¿Cómo consiguen los delincuentes cambiar los criptomonedas por moneda corriente?

Parte del éxito del ransomware radica en que las transacciones con criptomonedas son anónimas y permiten el intercambio de fondos sin dejar huella.

Una vez conseguidos los rescates, ¿cómo consiguen canjearlos por moneda corriente (léase euros, dólares, etc.) sin ser detectado? De acuerdo al informe realizado por tres investigadores de Google y presentado en BlackHat [PDF], más del 95% de todos los pagos recibidos fruto de ataques de ransomware desde 2014 han sido cambiados usando el sistema de cambio de criptomodenas ruso BTC-e.

De acuerdo al reporte, estudiaron 34 familias de ransomware y los investigadores estiman que al menos 20.000 personas hicieron pagos en los últimos dos años, con un costo de U$S 25 millones, aunque el total de pago real es probablemente mucho mayor. 

Trazando el camino de las criptomonedas

Los investigadores de Google han seguido el camino de las criptomonedas paso a paso analizando los tipos de ataques ransomware llevados a cabo los últimos dos años que han supuesto que los ciberdelincuentes se hicieran con al menos U$S25 millones:

1. Las familias de Ransomware más dañinas: Locky y Cerber son, de acuerdo al estudio, las familias de ransomware que más beneficios han reportado a los delincuentes.
2. Los lugares favoritos para comprar bitcoins: la mayor parte de las víctimas de los ciberataques necesitan comprar bitcoins para pagar los rescates y lo hacen principalmente usando LocalBitcoins, Bithumb y CoinBase. En estas plataformas el 90% de las víctimas pagan utilizando una sola transacción.
3. La plataforma de cambio de bitcoins: más del 95% de las cantidades en criptomoneda se cambió en la plataforma BTC-e, operativa desde el año 2011.
4. Empleo de Necurs para distribuir el ransomware de manera masiva: Necurs es un malware (troyano) que ataca los dispositivos con sistema operativo Windows. Los ordenadores infectados con este malware pasan a ser parte de una botnet (red de ordendores zombi) que distribuyen el ransomware a nivel masivo. 
5. Los surcoreanos son impactados desproporcionadamente por las campañas de y el análisis revela que U$S 2,5 millones de los U$S16 millones en pagos de ransomware rastreado por los investigadores fue pagado en Corea del Sur. 
6. Solo el 37% de los usuarios realiza backup

Justo dos días antes de que se publicara el informe de Google, realizado en conjunto con la New York University y la University of California San Diego, uno de los fundadores de BTC-e, Alejandro Vinnik, fue arrestado por la policía griega acusado de blanquear $4.000 millones en bitcoins.

Fuente: CiberSecurity

Seguir leyendo...

Porqué en Antiphishing.com.ar identificamos phishing tan rápido

Es bastante común que nos consulten cómo desde Antiphishing.com.ar encontramos sitios de Phishing de forma temprana y cómo llevamos adelante el proceso de seguimiento y baja. Este post tiene como objetivo aclarar algunas consideraciones respecto a estas consultas.

Es importante descacar que en este caso solo nos centraremos en indentificar casos de sitios falsos sin correos elecrónicos e incluso antes de que el delincuente comience a propagarlos públicamente.

Desde Google hace tiempo han llevado adelante las políticas referidas a Certificate Transparency de los certificados digitales, lo cual desde ElevenPaths han profundizado y en cual nos bazamos para encontrar sitios HTTPS recien registrados.

Primero, StreamingPhish es una herramienta que identifica posibles sitios de phishing mediante la extracción de datos en certificados recientemente registrados. Con esta herramienta es posible descubrir sitios de phishing antes de que esten listos para ser publicados hacia las víctimas. Además, es posible identificar el sitio falso recien registrado y hasta horas después de registrar el certificado digital. Luego, de este primer descubrimiento, a veces, es posible encontrar más de un sitio alojado en mismo servido y en otros directorios del mismo.

Por ejemplo, en este caso se encontró un sitio HTTPS masterconsultas-secure[.]com y, a partir de este se pudo encontrar su homólogo secure-masterconsultas.com[.]com.

Una vez identificados los sitios, es posible rastrear el registro del dominio y de los DNS y, a partir de ahí, reportar el incidente a la entidad registrante, quien en última instancia será el responsable del bloqueo definitivo y eliminación del registro de DNS y/o del sitio web falso.
Por ejemplo, en este caso masterconsultas-secure[.]com tiene sus DNS registrados en una empresa denomida "MOCHAHOST", el cual dio de baja los sitios dañinos después de varios intercambios con ellos:

Este procedimiento fue el llevado a cabo por ejemplo, para descubrir de forma temprana el siguiente sitio falso de Apple. El dominio posteriormente fue dado de baja en pocos minutos.

La economía de phishing tiene muchos y pequeños delincuentes con poca o ninguna habilidad previa. Estos jugadores aprenden de delincuentes más grandes que venden kits e infraestructurax orientadas al cibercrimen. En la parte superior de la cadena hay algunos profesionales que producen kits cada vez más sofisticados para la venta o los utilizan para sus propios fines más específicos.

Afortunadamente, cada vez hay más herramientas disponibles que permiten acceder a los datos de registro de los sitios y los certificados digitales y permiten detectar nuevos sitios sospechosos. Estos proyectos, incluyen Phishing Catcher, StinkyPhish y StreamingPhish que a su vez emplean Certstream, una base de datos en tiempo real de los registros de transparencia de certificados de las principales autoridades certificadoras (CA).

Algunos otros recursos que se pueden utilizar:

• Certificate Transparency Log
• x0rz Phishing Catcher, permite detectar sitios de Phishing en tiempo rea
• Calidog Security, creadores de Certstream
• Phishing Regex Resource, lista de palabras comunes en sitios de phishing creada por SwiftOnSecurity.
• PhishTank, listado de sitios de phishing.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Perú: varios bancos sufren un ataque de ransomware

Actualmente los Perú los bancos Interbank y Scotia Bank sufren un ataque de ransomware que dejó sus servicios caídos.

Mientras que BBVA recibió un intento de ataque de ransomware que fue rápidamente contenido y sus servicios se encuentran funcionando con normalidad.

La Asociación de Bancos del Perú (Asbanc) se pronunció mediante un comunicado luego de los reportes que registraron usuarios sobre los sistemas bancarios. “Se informa que como parte de su labor de velar por el óptimo funcionamiento del sistema financiero nacional, detectó que desde las 3 de la mañana de hoy se venían realizado una serie de ataques cibernéticos contra distintos agentes del sistema financiero mundial”, publicó.

A través de WhatsApp, usuarios advertían de la posible infiltración de ladrones a las cuentas de algunos bancos en el Perú. Por este motivo, se alertaba a los clientes de dichas entidades financieras que eviten realizar transacciones en línea hasta que se solucione este "ataque".

Declaraciónes de los bancos afectados

Scotiabank aseguró que en las siguientes horas se pronunciarán sobre el tema mediante un comunicado oficial a sus clientes. De la misma forma, el banco Interbank se comprometió a responder en breve.

BBVA Continental dijo que el sistema de su banco se encuentra funcionando de forma correcta y que no registraron fallos durante el día.

Los usuarios de Interbank reportaron que el sistema de dicho banco ha estado fallando en el transcurso del día. Hasta el momento, la entidad financiera no ha dado detalles de lo sucedido.

El BBVA Continental manda bloquear todod los puertos USB

El BBVA Continental envío un mensaje a todos sus colaboradores para informarles que procederán con el bloqueo de todos los puertos USB de las máquinas de su sede central y red de oficinas hasta nuevo aviso.

El banco nación de Perú manda un mensaje de alerta

Poco después empezaron los ataques de Phishing

Después de que mucha gente se quedará sin servicio se empezó a ver una campaña de Phishing masivo que intenta suplantar a los bancos.

Poco después la empresa de seguridad Secure Soft dio recomendaciones a los peruanos para no ser víctimas de posibles ataques.

Fuente: TecnoNucleous

Seguir leyendo...

Curso Online #OWASP Top 10 - ÚLTIMA edición del año, con beneficio especial para lectores!

El OWASP Top 10 es un documento orientado a la concienciación que establece un ranking de los mayores riesgos de seguridad a los que hacen frente las aplicaciones web. Esta clasificación nace del consenso de múltiples expertos en seguridad en aplicaciones web, y es actualizada cada 3 o 4 años desde 2003.

En este caso el curso es brindado por Lic. Cristian Borghello, uno de los traductores de la versión OWASP 2017 a español. 

⚠️ Atención! ⚠️
Descuento especial para nuestros lectores!
Para acceder a este beneficio, debes mencionar a SEGUINFO en el campo Organización al momento de solicitar info del curso.

Modalidad: Clases pregrabadas (en diferido) + Respuestas a preguntas por videos y foros.

Fecha y hora: Los dias Lunes y Miércoles desde el 20 de Agosto hasta el 5 de Septiembre a las 19hs se habilitará una nueva clase. El alumno podrá visualizarla indefinidamente hasta la fecha de finalización del curso.

Duración: 6 clases de 2 horas cada una (12 horas en total) + 6 horas de actividades extra

Audiencia: Desarrolladores, administradores de bases de datos, líderes de proyecto, analistas de sistemas y personas vinculadas al análisis, diseño, arquitectura y desarrollo de aplicaciones.

Objetivos: curso está orientado a conocer las 10 vulnerabilidades consideradas críticas en el update 2017 por OWASP así como la forma de analizarlas, explotarlas y solucionarlas desde el inicio hasta la implementación de cualquier proyecto de desarrollo de aplicaciones. Además, se analizarán las principales vulnerabilidades relacionadas a las aplicaciones móviles y al OWASP Mobile Security Project.

Finalizado el curso, el asistente será capaz de:

• Conocer y entender las 10 vulnerabilidades consideradas críticas por OWASP
• Entender las amenazas y vulnerabilidades a las que está expuesta cualquier aplicación
• Reconocer y detectar de manera proactiva las falencias del desarrollo de las aplicaciones
• Identificar vulnerabilidades en aplicaciones en forma manual y con herramientas
• Aplicar las contramedidas necesarias para aumentar la seguridad de las aplicaciones

Certificación: se entregarán certificados de asistencia o aprobación (en caso de superar los exámenes correspondientes) avalados por la Universidad Tecnológica Nacional.

Material a entregar: Presentaciones utilizadas durante el curso en formato digital.

Solicitar Información e Inscripción

Seguir leyendo...

Pornografía en la aplicación Live de PlayStation 4

Imágenes con contenido inapropiado para menores de edad aparecieron en la sección Tendencias de la plataforma . ¿Quién modera los contenidos y cómo evitar que vuelva a ocurrir?

Según datos de 2017, revelados por el sitio de pornografía más grande en internet, PornHub, PlayStation 4 (PS4) es la consola de videojuegos que genera más tráfico en su web. La siguen Xbox One, Wii U, PS Vita, 3DS y Wii. En este caso, los usuarios eligen el soporte gamer para mirar ese tipo de contenido.

Sin embargo, en las últimos días se dieron a conocer fotos que muestran cómo diferentes imágenes pornográficas aparecen en la aplicación Live de PS4 (una especie de red social de jugadores para compartir jugadas y ver transmisiones en vivo, entre otras funciones). Así, contenido adulto podría ser visto por menores de edad.

De acuerdo a información que dio a conocer el sitio para gamers, Kotaku, el pasado fin de semana, el DJ Gabe Montez publicó unas fotos en su cuenta de Twitter que mostraban una foto de una conejta de Playboy, y dos personas desnudas durante una relación sexual. Las imágenes se ubicaban entre capturas de Fortnite y memes de Dragon Ball FighterZ.

Todo se encontraba en la sección Tendencias de Live. ¿El problema? Los hijos menores de Montez estaban viendo esos contenidos junto a su padre.
Tiempo después, la foto de las personas practicando sexo fue bloqueada pero otras imágenes aún no.

"PlayStation se compromete a brindar una experiencia on line satisfactoria para todos los usuarios. Si recibís un mensaje inapropiado o contenido que infrinja los Términos de servicio de PlayStation Network, podés presentar una denuncia por medio de la consola PS4, la consola PS3, el aparato PS Vita, y la PlayStation App", aseguran desde PlayStation en la sección Soporte de su plataforma.

PlayStation recomienda reportar y bloquear usuarios inapropiados o abusivos.

Responsabilidad humana y algorítmica

"Las distintas plataformas de publicación vienen luchando en contra de esto de distintas maneras. La que más hizo una persecusión y una adaptación a la manera de presentar los contenidos, y a los términos y condiciones de uso, fue la plataforma de live streaming para videojuegos, Twitch, que es como el Live de PS4", explica a Infobae Pablo Palacios, coordinador de la línea Competencias de la FUNDAV (Fundación Argentina de Videojuegos).

Continúa: "Las empresas, lo que suelen hacer, es contratar fuerza de trabajo, que se dedique a monitorear contenidos, se dedican horas y horas a filtrar contenidos y generar nuevas medidas de seguridad". Lo más difícil hoy, asegura, es moderar la instantaneidad que caracteriza la subida de contenidos.

"Live es una plataforma para usuarios de más de 13 años. La empresa tiene que encontrar la forma, la metodología, los algoritmos, la programación, el desarrollo o la moderación humana, para filtrar estos contenidos. Lo de PS4 llamó la atención porque fue muy fácil burlar sus medidas de seguridad y la plataforma es muy masiva", asegura.

"Creo que PlayStation pensó que no les iba a pasar. Es una consola familiar y eso la hace diferente a plataformas como Youtube o Twitch. Sin embargo, por como es la humanidad, o los adolescentes, en realidad, es lógico que esto ocurra", sostiene Palacios.

Finalmente, el experto en gaming habla de responsabilidad compartida, de la empresa y los padres, quienes tienen un rol muy importante en la moderación de contenidos.

Fuente: Infobae

Seguir leyendo...

59% de las empresas de Reino Unido afectadas por Cryptojacking

Hasta un 59 por ciento de las empresas del Reino Unido se han visto afectadas por malware de cryptojacking en algún momento. Aproximadamente la mitad de esos casos tuvieron lugar el mes anterior, informa el medio de comunicación Internet of Business el 15 de agosto, citando una investigación encargada por Citrix. El cryptojacking emplea los recursos computacionales de sus víctimas sin su permiso para minar criptomonedas para el atacante. Esto conduce a un aumento inútil en el consumo de energía eléctrica y la desaceleración de los dispositivos afectados.

Se le preguntó a 750 ejecutivos de TI de empresas del Reino Unido que cuentan con más de 250 empleados sobre su experiencia con los ataques de criptojacking.

La investigación afirma que el 59 por ciento de los encuestados dijeron que habían sido afectados con malware de cryptojacking en algún momento. Al menos el 80 por ciento de esos casos tuvieron lugar en los últimos seis meses.

El treinta por ciento de todas las compañías encuestadas han dicho que se vieron afectadas tan solo el mes anterior.

En términos de escala, el 60 por ciento de los encuestados dijeron que se habían alcanzado hasta 50 dispositivos en su empresa, mientras que en el 11 por ciento de los casos el número aumentó a 100.

Después de que se descubre un ataque, hasta el 67 por ciento de las compañías cuentan con políticas formales para lidiar con éste —un número sorprendentemente alto para una amenaza emergente como el criptojacking, señala Internet of Business.

La amenaza de cryptojacking es muy real para las empresas y las personas en todo el mundo, con la cantidad de ataques aumentando en un impresionante 629 por ciento en el primer trimestre del 2018, según un informe anterior de la firma de seguridad McAfee Labs.

Aunque el interés en este vector de ataque se ha estabilizado en el segundo trimestre del año —principalmente debido a la disminución en los precios de las criptomonedas— el malware aún es omnipresente, en un caso incluso se entregó a las víctimas a través de un videojuego en el mercado Steam.

Fuente: CoinTelegraph

Seguir leyendo...

Synthetic Click: vulnerabilidad Zero-Day en macOS High Sierra

El popular director de investigación de Digita Security, Patrick Wardle, ha descubierto una vulnerabilidad Zero-Day que podría permitir a los atacantes imitar los clics del ratón para obtener acceso al kernel en el sistema operativo macOS High Sierra.

Wardle ha presentado su descubrimiento en DEFCON que se ha celebrado en la ciudad, donde ha explicado que utilizando dos líneas de código ha encontrado una vulnerabilidad Zero-Day en macOS High Sierra que podría permitir a un atacante local hacer clic sobre un aviso de seguridad para luego cargar una extensión del kernel, pudiendo de esta manera comprometer el sistema completo.

Apple tomó en el pasado medidas contra la posibilidad de que se imiten los clics del ratón mediante la implementación avisos de seguridad que se muestran al usuario cuando se intenta llevar a cabo tareas que pueden poner en riesgo el sistema. Sin embargo, Wardle ha conseguido saltarse dichas medidas a través la explotación del fallo que ha descubierto. Para llevar con éxito el ataque, ha demostrado ante el público que un atacante local con altos privilegios podría apoyarse en vulnerabilidades presentes en extensiones del kernel de terceros para saltarse los requisitos de firma de código del kernel de High Sierra.

El gigante de Cupertino ya ha reaccionado ante los fallos descubiertos por Wardle implementando en las siguientes versiones de macOS una nueva característica de seguridad llamada "Carga de la extensión del kernel asistida por el usuario" (User Assisted Kernel Extension Loading), la cual fuerza a los usuarios a tener que aprobar manualmente la carga de cualquier extensión del kernel mediante la pulsación sobre el botón Permitir en la interfaz gráfica correspondiente a los ajustes de seguridad. A esto se añaden mitigaciones adicionales para evitar los eventos de ratón sintéticos (como hacer clic con el botón principal del ratón).

La base del fallo está en que macOS High Sierra interpreta dos eventos sintéticos consecutivos de pulsación del ratón como si fuesen una aprobación manual, ya que el primer evento es interpretado como una pulsación y el segundo como un levantamiento del dedo. Esto fue descubierto por Wardle de forma accidental, mientras copiaba y pegaba sin querer por dos veces el código para realizar una pulsación de ratón. Según el investigador, el fallo solo afectaba a High Sierra debido a la implementación de la Carga de la extensión del kernel asistida por el usuario en versiones posteriores del sistema operativo de Apple.

No es la primera vez que se detecta un serio problema de seguridad en High Sierra, ya que en noviembre del año pasado un investigador descubrió que dicha versión de macOS permitía el acceso como administrador sin necesidad de introducir una contraseña, incluso en caso de estar establecida.

Fuente: Security Affairs

Seguir leyendo...

Faxploit: comprometer la red enviando un... Fax

¿Qué es lo máximo que puede hacer un atacante remoto solo teniendo tu numero de Fax?

Te lo creas o no, tu número de fax es suficiente para que un delincuente gane el control total sobre el mismo y posiblemente infiltrarse y acceder al resto de la red local conectada a ella.

Los investigadores de seguridad de Check Point han revelado detalles de dos vulnerabilidades de ejecución de código remoto (RCE) en los protocolos de comunicación que usan más de diez millones de faxes de forma mundial.

Bueno, el Fax no es una cosa del pasado. Con mas de 300 millones de números de fax y 45 millones de Faxes en uso mundialmente, el Fax sigue siendo popular entre empresas, despachos de abogados, bancos e inmobiliarias.

Como hoy en día muchos fax están integrados en impresoras todo en uno, conectadas a una red WiFi y a una linea de teléfono, un atacante remoto simplemente tiene que mandar una imagen especialmente diseñada al fax para explotar las vulnerabilidades reportadas y tomar el control de la red de una empresa o de un hogar.

Todo lo que el atacante necesita para explotar las vulnerabilidades, es el número de Fax, el cual puede ser fácilmente encontrado en la web de la empresa o pidiéndolo directamente.

Bautizado como Faxploit, el ataque hace uso de dos vulnerabilidades de Buffer Overflow, con el identificador CVE-2018-5925 y CVE-2018-5924, que dan lugar a la ejecución de código remoto.

Para hacer una demo del ataque, el lider equipo de investigación de malware de Check Point, Yaniv Balmas y el investigador de seguridad Eyal Itkin usaron la gama popular de impresoras todo en uno de HP, Officejet Pro, concretamente los modelos 6830 y 8720.

Como se muestra en el video, los investigadores envian una imagen con un payload malicioso mediante la linea telefónica, y tan pronto como el fax la recibe, la imagen es descifrada y subida a la memoria del fax.

En este caso, los investigadores usaron el conocido exploit de la NSA, EternalBlue y Double Pulsar, para tomar el control sobre la maquina conectada y después extender el código malicioso a toda la red.

De acuerdo con los investigadores de Check Point, los atacantes pueden embeber en la propia imagen malware, como ransomware, mineros, o herramientas de control remoto, dependiendo de sus objetivos de interés o motivos.

Los investigadores de Check Point pusieron en conocimiento estas vulnerabilidades a Hewlett Packard, la cual arreglo los fallos en sus impresoras todo en uno lanzando un parche, que esta disponible en la página de soporte de HP.

Sin embargo, los investigadores creen que las mismas vulnerabilidades pueden afectar a más fabricantes que posean en su catalogo este tipo de impresoras o otros tipos de implementación, como servicios de fax a email, faxes individuales, y más.

Fuente: THN

Seguir leyendo...

Marcapasos Medtronic siguen siendo vulnerables

Los marcapasos de la empresa Medtronic -se sabe- no tienen ningún esquema de cifrado para asegurarse que las actualizaciones de su firmware sean verificadas y esto podría, potencialmente, hacer que los hackers instalaran remotamente software malicioso que pudiese amenazar la vida de los pacientes, indicaron investigadores de la seguridad informática.

En Black Hat, que se lleva a cabo en Las Vegas, Nevada, los investigadores Billy Ríos y Jonathan Butts, dijeron que ya habían advertido a Medtronic sobre ciertas vulnerabilidades en el 2017. De hecho, para probar sus descubrimientos, demostraron ahora un hackeo que compromete el programador CareLink 2009, un dispositivo que usan los doctores para controlar los marcapasos que implantan en sus pacientes.

El problema es que el programador no manda conexiones cifradas por HTTPS y además, el firmware no está firmado digitalmente, los investigadores fueron capaces de ejecutar un programa malicioso en el firmware que sería muy difícil detectar por los médicos. A partir de esto, los investigadores dijeron que el marcapasos comprometido podría enviar señales equivocadas al corazón, lo que podría poner en riesgo la vida de los pacientes.

"La respuesta del fabricante es muy pobre", dijo Ríos. "No estamos hablando de un videojuego en línea donde se pueden modificar las puntuaciones más altas de forma ilegal". En un correo por parte de Medtronic, el representante indicó que existen controles para mitigar el problema planteado, Ríos y Butts no están de acuerdo y dicen que su hackeo se mantiene viable.

Un hackeo en particular explota las vulnerabilidades de los sistemas servidores de software que Medtronic usa en su red interna. Examinando la manera en el que el programador se comunica con sus dispositivos, Ríos y Butts fueron capaces de entender cómo un hacker podría unirse a una red privada virtual y modificar maliciosamente el proceso de actualización. Debido a que el hackeo compromete los servidores usados en la producción y que son propiedad de Medtronic, los investigadores jamás intentaron meterse a estos sistemas por los consecuentes problemas legales. El jueves pasado en su demostración, comprometieron un programador que compraron en eBay por lo que no hubo ningún paciente real que estuviese en riesgo.

Ríos, quien trabaja en la firma de seguridad WhiteScope, y Butts, de QED Secure Solutions, demostraron un hackeo separado ese mismo jueves, contra una bomba de insulina de Medtronic. Usando un hackeo de RF (radio frecuencia) de 200 dólares, mandaron instrucciones a la bomba para mandar dosis de insulina a placer cuando ellos quisieran.

Medtronic indicó que el hackeo a su bomba de insulina trabaja solamente en las bombas antiguas y solamente cuando se cambia la configuración inicial a la posibilidad de poder tener funciones remotas. El representante dijo que el hackeo contra los marcapasos ya ha sido tomado en cuenta y Medtronic ha trabajado en el siguiente comunicado:

"El año pasado la firma de seguridad WhiteScope notificó a Medtronic las vulnerabilidades potenciales del programador CareLink 2090, así como de su red que contiene el software para enviar las actualizaciones de software. Hemos medido el potencial de las vulnerabilidades y tuvimos ya un consejo de ICS-CERT a partir de febrero, en donde fue revisado el cambio para protegernos del problema, aprobado por la FDA, ICS-CERT y WhiteScope, inclusive.
...
Medtronic recomienda a sus clientes que sigan las guías de seguridad del manual de referencia del programador Medtronic 2090 CareLink.
...
Medtronic está comprometido con la transparencia y la colaboración de sus socios de negocios y de la comunidad regulatoria. Soportamos la guía que nos dé la FDA en este sentido".

Ríos y Butts sin embargo, continúan criticando a Medtronic por la cantidad de tiempo que ha pasado desde que les avisaron de las vulnerabilidades y concluyen: "En este momento, como investigadores de seguridad, creemos que los beneficios de estos implantes médicos sobrepasan sus riesgos. Sin embargo, cuando los fabricantes actúan como Medtronic, es difícil confiar en ellos".

Fuente: UnoCero

Seguir leyendo...

Ataque Man-in-the-Disk deja expuestos a miles de dispositivos Android

Investigadores de seguridad de Check Point Software Techonologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que puede permitir potencialmente a los atacantes infectar de forma silenciosa los smartphones con apps maliciosas o lanzar ataques de denegación de servicio desde los mismos.

Con el nombre de Man-in-the-Disk (MitD), este ataque toma ventaja sobre la forma en la que las aplicaciones de Android hacen uso del "Almacenamiento externo" para guardar datos relacionados con la app, los cuales si son modificados pueden resultar en una inyección de código en el contexto privilegiado de la aplicación objetivo.

Hay que tener en cuenta que las aplicaciones en Android pueden guardar sus recursos en dos lugares distintos del dispositivo, almacenamiento interno y externo.

La propia Google ofrece pautas a los desarrolladores de aplicaciones Android instandoles a usar el almacenamiento interno, el cual es un espacio aislado y destinado para cada aplicación, protegidos usando la propia sandbox integrada de Android, para guardar archivos sensibles o datos.

Sin embargo, los investigadores han visto que muchas apps populares están usando el almacenamiento externo, el cual no esta protegido y puede ser accedido por cualquier aplicación que este instalada en el dispositivo.

Este ataque funciona de forma similar a un MitM, ya que se necesita interceptar y manipular los datos entre el almacenamiento externo y una aplicación, la cual si se realiza cuidadosamente, puede llevar a resultados muy dañinos.

Por ejemplo, los investigadores vieron que el navegador web de Xiaomi descarga la ultima versión en el almacenamiento externo del dispositivo antes de instalar la actualización.

Como la propia app falla en validar la integridad de los datos, el código legitimo de la actualización de la app se puede reemplazar por uno malicioso.

De esta forma, los atacantes pueden ponerse en esta posición, desde la cual, pueden monitorizar los datos transferidos entre cualquier otra app en el propio smartphone del usuario y el almacenamiento externo y sobrescribirlo con su propia versión maliciosa para manipularlo o crashearlo.

El ataque puede ser también utilizado para instalar otras aplicaciones maliciosas en segundo plano sin conocimiento del usuario, las cuales pueden ser utilizadas para realizar escalada de privilegios en el terminal y obtener acceso a otras partes del dispositivo Android, como la camara, el microfono, la lista de contactos y mas.

Entre las apps que los investigadores han comprobado estan Google Translate, Yandex Translate, Google Voice Typing, LG Application Manager, LG World, Google TTS y Xiaomi Browser.

Google, la cual no sigue sus propias directivas de seguridad, ha arreglado varias de sus aplicaciones afectadas y esta en proceso de arreglar otras apps vulnerables.

Los investigadores también han contactado a los desarrolladores de otras aplicaciones vulnerables, pero algunas, como Xiaomi, han decidido no arreglar el fallo.

Los investigadores solo han testeado un pequeño numero de aplicaciones, pero se cree que afecta a mas aplicaciones Android, dejando a muchos usuarios de Android expuestos a ciberamenazas.

Fuente: THN

Seguir leyendo...