El Mundo

Apple ha recomendado a los propietarios de ciertos modelos de iPhone, iPad y Mac que actualicen el sistema operativo, que tiene una falla de seguridad que les permite tomar el control de estos dispositivos. Los afectados son iPhone 6 y posteriores, todos los iPad Pro, iPad de quinta generación y posteriores, y Mac, según los avisos publicados en el sitio web de Apple.

Según la firma Apple, en la versión antigua del software operativo, “una aplicación puede usar código arbitrario” con acceso indebido al dispositivo, lo que significa que un hacker puede realizar acciones sin autorización. “Esta posibilidad podría haber sido explotada activamente” por piratas informáticos, dice Apple, sin más detalles.

El fallo también es explotable a través de “contenido de Internet diseñado maliciosamente”, agrega el grupo de Cupertino (California).

Para abordar estas fallas, Apple insta a los usuarios a descargar la versión 15.6.1 del software operativo iOS para iPhone, su contraparte de iPadOS 15.6.1 para iPad y macOSMonterey 12.5.1 para ordenadores Mac. Las grietas de seguridad fueron reportadas, según Apple, por investigadores anónimos.

El gigante tecnológico ha hecho de la protección de datos personales y la ciberseguridad un leitmotiv. En abril de 2021, interrumpió el ecosistema del iPhone al obligar a las aplicaciones a preguntar al usuario si aceptaba la recopilación de datos sobre su uso de otras aplicaciones y en Internet.

Esta modificación del sistema operativo iOS ha privado de valiosas herramientas a aplicaciones muy dependientes de la publicidad, en particular Facebook o Snapchat, lo que ha perdido ingresos publicitarios.

Todos tenemos derecho a utilizar aplicaciones de citas independientemente de la orientación sexual de cada individuo. Y sin lugar a dudas Grindr es un referente obligado para la comunidad gay.

La variedad y gama de opciones afortunadamente es tan amplia que existe una app diseñada prácticamente para cada tipo de perfil.

Pero la realidad es que ninguna de ellas se ha escapado de duras críticas por el uso de los datos de sus usuarios y el respeto a la privacidad de los mismos.

Grindr comete un descuido fatal

Por desgracia Grindr acaba de ser expuesta como una plataforma que encima de todo permitiría que se roben la cuenta de cualquiera de la manera más absurda posible: con un simple clic derecho del mouse.

El investigador de seguridad digital francés Wassime Bouimadaghene encontró no hace mucho una serie vulnerabilidad en Grindr. Donde cualquiera podía robar la cuenta de usuario de quien quisiera si era lo suficientemente rápido.

Básicamente sólo era necesario conocer la cuenta de correo electrónico de la víctima, escribirlo en el apartado para recuperar contraseña, y al momento de recibir la ventana de confirmación de envío del enlace para reestablecer el password dar un clic derecho para explorar el código fuente del formulario.

Ahí, escondido entre todo, estaba el token de acceso para validar el ingreso a la cuenta sin la clave original.

De modo que sólo sería necesario copia el token, pegarlo en la URL de ingreso de Grindr y listo. Con ello se tenía acceso a la cuenta de la víctima y se podía cambiar la contraseña al momento.

El punto preocupante aquí es que Bouimadaghene notificó a la gente de Grindr sobre este serio problema de seguridad.

Pero en realidad fue ignorado hasta que editores de otras plataformas más occidentales como Have I Been Pwned y TechCrunch hicieron ruido sobre el riesgo.

La falla ha sido ya parchada y es imposible robar la contraseña con este método. La creencia es que nadie encontró el hueco antes de su arreglo.

Pero no es 100% seguro.

El Mundo

Un fallo en el tratamiento de imágenes de Instagram permite tomar el control de una cuenta de esta red social utilizando una sola imagen y acceder a la ubicación GPS, los contactos y la cámara del teléfono de la víctima, como ha descubierto una investigación de Check Point Research.

Investigadores de Check Point han detectado una vulnerabilidad crítica en Instagram, una de las redes sociales más populares con casi mil millones de usuarios en todo el mundo y más de cien millones de fotos compartidas cada día. Este fallo de seguridad permite al atacante poder tomar el control de la cuenta de Instagram de un usuario y realizar acciones sin su consentimiento, tales como leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta, como informan en un comunicado.

En concreto, los investigadores de Check Point señalan que han detectado el fallo de seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario. Y advierten de que el ciberatacante sólo necesitaría una única imagen maliciosa para conseguir su objetivo. El ataque se produciría mediante el envío de una imagen infectada a la víctima a través de correo electrónico o de un servicio de mensajería como WhatsApp.

La imagen queda guardada en el teléfono móvil y una vez el usuario abre la app de Instagram, automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad, lo que daría al atacante acceso total al teléfono. De esta forma, y como apuntan desde la compañía, se podría incluso llegar a bloquear el acceso a la cuenta a la víctima, lo que podría derivar en problemas como la suplantación de la identidad o pérdida de datos.

CONSEJOS DE SEGURIDAD

Desde la compañía advierten de que este tipo de aplicaciones suelen utilizar ‘software’ de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red. Sin embargo, el principal riesgo reside en que el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad en la aplicación en la que están implementados. En este sentido, la compañía de ciberseguridad recomienda a los desarrolladores que examinen las biblioteca de códigos de terceros y se aseguren de que su integración se realiza correctamente.

“El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil pasar por alto las graves amenazas que contiene”, indica Yaniv Balmas, jefe de Investigación de Check Point. Además, los investigadores señalan que la aplicación de Instagram también pide amplios permisos de acceso a otras funciones de los ‘smartphones’, por lo que esta vulnerabilidad permitiría a un cibercriminal convertir el dispositivo en un medio para espiar a la víctima, ya que podría acceder a los contactos, datos de localización, la cámara y los archivos almacenados en el teléfono. Por ello, aconsejan dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda.

“El típico mensaje que aparece para conceder permisos a una ‘app’ puede parecer una molestia, pero en la práctica esta es una de las líneas de defensa más fuertes contra los ciberataques móviles”, añade Balmas. Los investigadores de Check Point compartieron los hallazgos de su investigación con Facebook, propietaria de Instagram. El fallo ya ha sido subsanado, como informan, y se lanzó un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas.

El Mundo-Bruno Toledano

Chrome es el navegador de Internet más usado del mundo, tanto en ordenadores como en móviles, por lo que un fallo de seguridad crítico que puede llegar a afectara más 2.000 millones de sus usuarios es algo grave, cifra que puede ser más alta pues Chrome tiene el 64% de la cuota de mercado y desde 2016, cuando dijeron haber alcanzado esos 2.000 millones, no han compartido más la cifra total de usuarios.

La información que Google ha compartido sobre el error apunta a que se trata de un fallo tipo ‘use after free’, el cual permitiría ejecutar código malintencionado para hacerse con el control de la memoria del ordenador y perjudicar al usuario ejecutando, a su vez, programas sin control directo por el usuario. Y dado que Google considera este fallo como ‘crítico’, se puede deducir que no hace falta un acceso físico al ordenador (con una llave USB, por ejemplo) para aprovecharse del agujero de seguridad.

Google ya ha comunicado públicamente que el error existe, y aunque no ha dado más detalles sobre el mismo, en parte porque prefiere no atraer la atención de potenciales hackers; el arreglo ya está disponible para todos los usuarios. Basta con actualizar Chrome a una nueva versión.

En concreto, la versión tanto para Windows, Mac y Linux debería ser la 81.0.4044.113, tal y como informan en Tom’s Guide.

CÓMO COMPROBAR TU VERSIÓN DE CHROME

Independientemente de si usas Windows, Mac o Linux, comprobar la versión que se ejecuta de Chrome es bastante sencillo en todas ellas. Bastaría con hacer lo siguiente:

• Con Chrome abierto, pulsar en el icono de los tres puntos verticales que en la parte superior derecha del programa.
• En el menú que se despliega, desplazarse hasta ‘Ayuda’ y, en la pestaña que se abre al poner encima el cursor del ratón, pulsar sobre ‘Información de Google Chrome’.
• En la nueva ventana que se despliega, se puede observar el icono de Google Chrome y su nombre y, justo debajo, la versión. Si aparece que ‘Google Chrome está actualizado’ y, debajo, la versión es la 81.0.4044.113, estás protegido contra este virus.
• En caso de que tengas otra versión, lo más probable es que Chrome intente actualizarse y te pida reinicar el programa para empezar a funcionar con la última versión disponible. Si no lo intentara, comprueba que estás conectado a Internet y recarga la página pulsando F5 o pulsando en el icono de recargar página (arriba, a la izquierda, pegado a la barra de direcciones)

El Mundo

Un investigador de ciberseguridad ha utilizado el último fallo de seguridad de la aplicación de Twitter para Android para extraer 17 millones de números de teléfono de usuarios asociados a cuentas de la plataforma.

El pasado fin de semana, Twitter admitió una vulnerabilidad en su aplicación para dispositivos Android que permitía, a través de código malicioso, que un atacante pudiera hacerse con el control de una cuenta y acceder a información personal o publicar tuits. No obstante, la compañía aseguró no tener constancia de que se hubiera utilizado en ningún ataque.

Según recoge TechCrunch, el investigador Ibrahim Balic descubrió a través del uso de este fallo de seguridad que la función de contactos de Twitter permitía subir listas de números de teléfono y que de esta forma era posible obtener información de los usuarios.

De esta manera, Balic ha asegurado haber sido capaz de relacionar 17 millones de números de teléfono con sus respectivas cuentas de Twitter, después de haber aleatorizado más de dos mil millones de números de teléfono y haberlos subido a la app de Android de la plataforma.

Los números de teléfono, procedentes de países de todo el mundo entre los que se encuentran Israel, Turquía, Irán, Grecia, Armenia, Francia y Alemania, dejaron de ser accesibles desde el 20 de diciembre, cuando Twitter parcheó el error de su aplicación a través de una actualización.

Twitter envió notificaciones directamente a las cuentas que podrían haber resultado expuestas al problema de seguridad a través de su app o por correo electrónico, con diferentes instrucciones para mantenerlas protegidas en función de la versión de la app.

La plataforma ha recomendado de forma generalizada a los usuarios de Twitter para Android que actualicen la aplicación a la última versión disponible. El problema de seguridad no ha afectado a Twitter para iOS.

Como si no fuera suficiente la investigación en curso contra Facebook por temas de competencia desleal y por su criptomoneda Libra, el gigante de las redes sociales enfrenta un nuevo error en su plataforma, la cual accede sin autorización del usuario a las cámaras del iPhone a medida que los usuarios se desplazan a través de su feed.

De acuerdo con The Guardian, Facebook confirmó el error en la última versión del sistema operativo iOS. Un portavoz dijo que el problema haría que la aplicación de Facebook “navegue a la pantalla de la cámara adyacente a News Feed cuando los usuarios toquen fotos”. La compañía dijo que presentará una solución a Apple en los próximos días.

Facebook ha negado en repetidas ocasiones la teoría de que escucha a los usuarios, y se ha teorizado que la compañía simplemente tiene suficientes datos de usuario para apuntar a sus mil 700 millones de usuarios de una manera aterradoramente precisa.

A pesar de las preocupaciones legítimas de seguridad respecto a Facebook, parece que este error en particular no es motivo de intranquilidad, dijo Chris Morales, jefe de Análisis de Seguridad de la firma de ciberseguridad Vectra, con sede en Silicon Valley.

“Esto es principalmente un error inofensivo que permite a Facebook usar la cámara, pero no es un compromiso o una violación de los datos personales o la privacidad”, explicó. “Lo más fácil es que los usuarios deshabiliten el uso de la cámara en la configuración de la aplicación del iPhone”, concluyó Morales.

ABC Tecnología-J.M.Sánchez

WhatsApp es, con diferencia, una de las aplicaciones más empleadas por los usuarios en todo el mundo. Son más de 1.500 millones de perfiles registrados y la herramienta indispensable en las comunicaciones digitales. Por eso no deja de ser preocupante los momentos en los que producen desconexiones y, por supuesto, fallos técnicos. La «app» implementó hace dos años, y después de otros tantos de críticas, un sistema de seguridad de extremo a extremo que promete una gran seguridad de las conversaciones.

Pero los ciberdelincuentes son hábiles. Encuentran siempre alguna manera de penetrar a los sistemas. Una investigación de la firma de seguridad Symantec ha descubierto pruebas de una importante vulnerabilidad que permite a una persona malintencionada pueda manipular las imágenes y vídeos enviados antes de que llegue a su destinatario. Este fallo de seguridad, denominado «Media File Jacking», afecta a WhatsApp para Android de forma predeterminada y a Telegram para Android si ciertas funciones están habilitadas. También permite también modificar los archivos de audio.

Este problema afecta únicamente a las versiones de dispositivos móviles Android, el sistema operativo más extendido del mundo. Se trata de un ataque de tipo secuestro de imágenes y se produce, según los investigadores, por el sistema implementado por este servicio digital a la hora de almacenar los archivos. Ambas aplicaciones guardan las imágenes recibidas por los usuarios sin una cadena de identificación que informe si han sido alteradas por una aplicación de terceros.

Es una oportunidad que, bien explotada, puede sembrar la confusión entre los usuarios. Los investigadores explican que el fallo se debe al tiempo que transcurre entre el momento en que los archivos se reciben y cuando se cargan en la interfaz de chat de las aplicaciones para que los usuarios las consuman. Es decir, el momento en el que los usuarios solicitamos la orden de descargar la imagen para verla se puede interceptar y, por tanto, puede correr en riesgo la privacidad de las personas.

«Este lapso de tiempo crítico presenta una oportunidad para que ciberdelincuentes intervengan y manipulen los archivos multimedia sin el conocimiento del usuario. Si se explota el fallo de seguridad, un atacante podría manipular información confidencial, como fotos y videos personales, documentos corporativos, facturas y notas de voz», aseguran Yair Amit y Alon Gat, autores de la investigación, en un comunicado.Funcionamiento del «bug»

Los expertos creen que aunque el cifrado de extremo a extremo es un mecanismo eficaz para garantizar la seguridad de las comunicaciones, no es suficiente este sistema si existen vulnerabilidades en el código de programación. «Lo que descubrimos en la investigación es que los atacantes pueden manipular con éxito archivos multimedia aprovechando los fallos lógicas de las aplicaciones, que se producen antes o después de que el contenido se haya cifrado», añaden los investigadores.

De forma predeterminada, WhatsApp almacena los archivos multimedia recibidos por un dispositivo en un almacenamiento externo en la siguiente ruta: / storage / emulated / 0 / WhatsApp / Media. En Telegram, si un usuario habilita la función «Guardar en la galería», asumiendo que es seguro y sin comprender sus ramificaciones indirectas, la «app» almacenará el contenido de los archivos de manera similar en: / storage / emulated / 0 / Telegram /. El problema, subrayan los investigadores, es que ambos son directorios públicos: «las aplicaciones cargan los archivos recibidos de los directorios públicos para que los usuarios los vean en la interfaz de chat cuando ingresan al chat correspondiente», apuntan.

Por tanto, el hecho de que los archivos se almacenan y se cargan desde el almacenamiento externo sin los mecanismos de seguridad adecuados se pueden poner en riesgo la integridad de los archivos multimedia. Si el atacante accede primero a los archivos (esto puede suceder en tiempo real si un «malware» monitoriza los directorios públicos para detectar cambios), los destinatarios verán los archivos manipulados antes de ver los originales. Además, la miniatura que aparece en la notificación que ven los usuarios también mostrará la imagen o el archivo manipulados, por lo que los destinatarios no tendrán ninguna indicación de que se hayan cambiado los archivos. Los expertos creen que, para evitar este posible problema, es más conveniente guardar las imágenes en algún servicio de almacenamiento en la «nube» o en el propio dispositivo.

Otros expertos creen que el fallo no es demasiado grave pero que, una vez más, demuestra el impacto de los permisos de usuarios en las aplicaciones más populares. «El funcionamiento del fallo se basa en permisos de usuario. Cada app tiene acceso solamente a sus ficheros. Lo que pasa es que si tú uno de esos ficheros -una foto que te llega de otro contracto– si la dejas en el carrete de fotos, todas las app que tengan acceso al carrete tendrán acceso a las fotos. El “bug” demuestra, claramante, por qué es necesario acotar el acceso a según qué permisos de aplicaciones», apunta a este diario Lorenzo Martínez, experto en seguridad de Securízame.

Cómo desactivar el almacenamiento de fotos

Deshabilitar el almacenamiento de archivos multimedia en almacenamiento externo puede hacer que los usuarios de la aplicación de mensajería instantánea mitiguen el riesgo de los archivos. Para ello, hay que seguir estos pasos: entrar en WhatsApp, acceder a «Configuración» en entrar en el apartado «Chats». Ahí habrá que desactivar «Guardar en fotos».

Hipertextual-Luis del Barco

Mozilla ha emitido recientemente un comunicado pidiendo a todos los usuarios de su navegador que actualicen el mismo, dado que un importante fallo de seguridad estaría afectando a las versiones de Firefox anteriores a 67.0.3 y ESR 60.7.1. Este ha sido descrito con un nivel de seguridad “crítico”, dado que podría propiciar uno de los ataques conocidos como zero-day o “de día cero” para conseguir hacer uso de un cierto tipo de software malicioso en los ordenadores o máquinas de las víctimas.

El ataque ha sido descubierto por el equipo del Proyecto Cero de Google y por los especialistas de seguridad de la popular plataforma de intercambio de criptomonedas Coinbase. Esto último, según indica el portal especializado ZDNet, revela la naturaleza del ataque, que podría estar enfocado a la sustracción de criptomonedas de las carteras de los usuarios afectados. “Podemos asumir con seguridad que el fallo de seguridad estaba siendo explotado en ataques dirigidos a propietarios de criptomonedas”, han afirmado.PUBLICIDAD

Cómo actualizar Firefox

Aunque no se han ofrecido más datos acerca de los atacantes o de las posibles personas afectadas por este fallo, dado que el nivel de compromiso para la seguridad que este fallo supone es elevado resulta recomendable actualizar cuanto antes el navegador tanto si uno tiene criptomonedas como si no. Afortunadamente, este proceso es muy sencillo y llevará apenas unos segundos.

Firefox suele instalar automáticamente las actualizaciones de seguridad cuando cerramos el navegador y lo volvemos a abrir, pero si no es el caso o queremos asegurarnos, lo única que hay que hacer, tal y como describen en su página de soporte, es seguir el siguiente proceso:

1. En la barra de menú, haz clic en Firefox y selecciona Acerca de Firefox.
2. Se abrirá la ventana Acerca de Firefox y Firefox empezará a comprobar si hay actualizaciones y empezarán a descargarse automáticamente.
3. Cuando finalice la descarga, haz clic en Reiniciar para actualizar Firefox.

El Vocero

 Intel reveló otra falla de seguridad en hardware que podría afectar a millones de máquinas en diversas partes del mundo.

El productor de chips agregó que no hay evidencia de que alguien aproveche la vulnerabilidad afuera del laboratorio de investigación.

“Tener tanto éxito en el mundo real es una tarea compleja”, dijo en un comunicado videograbado Bryan Jorgensen, director de garantía y seguridad de producto en Intel.

La falla está integrada a la arquitectura del hardware computacional. Pero “con una prueba de datos suficientemente extensa, tiempo o control del desempeño del sistema objetivo”, la falla podría permitir que agresores busquen datos filtrados, dijo Jorgensen.

Es la más reciente revelación de una vulnerabilidad difícil de arreglar que afecta a los procesadores de smartphones y computadoras personales. El año pasado, la industria tecnológica entró en pánico por dos errores conocidos como Spectre y Meltdown.

Conforme las compañías y los individuos pasan con mayor frecuencia sus vidas digitales a “la nube” —un término de la industria para los bancos de servidores en centros de datos remotos—, los accesos digitales que mantienen seguros los datos de los usuarios están cada vez bajo mayor escrutinio.

Intel dijo que ya atendió el problema en sus nuevos chips después de trabajar durante meses con socios comerciales e investigadores independientes. También publicó actualizaciones de código para mitigar el riesgo.

FayerWayer-York Perry

Vivimos en un mundo donde WhatsApp es el rey indiscutible para el envío de mensaje instantáneos. Pero Skype se mantiene firme en la lucha con su fiel base de usuarios que aún no abandonan la plataforma. Aunque ahora surge un motivo que lo hará pensarlo a más de uno.

Según reportan los amigos de Android Police desde el mes de enero se lanzó una problemática actualización para esta aplicación en el sistema operativo de Google.

Todo parecía normal durante un tiempo, pero empezaron a acumularse los reportes de un extraño bug relacionado con la función de contestar llamadas automáticamente.

Esta es, se supone, una opción de configuración para que los usuarios puedan priorizar las llamadas de sus contactos de mayor confianza o cercanía.

Sin embargo, el bug ha hecho que la app de Skype comience a contestar llamadas de forma automática indiscriminadamente.

Esto es algo que tendría meses ocurriendo y que cada vez se está poniendo peor. Pero parece que los desarrolladores no han logrado implementar una solución efectiva.

Limpiar el caché y desinstalar la aplicación para volver a implementarla no ha resultado ser una solución buena.

De hecho, los propios afectados han dado por fin con la causa aparente de todo el problema. Ya que, según encontraron, el bug se detenía al desconectar sus smartwatches Google Wear y Samsung Gear.

Así que todo apunta a que se trataría de un problema de sincronización con vestibles de Android. En donde el uso de estos gadgets adicionales activaría las contestaciones automáticas en Skype.

La promesa de Microsoft es que podrán solución a este bug en la próxima actualización de su aplicación. Que no tiene aún una fecha definida para liberarse.

Este trance es demasiado incómodo. Pero los afectados pueden tomarlo como una oportunidad para conocer nuevas alternativas. Como por ejemplo, Telegram.