Publicidad
Publicidad

RSS Vulnerabilidad

Así es el bug que ha puesto en peligro a los 200 millones de usuarios de WhatsApp Web

23 Comentarios
Así es el bug que ha puesto en peligro a los 200 millones de usuarios de WhatsApp Web

WhatsApp empezó el año lanzando un cliente web con el que poder utilizar su aplicación desde nuestro navegador. Un WhatsApp Web que empezó estando sólo disponible para usuarios de Android pero que el pasado mes de agosto abrió sus puertas también para usuarios de iOS. No era exactamente lo que los usuarios estaban esperando pero funciona relativamente bien.

Con cerca de 200 de los 900 millones de usuarios de WhatsApp utilizando su aplicación web, hace unas horas una empresa de seguridad daba a conocer una vulnerabilidad descubierta en su página. Se trata de un bug por el que un atacante podría tomar el control de nuestro ordenador con sólo saber nuestro número de teléfono.

Leer más »

Cómo una vulnerabilidad en Bash de Linux, OS X y *NIX es un gran problema de seguridad para todo Internet

66 Comentarios
Cómo una vulnerabilidad en Bash de Linux, OS X y *NIX es un gran problema de seguridad para todo Internet

Si alguna vez habéis trabajado con OS X o Linux, seguro que conocéis bash. Es la terminal por defecto de estos sistemas, donde ponemos los comandos que queremos ejecutar. Es el espacio de trabajo, el equivalente al escritorio cuando usamos el ratón.

Como podréis imaginar, bash es omnipresente y no lo usamos sólo los usuarios sino también muchos programas para ejecutar algunos comandos. Por ejemplo, hay páginas web que internamente llaman a bash para generar algunas páginas (CGI), servidores (y ordenadores) que usan DHCP para obtener sus direcciones IP al conectarse a Internet, y muchas más cosas. Imaginaos qué divertido sería que hubiese un fallo en bash. O mejor aún, no os lo imaginéis: está pasando. De hecho, hasta tiene nombre y todo: Shellshock.

Leer más »
Publicidad

Leer un libro en tu Kindle puede hackear tu cuenta de Amazon

7 Comentarios
Leer un libro en tu Kindle puede hackear tu cuenta de Amazon

Los ataques XSS (cross-site scripting) llevan tiempo siendo una amenaza a la hora de utilizar sitios Web para, por ejemplo, robar cookies y capturar así una sesión en un sitio Web. Y existe una vulnerabilidad en Amazon.com que permite que un libro en nuestro Kindle pueda transferir nuestras credenciales a alguien con malas intenciones.

El mecanismo es realmente simple: si un libro electrónico tiene por título algo como <script src="https://servidor/script.js"></script>, la Web de Amazon ejecutará ese script, por lo que la cookie que almacena la sesión podrá ser transferida a otro servidor. Basta hacer que un usuario descargue ese libro y lo guarde en su aparato. Curiosamente esta vulnerabilidad ya había sido corregida, pero Amazon la volvió a abrir cuando actualizó su aplicación. De hecho hace unos días fue reportada, y todavía no existe respuesta.

El blog B.FL7.DE ha publicado, incluso, un libro electrónico en formato MOBI con el que probar si la vulnerabilidad sigue siendo tal. Cada cuadro emergente, además, es una posibilidad de que la cookie sea transmitida. Nuestra recomendación es que pongamos atención a los libros que guardemos en nuestro lector de libros electrónicos, al menos si queremos evitar las sorpresas desagradables.

Actualización: al parecer Amazon ha corregido esta vulnerabilidad hace unas horas.

Más información | The Digital Reader | B.FL7.DE
En Genbeta | Algunos conceptos básicos de seguridad informática que deberías conocer

Leer más »

¿Ser infectado por ver un vídeo de YouTube? Es posible

14 Comentarios
¿Ser infectado por ver un vídeo de YouTube? Es posible

Cada vez nos sorprendemos menos ante este tipo de noticias. Pongamos la situación: queremos ver un simple vídeo y accedemos a él a través de un enlace totalmente inocuo. Esa acción no es peligrosa... pero al llevarla a cabo podríamos acabar siendo espiados. Una serie de empresas están vendiendo una serie de soluciones que prácticamente son plug and play.

Basta con conectar el dispositivo a puntos de intercambio para, por ejemplo, inyectar información en tráfico no encriptado (como puede ser un vídeo de gatitos de YouTube). Junto con el streaming en cuestión, lo que haría este dispositivo (con el software modificado, que conste) sería inyectar malware que se aprovecha, por ejemplo, de vulnerabilidades en versiones antiguas de Flash o de Java.

Leer más »

Atacantes consiguen monitorizar a los usuarios de la red TOR

11 Comentarios
Atacantes consiguen monitorizar a los usuarios de la red TOR

TOR lleva muchos meses en boca de los usuarios que pueblan la red de redes. Desde que Edward Snowden publicó algunos documentos en los que afirmaba que estabamos siendo vigilados por diversas agencias gubernamentales, no han sido pocos los internautas que han estado utilizando la herramienta con el fin de proteger sus comunicaciones. Pero, a la vez, ha habido gente que ha estado intentando vulnerarla. Y parece que recientemente lo han conseguido.

Según han anunciado en su blog oficial, se ha descubierto que alguien ha estado intentando comprometer la red mediante la monitorización de los usuarios que utilizan el servicio. Y dicho ataque, tal y como se ha afirmado, ha tenido un cierto éxito al poder obtener información sobre los internautas que han estado navegando utilizando las "trampas" que se han puesto.

Leer más »

Tails es vulnerable: te enseñamos a evitar el fallo de I2P

2 Comentarios
Tails es vulnerable: te enseñamos a evitar el fallo de I2P

Estamos seguros de que muchos conoceréis la distribución Linux Tails. No en vano, era recomendada hace unos meses por Edward Snowden, quien comentaba que era la más segura y, por lo tanto, la que él utilizaba para navegar por Internet. Un software que nos permitía estar en la red sin dejar rastro y sin la necesidad de realizar complicadas configuraciones.

Sin embargo, los encargados del paquete han anunciado recientemente que uno de los paquetes incluidos está provocando que la distribución ya no sea todo lo segura que parecía. Concretamente, I2P tiene un fallo de seguridad que, en el caso de ser aprovechado, puede provocar que a lo usuarios se les quite la anonimización que se promete. Un error que resulta bastante grave.

Leer más »
Publicidad

Se descubren todavía más vulnerabilidades graves en OpenSSL

18 Comentarios
Se descubren todavía más vulnerabilidades graves en OpenSSL

Resulta curioso como, en cuestión de meses, la imagen que teníamos de OpenSSL como un producto que garantizaba nuestra seguridad en Internet se ha desvanecido. Después de Heartbleed surgieron varias iniciativas para "asegurar" la librería. El equipo de OpenBSD, por ejemplo, se puso a trabajar en el fork LibreSSL para tratar de purgar todos los fallos de la librería original. Otros investigadores han buscado más fallos directamente en el código, y han descubierto varias vulnerabilidades más que acaban de ser corregidas.

La primera, la más grave, permitiría a un atacante ejecutar un ataque man-in-the-middle y leer los datos de una conexión segura. Lo único que necesitaría es inyectar un mensaje durante el proceso de apretón de manos o presentación (handshake) entre los dos clientes que estén estableciendo una conexión segura.

Leer más »

Pero, ¿cómo se puede infectar mi ordenador si sólo he visitado una web?

16 Comentarios
Pero, ¿cómo se puede infectar mi ordenador si sólo he visitado una web?

¿Nunca os habéis preguntado cómo es posible que con sólo abrir una página web o un fichero creado para la ocasión, los hackers sean capaces de aprovecharse de una vulnerabilidad y tomar el control de un ordenador? Tenemos un ejemplo muy reciente de esto en el fallo de Internet Explorer descubierto hace unos días. Un objeto Flash especialmente preparado que permite a un atacante tomar control de tu equipo como por arte de magia.

¿Qué está pasando en realidad en estos ataques? En este artículo vamos a tratar de explicar sus fundamentos básicos: las técnicas que se usan en la práctica son bastante más complejas y enrevesadas, pero siempre responden a la misma idea, que es que se sobreescriban ciertos datos en memoria.

Leer más »

Maleabilidad de transacciones: ¿por qué MtGox y Bitstamp tuvieron que restringir la retirada de Bitcoin?

5 Comentarios
Maleabilidad de transacciones: ¿por qué MtGox y Bitstamp tuvieron que restringir la retirada de Bitcoin?

Estos días os hemos contado que varios servicios de transacciones monetarias con Bitcoin han tenido que restringir la retirada de dinero, como ha sido el caso de MtGox y el de Bitstamp. Y en ambos casos hemos aludido a un problema técnico que concernía a la implementación de muchas carteras de Bitcoin.

¿Qué está pasando exactamente? Como resumen, existen incoherencias en la implementación de muchas carteras de Bitcoin que, en conjunto, producen lo que llamamos “maleabilidad de transacciones”. Pero vamos a verlo con más detalle.

Leer más »

Tumblr lanza una actualización de su app de iOS para solucionar una vulnerabilidad grave

Comentar
Tumblr lanza una actualización de su app de iOS para solucionar una vulnerabilidad grave

Tumblr ha lanzado hace tan solo unas horas una actualización importante de seguridad de su aplicación para iOS. Desde su blog de Staff han informado que con ella se resuelve una vulnerabilidad que permitía que la contraseña fuese capturada en tránsito en algunas versiones de la aplicación.

Según han comunicado a The Next Web desde la compañía, ayer tuvieron conocimiento de esta vulnerabilidad y procedieron a solucionarla cuanto antes, sacando la actualización y notificando a los usuarios afectados (aunque con esto creo que se refieren al post que han publicado y que aparecía en el escritorio de los usuarios de iOS). Sin embargo, hasta el momento no han dado más detalles, de manera que no sabemos cuantos son esos usuarios, si es que hay forma de saberlo.

Leer más »
Publicidad

Menú

Lo nuevo en genbeta

Ver más artículos