Archivo de la etiqueta: fallo

La seguridad de la Super Bowl demuestra que no se deben escribir las contraseñas aprendetelas

La Super Bowl es un evento donde participan una gran cantidad de personas, según mi fuente 82.529 personas. Esto significa para la seguridad un punto muy importante, por aquello si alguien intenta hacer un atentado.

Pero lo mejor es que cuando tienes helicópteros sobrevolando el estadio, cazas F-16 listos para intervenir,  4.000 agentes de seguridad, y cientos de cámaras de vigilando todos los ángulos, y encima una especie de bunker para que la CBS trasmitiera todo sin problemas.

Entonces ocurre lo que ven en la siguiente imagen, que se aprecia una captura de pantalla que contiene usuario y password de la WiFi ahí en grande y bien legible. Acaso a los encargados de seguridad IT no les han enseñado que las contraseñas se aprenden, no se copian en posit y menos en capturas de pantallas.

Evidentemente todo lo han resuelto al momento, pero que tal si un atacante estaba listo para hacer chorradas en el evento, y estaba intentando ingresar por fuerza bruta se encuentra esto y simplemente ingresa hasta de forma legal.

Son aquellas cosas que te dejan pensando cuanto falta aprender incluso a los que se dicen expertos de seguridad informática.

Vía: Sports.yahoo

El sensor de huellas del nuevo iPhone 5s falla si tienes los dedos sudados

Los de Cupertino han incorporado un sensor de huellas dactilares al iPhone 5S, uno de los grandes cambios del dispositivo, sin embargo la gente de Apple ha admitido que “Touch ID” nos es precisamente perfecto y su defecto radicaría en su sensibilidad ante los dedos sudados.

Compañías encargadas de probar el sensor en el equipo han descubierto que no responde bien si tus dedos se encuentran sudados, con crema o impregnados de otros líquidos, esto según lo confirmado por un portavoz de Apple ante The Wall Street Journal.

Adicionalmente tampoco es muy responsivo si tu dedo tiene alguna cicatriz. Sin embargo la misma gente de Apple ha confirmado que estos detalles podrán resolverse pronto y que siempre se puede usar otro dedo en el escáner.

El sensor para leer huellas digitales no es una tecnología nueva, pero su aplicación en el smartphone de Apple tiene el toque novedoso por todas las funciones que ofrece, relacionadas con la seguridad del dispositivo que busca disminuir los robos de los teléfonos, además de buscar una manera más segura de interactuar con el iPhone.

Vía: Cnet

Vulnerabilidad en Google Drive podría ser utilizada para Pishing

Google aunque tiene muchos mecanismos de seguridad en sus servicio, no esta libre de agujeros de seguridad y eso precisamente es lo que ha encontrado Ansuman Samantaray.

Samantaray afirma que existe una forma de ejecutar sentencia JavaScript en la vista previa de los documentos de Google Drive, lo cual permitiría ataques de Phishing o propagación de Malware.

Así que cuando un usuario de Google drive sube o crear un archivo en el servicio, existe un parámetro llamado “export” en la URL que es igual a “download” por defecto.

https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=download

Samantaray encontró que si un hacker cambia “export” por “view”, y el documento tiene un script, Google ejecuta el código en el navegador.

https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=view

“Cualquier usuario de Internet puede escribir scripts maliciosos y guardarlo en un documento, para luego enviarlo por correo electrónico a una víctima y que se ejecute el código en su navegador” dijo Samantaray a The Hacker News.

Para demostrarlo hay un archivo en Google Drive para descargar, tal y como se ve en la siguiente imagen:

file

Y otro donde se ha cambiado el parámetro para ver (ejecutando un script) para dejar en evidencia el fallo.

hacking google

El fallo presente en la función “Do Not Disturb” del iPhone estará hasta el 7 de Enero

Do Not Disturb

Año nuevo y bug nuevo para los usuarios de iOS 6, quienes reportaron desde el martes que la función “Do Not Disturb” comenzó a presentar fallas que hacían que la programación on/off dejara de funcionar, manteniendo encendido su bloqueo de llamadas, incluso cuando ya se había solicitado que no se hiciera.

Apple ya tomó cartas en el asunto y aseguran que ya está en camino el arreglo de esta falla y que estará listo para el próximo 7 de enero.

La página de soporte de Apple no especifica la razón de la fecha de arreglo, y no queda realmente más que esperar unos días más para que Apple al fin ofrezca una solución a Do Not Disturb –una de las famosas nuevas funciones de iOS 6– y sea funcional de nuevo.

Para aquellos adeptos a esta función, es recomendable activarla y desactivarla de manera manual mientras se corrige el fallo.

Vía: SlashGear

Facebook Midnight Delivery, presenta un fallo que permite ver los mensajes de cualquier usuario

Stories

Hace unos días os hable de Midnight Delivery una app que Facebook ha lanzado, para que deseemos Feliz año nuevo a nuestros contactos.

Pues la app tiene un agujero de seguridad, que permite a los usuarios visualizar los mensajes que han preparado para sus amigos. El fallo ha sido detectado por Jack Jenkins un estudiante de informática, y lo publico en su blog personal.

Según JJ todo lo que necesitas hacer es modificar el ID en la url, y así cuando un identificador existe entonces puedes ver el contenido del mensaje.(http://www.facebookstories.com/midnightdelivery/confirmation?id=76188).

Al parecer Facebook ya esta trabajando en el fallo, puesto que si intentas ingresar a la app dice que se encuentra en mantenimiento. Imagino que el chico lo reporto para obtener la recompensa que la red social paga por detectar estos fallos.

Alerta usuarios de Facebook Camera deben actualizar su app a la versión 1.1.2

La red social hace un tiempo que saco una app para iOS llamada Facebook Camera, y la misma seguramente es utilizada por muchos usuarios en el mundo.

Pues bien hace poco el investigador de seguridad Mohamed Ramadan reporto un fallo de seguridad de la app, donde demostró que un hacker podía hacerse con mucha información de los usuarios que utilizaban la app en un entorno WiFi.

Ante tal declaración de este experto de seguridad, facebook por una lado verifico que era correcto el fallo y puso manos a la obra para darle solución al mismo. Y ahora en un comunicado la gente de TechCrunch ha alertado de que deben actualizar esta app a la versión 1.1.2.

Si eres un usuario de Facebook Camera es mejor que la actualices, te dejo el enlace para que puedas hacerlo directamente desde la Apple Store.

Aparece un fallo de seguridad en la última versión de Instagram para iOS

http://i1-news.softpedia-static.com/images/news-700/Instagram-for-Android-Updated-to-1-0-2-with-Bug-Fixes.jpg
Se ha descubierto una vulnerabilidad en Instagram que podría permitir a un atacante el acceso no autorizado al contenido y descargar o eliminar las fotos sin el consentimiento de la víctima.
Instagram es una aplicación gratuita, disponible para iOS y Android, que permite aplicar una serie de filtros, efectos y marcos a las fotografías tomadas y enviarlas a diferentes redes sociales para compartirlas.
Instagram realiza las comunicaciones a través de conexiones HTTP y HTTPS, siendo el método de autenticación una cookie estándar que se envía sin cifrar al servidor cuando el usuario inicia la aplicación Instagram. Es posible interceptar esta cookie (mediante un ataque Man-in-the-Middle, por ejemplo, por parte de un usuario en la misma red local) para acceder al servidor suplantando al usuario legitimo y poder realizar acciones sobre el contenido, tales como descargarlo o eliminarlo.
Este fallo de seguridad ha sido descubierto por Carlos Reventlov quien, tras ponerse en contacto con el desarrollador el 10 de noviembre  y obtener una respuesta automática, ha publicado la información acerca de la vulnerabilidad junto a una prueba de concepto como demostración, capaz de obtener la cookie y eliminar las fotografías del usuario.
Se ha comprobado que la última versión de Instagram 3.1.2 para iOS es vulnerable, aunque también podrían estar afectadas otras versiones y plataformas. Por el momento no existe solución oficial.

Un albañil descubre cómo suplantar identidades en Facebook

Alfredo Arias un usuario habitual de las redes sociales y albañil de profesión, ha descubierto un fallo en Facebook que permite suplantar la identidad de cualquier usuario a través de los mensajes privados. Se trata de una “peligrosa vulnerabilidad” de la famosa red social, según explicó Arias quien es conocido con el alias de ‘Minipunk’ en internet.

Gracias a ella ha logrado usurpar su identidad a amigos o negocios, algo que podría provocar “problemas muy graves” en las manos equivocadas por permitir manipular los datos de cada perfil al que accede de forma muy sencilla, simplemente encontrando la dirección de correo electrónico que cada internauta tiene vinculada a la red social.

Después de poner el nombre de usuario, que se pretende reciba el mensaje, se rellena el formulario y el texto queda enviado como un mensaje privado, ya que en la red no se identifica como correo.

El Instituto Nacional de Tecnologías de la Comunicación ya tiene constancia de la existencia de la vulnerabilidad de Facebook e informó de que “adquiere mayor dimensión al integrarse con el ecosistema de la propia red social” pero que es un problema común que suele darse en todos los servicios de correo electrónico.
En la siguiente imagen tienen lo que sería un mensaje enviado con las variables a colocar:

Vulnerabilidad en facebook

En el blog Alfredo tiene los pasos a seguir con imágenes, yo hice la prueba y efectivamente funciona sin mayor complicación.

Y si necesitas un formulario puedes utilizar el creado por Iván Garcia ( Enviar mensajes de facebook como si fueras otro usuario).

La imagen que ven a continuación muestra precisamente la prueba que he realizado, aunque es cierto que sale un triangulo de advertencia, pero si lo consultas desde el móvil esto no sale.

Blackberry sufre un fallo a nivel mundial de sus servicios y deja off a millones de usuarios

http://www.forodefotos.com/attachments/moviles/13523d1283825142-modelo-de-blackberry-modelo-de-blackberry-ancho.jpg

Ayer por la mañana, los usuarios de los famosos dispositivos BlackBerry, al menos los que se encuentran en África, Europa y Oriente Medio, han sufrido incidencias y han tenido problemas con la conexión a Internet.

En un principio, los usuarios de BlackBerry, indignados ante las evidentes incidencias y los problemas que presentaba su smartphone a la hora de establecer una conexión a Internet, se lanzaron en estampida a publicar en la red sus quejas sobre sus respectivos operadores: Movistar, Vodafone, Orange

Sin embargo, el verdadero problema no tenía como raíz a los operadores, se trataba sin más de un problema que afecta a todo este tipo de dispositivos móviles, sin importar el operador.

Después de una auténtica oleada de quejas a través de difernetes redes sociales, la compañía confirmó que existía un problema. ¿Los motivos del problema? La compañía no ha querido o al menos no lo ha hecho, especificar a qué se debe la incidencia con sus dispositivos; se ha limitado simplemente a lamentar las molestias causadas y los inconvenientes provocados a sus clientes y a informar que están trabajando con el fin de solucionar el problema lo antes posible.

Fuente: T-Mobile UK

La cadena ${ es la forma de romper el formato de la página de búsquedas de google

Bueno si alguno de vosotros siempre pensó que google era la perfección y que no es posible romperle cosas, pues mira que a veces en lo más simple puedes encontrar fallos.

Para demostrar esto puedes colocar la siguiente cadena “${” en una búsqueda, y veras como la interface del buscador de google queda totalmente rota.

Ahí les dejo los deberes para que lo hagan, ciertamente imagino que esto daña alguna función de CSS pero mola que algo tan simple haga este daño de interface.

Fuente: StackOverflow