español, que se apoya en un algoritmo informático diseñado para lograr un mayor realismo. Con ello, se favorecerá también a la calidad de audio.

Hasta la fecha, la PlayStation 4 la consola todavía vigente ha alcanzado unas ventas de 106 millones de unidades en todo el mundo, lo que le sitúa como la cuarta más vendida en la historia detrás de la PlayStation 2 (155 millones de unidades) o Nintendo DS (154 millones de unidades).

Otro de los detalles que han trascendido en los últimos meses tiene que ver con el sistema de control. Habrá un nuevo mando, llamado DualShock 5, que apostará por una tecnología háptica, retroalimentación táctil e introducirá un mecanismo adaptativo de sus gatillos, permitiendo así ajustar la resistencia de su presión en función de los videojuegos. Una de las cuestiones todavía sin resolver pero que parece constatarse es su retrocompatibilidad con títulos lanzados con anterioridad. Una de las grandes demandas de sus consumidores.

La compañía tiene previsto lanzar este nuevo hardware a finales del presente año. Con ella esperan «ofrecer el mayor y mejor contenido» y «experiencias únicas a los jugadores con una velocidad sin precedentes». Asimismo, Ryan presidente de Sony Interactive Entertainment ha informado de que el sistema de juegos digitales PlayStation Network ha alcanzado los 106 millones de usuarios activos mensuales. También ha compartido que se han vendido en todo el mundo 1.150 millones de juegos y el servicio PS Plus cuenta con 38,8 millones de suscriptores.

Continue Reading

Trending

Copyright © 2017 Zox News Theme. Theme by MVP Themes, powered by WordPress.