Archivo mensual: diciembre 2011

Inseguridad en WhatsApp

WhatsApp, el programa por erxcelencia en cuanto a la mensajeria directa entre móviles ( texto, imágenes, multimedia), iOS, Android, BlackBerry OS, y Symbian, con un gran crecimiento y expasión muestra sus debilidades en cuanto a seguridad.

 
 
Las vulnerabilidades que han sido reveladas son las siguientes: 
  • Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.
  • La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.
  • El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.
 
La empresa desarrolladora ha impuesto, como medida de protección ante la segunda vulnerabilidad, una limitación de 10 intentos para introducir el código enviado. Sin embargo no se ha pronunciado al respecto de las otras dos vulnerabilidades.
 
Más información:
 
SEC Consult SA-20111219-1 :: Multiple vulnerabilities in WhatsApp
Anuncios

¿ Que es el SMiShing ??

Según Wikipedia: El SMiShing es un término informático para denominar un nuevo tipo de delito o actividad criminal usando técnicas de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil. El SMiShing es una variante del phishing.

¿ Cómo se realiza ?

La forma de actuar es muy sencilla, un ciberdelincuente envía un SMS haciéndole creer al destinatario que ha sido el ganador de un sorteo o que ha realizado una compra costosa con la tarjeta de crédito (en realidad puede ser cualquier otra historia, pero estas son las más comunes) y le pide que se comunique con un teléfono que le proporciona, para hacer efectivo su premio o aclaración.

En esta comunicación, la víctima es guiada paso a paso por medio de engaños a realizar alguna acción definida por su atacante, que puede ir desde transferencia de dinero, a traspaso de minutos, o robo de información para suplantar su identidad.


La AEPD propone que en los colegios se enseñe a los menores a controlar su privacidad

Una buena iniciativa que nos acerca Portaltic.es

La Agencia Española de Protección de Datos (AEPD) hace un llamamiento “especial” a los poderes públicos, responsables de redes sociales, educadores y padres para que colaboren en la seguridad de la privacidad de los menores en el uso de Internet y propone que se incorpore a los planes de estudio el aprendizaje sobre el control de los datos personales de los niños en la Red.

Fuente: Portaltic.es

Ampliar la noticia: http://bit.ly/tgwhIX


El tablet PlayBook ¿hackeado?

  Tres ‘hackers’ aseguran haber aprovechado un fallo en el sistema del ‘tablet’ PlayBook de Research In Motion (RIM) para tener acceso al aparato como administradores, lo que podría dañar la reputación de seguridad que tanto le costó ganar al fabricante de BlackBerry.

   Tener acceso como administrador significa que un usuario tiene permiso para alterar cualquier archivo o programa en un aparato y que puede controlar funciones de hardware.

   RIM dijo que está investigando las declaraciones y que si se confirma la “liberación” de información se entregará un parche para cerrar la brecha.

Fuente: Portaltic.es

Ampliar la noticia: http://bit.ly/rClsjK


Importante Fallo de Seguridad en Facebook de Suplantación de Identidad

Hasta ahora, cuando un usuario de Facebook recibía un mensaje privado de uno de sus contactos, podía respirar tranquilo. Era, no cabía duda, un mensaje de su amigo. Sin embargo, existe un importante fallo de seguridad descubierto en España que permite suplantar identidades de forma sencilla.

El internauta leonés Alfredo Arias, ha destapado este error en Facebook, que permite suplantar identidades con unos pocos pasos. Publicó el fallo el pasado fin de semana en su blog y está empezando a extenderse como la pólvora.

   Con tan solo conocer la dirección de e-mail de dos contactos, el que supuestamente envía el mensaje y el que lo recibe, es posible enviar correos que aparecen en Facebook como mensajes privados y que parecen de un contacto fiable.

Fuente: Portaltic.es

Ampliar la información: http://bit.ly/vPjqzo