Fallas en la doble autenticación de paypal

Existe una vulnerabilidad en la forma en como PayPal maneja algunas peticiones de clientes móviles. Esto permite a los atacantes evitar el mecanismo de autenticación doble y transferir dinero de alguna víctima a la cuenta que el atacante quiera.

La falla radica en la forma en la que fluye el proceso de autenticación en los dispositivos móviles iOS y Android, el error se encuentra del lado del servidor. Investigadores de Duo Security desarrollaron una aplicación móvil como prueba de concepto que puede explotar la vulnerabilidad. Se advirtió a PayPal del problema desde marzo y han estado trabajando en corregirlo. Sin embargo, no se planea liberar un parche completo sino hasta julio.

Zach Lanier, investigador en seguridad de DuoSecurity, escribió su explicación sobre la vulnerabilidad y sus efectos:

“El Atacante sólo necesita el usuario y contraseña de la víctima para acceder a una cuenta que está protegida por seguridad de dos factores y enviar dinero. La protección ofrecida por el mecanismo de seguridad de dos factores puede ser evadido y esencialmente anulado”.

“Mientras la app móvil de PayPal aun no soporta la autenticación doble, es posible engañar a la aplicación para que ignore la bandera de autenticación doble de la cuenta, permitiendo al atacante ingresar a la cuenta sin la segunda autenticación”.

PayPal brinda a sus usuarios la opción de usar autenticación doble de distintas maneras. En esta autenticación se generan contraseñas de un sólo uso durante la sesión. Este sistema puede ser utilizado en el soporte web de PayPal pero no en la aplicación móvil.

La vulnerabilidad puede ser explotada al crear una aplicación que engaña a la API de PayPal, ésta cree que la aplicación móvil se está conectando a una cuenta con autenticación simple, ignorando por completo la autenticación doble.

La aplicación que se creó se comunica con dos API distintas de PayPal. La primera se encarga de la autenticación y la segunda se encarga de la transferencia del dinero. Mientras se investigaba la vulnerabilidad, los investigadores de Duo notaron que cuando los servidores de PayPal responden a una petición POST desde la aplicación móvil, utilizando la autenticación doble, se desplegaba un mensaje de error y se enviaba al usuario a la pantalla de login. Pero cuando la respuesta del servidor era modificada colocando el campo de autenticación doble en la aplicación, se le permitía al usuario entrar.

vía threatpost

Anuncios

Clon chino con malware preinstalado

Celular clon con malware incluido desde el inicio, que brillante idea!!! por que esperar a que el usuario descargue algo malicioso, si le puedes dar el celular infectado desde un principio, a final de cuenta esta comprando algo ilegitimo no?

 

A continuación el árticulo original.

 

Malware-Android-Aplicaciones

 

Ya sea por una vulnerabilidad recién encontrada que ponga en jaque a toda la seguridad de un conjunto, o por una pieza de código creada por x con y intereses que crea ese problema por sí mismo, la seguridad de cualquier sistema suele estar en entredicho demasiadas veces. Esto no es nada nuevo en Android: no serán pocas las actualizaciones lanzadas para paliar estos problemas, pero parece que la historia se vuelve a repetir por un lado que, aunque ya era predecible al contar con algún que otro antecedente, no hace más que lanzar (más) desconfianza hacia el continente asiático.

Sí, estamos hablando de China, el lugar de donde han salido incontables clones de todos los terminales populares del mercado: Samsung, HTC, Sony… todos cuentan con un clon de su modelo insignia dentro de las fronteras que marcan la Gran Muralla, y gracias a la exportación podemos hacernos con muchos de ellos (y más de una vez hemos hablado de ellos e incluso os hemos hecho análisis sobre algunos modelos). El caso es que esto podría ser mucho mas inseguro de lo que pensamos, porque G Data ha encontrado un clon chino que cuenta con malware desde que sale de la fábrica.

Malware instalado y funcionando desde que sale de la caja

Star N9500

Los alemanes especializados en seguridad se han encontrado, al analizar el Star N9500 (clon bastante popular del Samsung Galaxy S4), que cuenta con malware de fábrica: la versión de Google Play Store que viene preinstalada con el firmware en realidad no es la original, pero lo que sí llega a ser es el troyano Android.Trojan.Uupay.D. El problema es bastante peliagudo: es capaz de acceder hasta los rincones más oscuros del teléfono sin que nos demos cuenta, no se puede desinstalar al venir junto al sistema y envía todos tus datos a un servidor de origen desconocido en China, y creo que podemos dar por seguros que no es para regalarte un Galaxy S4 de verdad.

Y sí, lo habéis leído bien, se oculta en una falsa aplicación de Google Play para capturar todos los datos personales que pueda y enviarlos a ese servidor chinos, o incluso instalar más malware sin que nos demos cuenta a través de aplicaciones: una herramienta todo-en-uno para las personas que hayan ideado este sistema, ya que les da un acceso trasero perfecto para instalar mas herramientas que nos saquen mas y mas datos confidenciales y sensibles. Lo malo es que no podemos saber a ciencia cierta si es cosa de la marca o de algunas manos negras que hayan entrado en la cadena de producción sin que nadie se percatara, y siendo el servidor chino completamente anónimo parece inútil buscar cabezas que cortar. Y, si estáis interesados en profundizar, podéis leer todos los detalles en el artículo que han preparado desde la compañía, aunque tenga un tono algo alarmista.

¿Un flaco favor a todos los fabricantes chinos?

FILES-CHINA-TAIWAN-TECHNOLOGY-FOXCONN-LABOUR

Esto llega a nuestros oídos en una época en la que China esta en plena expansión en lo que se refiere a Android: marcas como Huawei, Lenovo y Oppo se asientan cada vez más en mercado internacional, otros como Xiaomi o OnePlus vienen pisando muy fuerte, los clones chinos que prometen características punteras a precios de derribo estan a la orden del día… y dudo mucho que ningún jefazo de estas marcas disfrute leyendo estas noticias: ¿Quien va a querer comprar teléfonos chinos sí corren el riesgo de contener malware oculto en el sistema que nos robe información de todo tipo?

En el caso de que sea Star el responsable final de todo esto, creo que esta muy claro por donde habría que cortar el hierbajo. Sin embargo, si se debe a lo segundo, esto deja muy en entredicho la seguridad que disponen las cadenas de montaje y pruebas cuando cualquiera puede entrar y colocar su flamante troyano en el firmware de unos cuantos clones chinos sin que nadie se percate de ello. Puede que no toque demasiado a los grandes fabricantes o a los que prometen de verdad, pero el fantasma de que los Android chinos son malos sí o sí probablemente haya crecido más aún con esta noticia.

Y es que no es la primera vez que vemos que desde China nos llegan cosas del todo inseguras: por ejemplo, no son pocos los casos de reproductores MP3 que contienen virus que se intentan colar en nuestro ordenador o videocámaras de seguridad que cuentan con malware que también trata de robar datos (por citar ejemplos que se me vengan a la mente). ¿Por que los clones chinos iban a ser diferentes en este sentido? ¿Este es el verdadero coste de unos precios tan bajos?

vía elandroidelibre

Un inseguro apreton de manos.

La función de seguridad que resguarda la confidencialidad de tu comunicación web (el mismo software de criptografía afectado recientemente por la falla Heartbleed) tiene más problemas.

Y a esta nueva vulnerabilidad podemos llamarla handshake bug o “la falla del apretón de manos”.

Los ordenadores y servidores web entablan conversaciones seguras entre sí en un proceso conocido como handshake. Pero esta semana, los investigadores de seguridad descubrieron un problema en la forma en que ‘se dan la mano’ o establecen esa conexión. La falla permite que un hacker que opera entre el usuario y un sitio web -por ejemplo, alguien conectado a la misma red pública WiFi- fisgonee tu sesión de Internet.

Esta falla no es tan devastadora como Heartbleed. Los únicos navegadores importantes a los que afecta son los del sistema operativo móvil Android de Google. Y para que un hacker explote esa grieta, tú y el sitio web deben estar ejecutando versiones vulnerables del software de encriptación, conocido como OpenSSL.

Aunque no es tan grave, es otra llamada de atención que delata que tu seguridad en Internet depende de un puñado de personas sin sueldo. La Fundación OpenSSL es un pequeño equipo de programadores informáticos que apenas recientemente comenzaron a recibir apoyo financiero adicional de muchas empresas que usan ese software.

La Fundación Linux dijo que OpenSSL ha recibido alrededor de la mitad de los 5.4 millones de dólares que hasta la fecha han donado las empresas a la Core Infrastructure Initiative, una iniciativa que busca mejorar la seguridad en Internet.

De hecho, muchos expertos dicen que la única razón por la que pudo detectarse la falla Handshake es porque, después de Heartbleed, más voluntarios están peinando exhaustivamente el código informático OpenSSL. El mundo puede darle las gracias a Masashi Kikuchi, un experto en software de seguridad de la pequeña consultora japonesa Lepidum, que decidió revisar el código personalmente.

vía cnnexpansion

FLAPPY BIRD

Ya de por si es dificil para mi terminar un video juego por el rápido aburrimiento y desinteres que muestro despues de jugarlo por un rato (con algunas excepciones)… ¿por qué jugar un juego frustrante?… y lo más increible es la fama que a creado por ser considerado el peor videojuego, sin embargo dicha fama también le a hecho ganar varios miles de dolares al desarrollador, así como a unos abusados en ebay que venden celulares con el juego instalado.

El juego es básico, limitado, frustrante, difícil, poco original. No le impidió ser -por razones diversas- un éxito: sumó más de 50 millones de descargas en el tiempo en que estuvo disponible en las tiendas de juegos para Android y para el iPhone.

Ya no está más: el domingo último, Dong Nguyen , el programador vietnamita de 29 años que lo creó en unas pocas noches de trabajo, lo borró.

Ya no importan las razones por las que tomó esa decisión. ¿Una demanda judicial en ciernes? ¿el bochorno por haber sido descubierto -al parecer- usando estrategias non sanctas para hacer que ese y otros juegos sumaran, de un día para el otro, cientos de reseñas en las tiendas de Google y Apple y, con ellas, crecieran las descargas? ¿La necesidad de reducir su exposición pública por el juego que , como dijo Nguyen, le hacía mal? Quedará en el mundo de la especulación y el debate.

Lo cierto es que hoy no es posible descargar el juego de las tiendas oficiales. Pero sí es posible -y esto es un problema- conseguir el archivo original para Android e instalarlo en el teléfono (si se activa la instalación de software de terceros en el equipo).

El problema es que los vivillos que nunca falta aprovecharon para inundar Internet de malware disfrazado del Flappy Bird. El juego se instala, cómo no, y uno intenta hacer volar el pajarraco la mayor distancia posible, pero junto con él viene código malicioso que intenta generar SMS a números premium (aunque apuntan a servicios fuera de nuestro país).

El Flappy Bird original era gratis; de hecho, se financiaba en base a publicidad. En su momento de apogeo Nguyen llegó a facturar 50.000 dólares diarios, según algunos reportes. Todavía gana dinero, porque Flappy Bird no se puede descargar más pero tiene probablemente millones de usuarios que todavía lo conservan en sus equipos, lo juegan y, cuando lo hacen, ven un aviso.

Una de las versiones del juego modificadas con malware que circula por la red, nota la compañía Sophos , muestra un cartel que dice que el tiempo de prueba ha expirado, que deberá enviarse un SMS a un número para activarlo, etcétera. Esto, por supuesto, es falso, y hace que el usuario genere un mensaje premium que cobra la otra parte.

Otra versión, según indica Trend Micro , logra además enviar datos del usuario (como su dirección de mail, etcétera) a un servidor remoto.

 

Vía: la nacion

Samsung se cansa del malware en Android e incluirá un antivirus de serie en sus móviles

El malware se ha convertido en la principal lacra de Android en los últimos años. Cansado de esperar una solución por parte de Google, Samsung ha decidido tomar la iniciativa y ha confirmado que sus terminales con este sistema operativo móvil incluirán por defecto un antivirus.

El auge de Android en el sector móvil ha venido acompañado de un boom en lo que amenazas en forma de software malicioso se refiere. Cada día se detectan nuevas formas de malware que buscan afectar a los usuarios y las consecuencias podrían ser muy graves para éstos, ya que dan pie incluso a estafas económicas y robo de información personal que puede utilizarse con fines de dudosa moralidad.

Lo más sorprendente de la situación es el inmovilismo que ha mostrado Google a la hora de luchar contra este tipo de software. En las últimas versiones de Android asegura que sus desarrolladores han mejorado la seguridad de la plataforma, pero lo cierto es que los virus siguen campando a sus anchas en la Red y el número de terminales infectados continúa creciendo sin control.

Hastiado de este problema, Samsung ha decidido entrar de forma directa en la polémica anunciando un acuerdo con la firma de seguridad informática Lookout. Como leemos en Androidayuda.com, los móviles de Samsung incluirán de serie este antivirus, considerado como uno de los más efectivos hasta ahora. De esta forma, el fabricante surcoreano tiene un gran gesto con sus usuarios, reforzando su protección frente a los ciberdelincuentes.

Este acuerdo se une al Kill Switch que el Gobierno de Corea del Sur ha obligado a integrar en los dispositivos. Se trata de un sistema antirrobo con el que se pretende que desciendan los hurtos de smarpthones en el país asiático y que complementa a Knox, el sistema de la compañía para proteger los archivos, la privacidad y aplicaciones de los usuarios.

¿Deberían seguir sus pasos el resto de fabricantes? Aunque no resulta nada complicado descargar un antivirus por nuestra cuenta, es evidente, que lo anunciado por Samsung es un gesto muy positivo de cara a la relación con sus clientes. Esperemos que otras compañías hagan lo propio, pero que sea especialmente Google la que centre sus esfuerzos en acabar con este grave problema.

vía adslzone

Malware en Android abusa de Google Cloud Messaging, según Kaspersky

Kaspersky Lab reporta que el malware para Android ahora utiliza el servicio de mensajería en la nube de Google (GCM, por sus siglas en inglés), la cual normalmente se emplea para enviar datos a aplicaciones legítimas desde un furtivo canal de comando y control.

Lanzado por Google en 2012, la mayoría de las aplicaciones en la Play Store utilizan el servicio gratiuto GCM para varias tareas como sincronización, alertas al usuario y envíos de mensajes que contengan hasta 4KB de datos.

Una actualización más reciente, permite que el servicio sea utilizado en el navegador Chrome para comunicarse con aplicaciones de forma remota, por ejemplo, permite que la misma aplicación permanezca sincronizada en diferentes dispositivos.

Parece que los creadores de malware han notado el potencial de GCM, incluyendo algunas de las aplicaciones maliciosas más exitosas de Android.

Según Kaspersky, un buen ejemplo es el rapaz y exitoso fraude telefónico FakeInst.a, del cual la empresa bloqueó la instalación de 160 mil líneas, principalmente en el corazón de Rusia y Ucrania.

Según los datos de investigación de Karspersky, el canal GCM es crucial para el comportamiento multipropósito de las aplicaciones. Aunque puede utilizarse para generar accesos directos a aplicaciones maliciosas, borrar mensajes o lanzar publicidad de otras aplicaciones maliciosas, incluso puede programarse para enviar mensajes de texto a servicios premium.

vía TechWorld

Publicidad movil Redes de publicidad móvil, autopistas para el malware

Palo Alto Networks, una empresa especializada en seguridad de red, ha presentado los resultados de un estudio en el que asegura que las redes de publicidad móvil son perfectas para servir malware a los dispositivos Android.

La mayoría de los desarrolladores móviles incluyen publicidad en sus aplicaciones para generar ingresos. Sin embargo, a diferencia de los anuncios mostrados en los navegadores, la que aparece dentro de las aplicaciones móviles se sirven a través de un código que es parte de las propias aplicaciones.

Es ese código embebido utilizado por las redes de publicidad la que permite hacer un seguimiento de la publicidad y que se pague a los desarrolladores, pero al mismo tiempo, es una puerta trasera, explica Wade Williamson, analista de Palo Alto, en un post.

De forma que si las redes móviles se convierten en un método para extender el malware, una aplicación absolutamente benigna puede convertirse en peligrosa. Lo que tenemos entonces no es más que una botnet. La única diferencia, explica el investigador, es que la red de publicidad muestra contenido benigno y aprobado.

Después de detectar que las amenazas para Android se están distribuyendo de esta manera, Williamson explica que una vez distribuida como si fuera publicidad, la carga maliciosa se ejecuta silenciosamente en la memoria del dispositivo y espera que el usuario inicie la instalación de cualquier otra aplicación. Sin que el usuario se de cuenta, porque piensa que es parte del proceso de instalación, otorga permisos al malware, que una vez instalado adquiere la capacidad para interceptar y esconder mensajes de texto recibidos, además de enviar mensajes de texto que pueden incrementar las facturas de los usuarios.

Protegerse contra este tipo de ataques es complicado, pero no imposible. Una de las recomendaciones para los usuarios es que se aseguren de que sus dispositivos no están configurados para permitir la instalación de aplicaciones de fuentes desconocidas, además de ejecutar algún producto antivirus capaz de detectar comportamientos sospechosos, explica el experto de Palo Alto Networks.

Vía itespresso