Android
Dos de las más grandes conferencias de seguridad y hacking del mundo se celebrarán la próxima semana en Las Vegas, Nevada. Estamos hablando Black Hat y DEF CON. Durante nuestro resumen semanal hablaremos de estos dos grandes eventos, pero también nos enfocaremos en las noticias más importantes de los últimos siete días.
Anticipo de la Conferencia Hacker
En las conferencias que tendrán lugar en Las Vegas, el experto en seguridad de Kaspersky Lab Vitaly Kamluk dará una presentación sobre la grave vulnerabilidad de Absolute Computrace, que ya había tenido un adelanto en la Cumbre de Analistas de Seguridad (SAS, por sus siglas en inglés), en Febrero pasado.
En otra exposición, el investigador de Seguridad Joshua Drake presentará una herramienta que podría revolucionar el estudio de la seguridad en Android. Esta herramienta, esencialmente, permitirá agrupar diferentes dispositivos de Android, para que los analistas puedan tener una visión integral de este vasto y heterogéneo sistema operativo. Otro informe interesante sobre Android lo brindará Jeff Forristal de Bluebox Security. Éste revelerá la presencia de una vulnerabilidad crítica en el sistema operativo de Google para móviles, que podría permitir que aplicaciones maliciosas imiten apps confiables, brindándole a un atacante la posibilidad de insertar un código malicioso en las apps legítimas o tomar el control del dispositivo infectado
En tanto, en el evento de DEF CON se presentará un concurso de hackeo de routers. El aparato a hackear será un router Wi-Fi SOHO. Las reglas están detalladas en el sitio web de SOHOpelessly. Los concursantes deberán identificar y demostrar su exploit zero-day durante la DEF CON. Se otorgarán premios, pero aún no se sabe en qué consisten.
Problemas para la red social más grande del mundo
Hubo buenas y malas noticias para Facebook esta semana. En primer lugar, el lunes pasado, un conglomerado de defensores de la privacidad de EEUU y Europa exigió que Facebook cese la puesta en marcha de su política de avisos publicitarios dirigidos. En el pasado, las campañas de avisos de Facebook estaban basados en su mayoría en las páginas que los usuarios seguían. El mes pasado, la red social anunció que les brindará a los usuarios un mayor control sobre los avisos que ven y que comenzarán a recolectar información sobre el comportamiento de los usuarios durante su navegación en la web.
El grupo que realizó el reclamo busca retrasar la implementación de este proceso de “minería de información” que planea Facebook. En este sentido, los activistas aseguran que el programa de publicidad de Facebook “contradice directamente los términos de privacidad establecidos”.
Por otra parte, Facebook solucionó una vulnerabilidad en su aplicación de Android que podía permitir que un atacante realice un rechazo de las condiciones de servicio en un dispositivo y, así, transferir grandes paquetes de datos desde el móvil del usuario. Por lo tanto, si utilizas la app de Facebook en Android, asegúrate de instalar la última actualización.
Durante esta semana también se supo que Instagram, el servicio para compatir imágenes de Facebook, no realiza una encriptación completa sobre sus comunicaciones. Debido a esto, los usuarios de Android y iOS están expuestos a que les roben sus cookies de sesión y su información de acceso. Tanto los representantes de Facebook como de Instagram están al tanto de este problema y aseguraron que solucionarían el inconveniente en el futuro, aunque aún no se ha precisado una fecha. Si quieres saber más acerca de esta noticia, síguela en Threatpost o en Kaspersky Daily.
Advanced Persistent Threats (APT)
Esta semana también se dio a conocer que hackers APT de China pusieron sus miras en contratistas de defensa involucrados en el desarrollo del sistema de defensa de misiles de Isarel “Iron Dome”. Según informaron las autoridades, los cibercriminales robaron esquemas detallados de un misil antibalístico, información sobre cohetes y documentos de mecánica importantes.
Por otra parte, otro grupo de hackers APT de China logró infiltrarse en una de las principales organizaciones de investigación y tecnología de Canada. Chris Brook de Threatopost explicó que el ataque fue tan nocivo, que la organización tuvo que reconstruir desde cero todo su sistema de seguridad. Las autoridades canadienses aún no se pronunciaron acerca de los detalles o las consecuencias del ataque.
Otras noticias
El senador Patrick Leahy (D-VT) presentó un proyecto de ley que apunta a reducir el poder de vigilancia de la NSA y, así, ponerle un fin a la recogida masiva de metadatos y la implementación de una mayor supervisión sobre el Tribunal de Vigilancia de Inteligencia Extranjera.
Por otra parte, WhisperSystems lanzó “Signal”, una aplicación para iPhone que permitirá a los usuarios hacer llamadas telefónicas encriptadas gratuitas. Finalmente, se dio a conocer la noticia de que, durante seis meses, un grupo de atacantes intentó des-anonimizar a los usuarios que utilizan los servicios ocultos de la red TOR.
Anticipamos las conferencias de Black Hat y DEF CON en Las Vegas y repasamos las noticias más importantes de la semana.
Tweet
Traducido por: Guillermo Vidal Quinteiro
Consejos