Fallas en la doble autenticación de paypal

Existe una vulnerabilidad en la forma en como PayPal maneja algunas peticiones de clientes móviles. Esto permite a los atacantes evitar el mecanismo de autenticación doble y transferir dinero de alguna víctima a la cuenta que el atacante quiera.

La falla radica en la forma en la que fluye el proceso de autenticación en los dispositivos móviles iOS y Android, el error se encuentra del lado del servidor. Investigadores de Duo Security desarrollaron una aplicación móvil como prueba de concepto que puede explotar la vulnerabilidad. Se advirtió a PayPal del problema desde marzo y han estado trabajando en corregirlo. Sin embargo, no se planea liberar un parche completo sino hasta julio.

Zach Lanier, investigador en seguridad de DuoSecurity, escribió su explicación sobre la vulnerabilidad y sus efectos:

«El Atacante sólo necesita el usuario y contraseña de la víctima para acceder a una cuenta que está protegida por seguridad de dos factores y enviar dinero. La protección ofrecida por el mecanismo de seguridad de dos factores puede ser evadido y esencialmente anulado».

«Mientras la app móvil de PayPal aun no soporta la autenticación doble, es posible engañar a la aplicación para que ignore la bandera de autenticación doble de la cuenta, permitiendo al atacante ingresar a la cuenta sin la segunda autenticación».

PayPal brinda a sus usuarios la opción de usar autenticación doble de distintas maneras. En esta autenticación se generan contraseñas de un sólo uso durante la sesión. Este sistema puede ser utilizado en el soporte web de PayPal pero no en la aplicación móvil.

La vulnerabilidad puede ser explotada al crear una aplicación que engaña a la API de PayPal, ésta cree que la aplicación móvil se está conectando a una cuenta con autenticación simple, ignorando por completo la autenticación doble.

La aplicación que se creó se comunica con dos API distintas de PayPal. La primera se encarga de la autenticación y la segunda se encarga de la transferencia del dinero. Mientras se investigaba la vulnerabilidad, los investigadores de Duo notaron que cuando los servidores de PayPal responden a una petición POST desde la aplicación móvil, utilizando la autenticación doble, se desplegaba un mensaje de error y se enviaba al usuario a la pantalla de login. Pero cuando la respuesta del servidor era modificada colocando el campo de autenticación doble en la aplicación, se le permitía al usuario entrar.

vía threatpost

Icloud HACKEADA

Queda claro que nadie se salva de los ciberdelincuentes.

 

servicio de almacenamiento de datos, que cuenta con más de 400 millones de usuarios, publicó el diario holandés «De Telegraaf».

Esta banda que opera bajo el nombre Doulci atacó el servicio de seguridad para bloquear teléfonos iPhone robados a través del sistema de almacenamiento en la nube iCloud de Apple.

Cuando un iPhone es robado, el propietario puede bloquearlo a distancia a través de iCloud, el sistema de almacenamiento en la nube de Apple; por lo que al «hackear» el sistema se puede desbloquear al instante el teléfono, explica el diario.

 Al desbloquear iPhones, los revenden

Según los propios piratas, que se esconden detrás de los pseudónimos AquaXetine y Merruktechnolog, solo en los últimos días 30 mil teléfonos móviles iPhone robados han sido desbloqueados. Estos aparatos se venden después en Internet.

Además, indica que sobre todo comerciantes chinos compran masivamente teléfonos móviles de Apple bloqueados en la página de subasta y de comercio por Internet eBay para hacer un negocio rápido. Los compran por entre 50 y 150 dólares y después los venden desbloqueados por un importe que va desde los 450 a los 700 dólares, recuerda el diario.

También terminales iPhones y tabletas iPad, que Apple ha bloqueado porque fueron modificados por sus propietarios en contra de los términos de la compañía, son fáciles de vender.

vía informador

Incluso Apple tiene vulnerabilidades

Crea algo bonito, lujoso y cobra por sus actualizaciones, esta parece ser la presima de Apple y nos vende estos dispositivos, como seguros, como improbable que un virus entre a ellos, pero inclusive apple tiene vulnerabilidades.

La vulnerabilidad afecta los correos electrónicos en varias versiones del sistema operativo de Apple

 

Al parecer iOS, el sistema operativo móvil de Apple, ha encontrado una nueva vulnerabilidad en la cual se puede acceder a los correos electrónicos y que afecta a las versiones más recientes que van desde la 7, hasta la 7.1.1.

De acuerdo con el medio ABC.es, Andreas Kurtz, investigador de seguridad, indicó que el sistema no encripta los archivos adjuntos de un e-mail, algo que la misma empresa afirma que sí hace.

El experimento que realizó se llevó a cabo en un iPhone 4, iPhone 5 y en un iPad 2 conectados a una computadora. Después de un breve proceso informático logró navegar en la partición de datos entre los archivos guardados y descubrió que los adjuntos no tienen ninguna protección.

En el artículo se menciona que Kurtz reportó el problema un día después que se lanzara la actualización iOs 7.1.1, que se supone, solventaba problemas de seguridad.

Sin embargo, se dice que acceder a los archivos no es sencillo para cualquiera ya que el ladrón necesita poseer el equipo y hacer un bypass con Jailbreak para lograr desbloquear el móvil, algo que necesita ciertos conocimientos de informática.

Kurtz relata en su blog que informó estos hallazgos a Apple. «Respondieron que eran conscientes de este problema, pero no mencionaron ninguna fecha para una solución».

«Teniendo en cuenta el largo tiempo que iOS 7 ha estado disponible y por la sensibilidad de los adjuntos de un correo electrónico, que muchas empresas comparten en sus dispositivos (fundamentalmente dependen de la protección de datos), me esperaba un parche a corto plazo. Por desgracia, incluso iOS 7.1.1 no remedia el problema, dejando a los usuarios en riesgo de robo de datos».

Como solución temporal, los usuarios interesados ​​pueden deshabilitar la sincronización de correo (por lo menos en los dispositivos donde el ROM de arranque es explotable), finaliza.

Vía: el universal

Whatsappitis

La tecnología avanza constantemente día con día y con ella también algunas enfermedades que no existian hace algunos años, ahora hacen su aparición.

Debe de ser cool decir que «tengo un grave problema de Whatsappitis aguda, así que no puedo ir a trabajar»

Una mujer española de 34 años de edad con un embarazo de 27 semanas se despertó por la mañana con un súbito dolor en las muñecas. No tenía antecedentes de trauma ni había participado en ninguna actividad física excesiva días antes. No lo sabía, pero era el primer caso de “Whatsappitis”.

El neologismo no es un invento cualquiera: es el nombre que le designa un artículo de la prestigiosa revista The Lancet a la tendinitis provocada por usar demasiado el servicio de mensajería instantánea WhatsApp.

La mujer, médico de urgencias, acababa de terminar una guardia el 24 de diciembre en el hospital donde trabaja cuando sintió un intenso dolor en su muñeca. Al llegar a su casa y ver todas las felicitaciones navideñas en su celular, empezó a contestarlas una por una en lugar de descansar el dolor de muñeca. Luego de pasar 6 horas enviando mensajes por WhatsApp, comenzó a tener dolor en el dedo pulgar.

“Sujetó el teléfono móvil, que pesaba 130 gramos, por lo menos durante 6 horas”, señala en el artículo la doctora Inés Fernández Guerrero, del Hospital Universitario de Granada. “Durante este tiempo, ella hizo movimientos continuos con ambos pulgares para enviar mensajes”.

“El diagnóstico para el dolor bilateral en la muñeca fue de WhatsAppitis”, dice el artículo. El tratamiento consistió en medicamentos antiinflamatorios no esteroideos y la completa abstinencia de utilizar el teléfono para enviar mensajes.

“Debido a su embarazo, la paciente sólo tomó paracetamol con mejoría parcial y no se abstuvo por completo de usar su teléfono, ya que intercambió nuevos mensajes el 31 de diciembre por Año Nuevo”, agrega.

Nuevos trastornos

La llamada Nintendinitis, provocada por usar dispositivos como la consola Nintendo, fue descrita por primera vez en 1990, y desde entonces se han reportado lesiones relacionadas con los videojuegos y las nuevas tecnologías.

Inicialmente reportado en niños, estos casos se ven ahora en los adultos, apunta el artículo de The Lancet. La tenosinovitis causada por mensajes de texto con teléfonos móviles podría ser una enfermedad emergente. Los médicos deben ser conscientes de estos nuevos trastornos”, advierte Fernández Guerrero.En 1990, la revista médica The New England Journal of Medicine diagnosticaba por primera vez un caso de nintendinitis en el que una mujer de 35 años había pasado cinco horas seguidas jugando con una consola de Nintendo, también en Navidad.En 2007, un hombre de 29 años sufría un caso de wiitis aguda tras pasar muchas horas jugando al tenis con su consola Wii. En ambos casos, la receta fue la misma: ibuprofeno y alejarse de los videojuegos por un tiempo.El nacimiento de estos trastornos podría remontarse a 1981, cuando se habló de la “muñeca de Space Invaders”, dolor causado por apretar el botón requerido por el popular videojuego.

vía yucatan

RED SOCIAL PARA BORRACHOS

En una noche de fiesta lo menos recomendable es usar tu celular y menos cuándo tienes unas copas encima, por que «accidentalmente» puedes marcar a tu exnovia, a tu jefe, a la exnovia de tu jefe (jeje si fuera el caso)…. pero alguien tuvo la visionaria idea de crear una red social para borrachos donde para poder entrar tienen que acreditar que estas borracho en ese  momento.

Las curiosidades de esta red social son:

1. Te mostrará un mapa en donde podrás ver los bares cercanos y aparecerán los borrachos de tu red social en el mapa. Entre más rojo esté el círculo, quiere decir que más ebrias estarán esas personas.

2. Con la red social LIVR podrás, charlar, mandar fotos, comparar tasas de alcoholemia y otras cosas.

3. Si al día siguiente no recuerdas nada de lo que hiciste, podrás leer un informe de lo que ocurrió.

4. Con la opción Blackout podrás eliminar todo tu historial por si consideras que hiciste algo muy vergonzoso.

Mira el video de la nueva red social LIVR:

 

Primer malware para Android basado en Tor

Yo por eso no instalo aplicaciones de dudosa procedencia y el mobile security de Trend Micro, me ha detectado algunas cosillas.

Actualmente, utilizamos nuestros teléfonos inteligentes para realizar cualquier cosa, desde servicios bancarios por Internet hasta compartir archivos privados, al mismo tiempo, el sector de programas maliciosos para dispositivos móviles está creciendo.

El número de variantes de programas maliciosos dirigidos a dispositivos móviles ha reportado un aumento que se aproxima a un 185% en menos de un año.

Investigadores en seguridad han observado un incremento en el número de equipos con familias de programas maliciosos que comienzan a utilizar comunicaciónes basadas en Tor. Recientemente investigadores de la firma de antivirus Kapersky Lab encontraron el primer programa malicioso basado en Tor para el sistema operativo Android.

El programa malicioso de Android es conocido como “Backdoor.AndroidOS.Torec.a”, por que usa un protocolo de servicio oculto de Tor para esconder la comunicación con el servidor de comando y control.

Investigadores detectaron que el troyano se ejecuta desde un dominio .Onion perteneciente a Tor y trabaja basándose en un cliente Tor de código abierto para dispositivos móviles llamado Orbot, así la amenaza pudo ser detectada y bloqueada por las autoridades, aunque no está claro el número de dispositivos que han sido infectados por el malware.

El troyano es capaz de interceptar y robar los mensajes de entrada, puede hacer peticiones USSD, el robo de información de dispositivos incluye el número de teléfono, país, IMEI, modelo y versión del sistema operativo, puede recuperar la lista de las aplicaciones instaladas en el dispositivo móvil y también puede enviar mensajes de texto a un número específico.

Kaspersky no mencionó que el malware se centre particularmente en el robo de información bancaria o no, pero la popularidad del sistema operativo Android mantiene la motivación de los cibercriminales para desarrollar malware mucho más avanzado para Android, con métodos más sigilosos y poco rastreables.

Estas son algunas consideraciones para reducir drásticamente el riesgo de infecciones de malware en su teléfono Android:

• Instalar aplicaciones desde Google Play Store en lugar de las tiendas de aplicaciones de terceros o sitios web externos.
• Antes de instalar cualquier aplicación, compruebe quién las publica y los comentarios a la aplicación.
• Preste atención a los permisos de aplicaciones durante la instalación.
• Instale un antivirus y un firewall de aplicaciones.

FLAPPY BIRD

Ya de por si es dificil para mi terminar un video juego por el rápido aburrimiento y desinteres que muestro despues de jugarlo por un rato (con algunas excepciones)… ¿por qué jugar un juego frustrante?… y lo más increible es la fama que a creado por ser considerado el peor videojuego, sin embargo dicha fama también le a hecho ganar varios miles de dolares al desarrollador, así como a unos abusados en ebay que venden celulares con el juego instalado.

El juego es básico, limitado, frustrante, difícil, poco original. No le impidió ser -por razones diversas- un éxito: sumó más de 50 millones de descargas en el tiempo en que estuvo disponible en las tiendas de juegos para Android y para el iPhone.

Ya no está más: el domingo último, Dong Nguyen , el programador vietnamita de 29 años que lo creó en unas pocas noches de trabajo, lo borró.

Ya no importan las razones por las que tomó esa decisión. ¿Una demanda judicial en ciernes? ¿el bochorno por haber sido descubierto -al parecer- usando estrategias non sanctas para hacer que ese y otros juegos sumaran, de un día para el otro, cientos de reseñas en las tiendas de Google y Apple y, con ellas, crecieran las descargas? ¿La necesidad de reducir su exposición pública por el juego que , como dijo Nguyen, le hacía mal? Quedará en el mundo de la especulación y el debate.

Lo cierto es que hoy no es posible descargar el juego de las tiendas oficiales. Pero sí es posible -y esto es un problema- conseguir el archivo original para Android e instalarlo en el teléfono (si se activa la instalación de software de terceros en el equipo).

El problema es que los vivillos que nunca falta aprovecharon para inundar Internet de malware disfrazado del Flappy Bird. El juego se instala, cómo no, y uno intenta hacer volar el pajarraco la mayor distancia posible, pero junto con él viene código malicioso que intenta generar SMS a números premium (aunque apuntan a servicios fuera de nuestro país).

El Flappy Bird original era gratis; de hecho, se financiaba en base a publicidad. En su momento de apogeo Nguyen llegó a facturar 50.000 dólares diarios, según algunos reportes. Todavía gana dinero, porque Flappy Bird no se puede descargar más pero tiene probablemente millones de usuarios que todavía lo conservan en sus equipos, lo juegan y, cuando lo hacen, ven un aviso.

Una de las versiones del juego modificadas con malware que circula por la red, nota la compañía Sophos , muestra un cartel que dice que el tiempo de prueba ha expirado, que deberá enviarse un SMS a un número para activarlo, etcétera. Esto, por supuesto, es falso, y hace que el usuario genere un mensaje premium que cobra la otra parte.

Otra versión, según indica Trend Micro , logra además enviar datos del usuario (como su dirección de mail, etcétera) a un servidor remoto.

 

Vía: la nacion

Cuentas robadas de Twitter usadas para distribuir malware

Las redes sociales son uno de los servicios más utilizados por los usuarios y, a su vez, uno de los más atacados por los piratas informáticos. Facebook es sin duda una de las redes sociales más utilizadas para distribuir malware, aunque actualmente están apareciendo nuevas amenazas para los usuarios de otras redes sociales como Twitter.

En los últimos días están apareciendo cuentas de Twitter que escriben mensajes en ruso con un link adjunto. Según informa Symantec, las cuentas que publiquen este tipo de mensajes están comprometidas por un grupo de piratas informáticos rusos que, robando las cuentas, están distribuyendo un tipo de malware para los smartphones.

Las infecciones de este malware han comenzado en Julio de 2013 y están afectando a usuarios de todo el mundo. Un único usuario infectado puede enviar cientos de tweets distribuyendo el malware a todos los contactos.

Pulsando sobre esos links se abrirá un navegador web que nos llevará a una página maliciosa desde la que se descargará el malware, aunque este deberá ser instalado manualmente por el usuario desde la carpeta de descargas. Uno de los más peligrosos que nos pueden llegar a través de estas cuentas comprometidas es una falsa versión del juego Asphalt 7 que infectará nuestro dispositivo con un troyano que enviará SMS de tarificación adicional sin consentimiento del usuario, inflando así su factura.

Symantec trabaja con Twitter para solucionar lo más pronto posible este incidente. Para comprobar si nuestra cuenta está comprometida debemos comprobar si algunos tweets se publican en ruso desde nuestra cuenta. Si nuestra cuenta ha sido vulnerada y estamos enviando este tipo de tweets, debemos cambiar nuestra contraseña inmediantamente por otra más segura para dejar de ser víctima de los piratas informáticos rusos. Ambas compañías también recomiendan usar una contraseña fuerte y segura para nuestra cuenta, así como proteger nuestro dispositivo con una solución anti-malware.

vía softzone

Revelan huecos de seguridad en móviles, Apple luce mal en Black Hat 2013

En acción. Los creadores del cargador dañino demuestran la fragilidad de la plataforma desarrollada para los Smartphones. Foto: Vanguardia-Agencias

LAS VEGAS.- Nunca como ahora los dispositivos móviles han corrido el riesgo de ser pirateados. Especialmente si se trata de un iPhone, iPad o un Smartphone con sistema operativo Google Android. Al menos, eso demostraron en Las Vegas los participantes del más reciente ciclo de conferencias Black Hat, dedicado a la ciberseguridad.

Investigadores del Centro de Seguridad Informática de Georgia  (GTISC por sus siglas en inglés) y Alcatel-Lucent revelaron agujeros desprotegidos en los servicios de soporte de desarrollo, tanto para Apple como para Google, compañías que tienen su potencial expansivo en el fomento de la creación y comercialización de nuevas aplicaciones.

Para nadie es secreto que los cibercriminales prueban constantemente nuevas maneras de infectar equipos con virus maliciosos. Sin embargo, poco a poco, el ataque a computadoras personales está siendo desplazado por la violación de dispositivos móviles, publicidad en línea y sitios webs sociales.

Hoy los hackers se dedican fundamentalmente a capturar coordenadas de localización personal, listas de contactos y entradas a registros en agendas y calendarios de nuestros medios portátiles.

“El riesgo por el virus no es lo único que debe preocuparnos, sino que también los desarrolladores de una aplicación solicitan más información personal de la que necesitan para hacer que la misma funcione y, posteriormente, venden esa información con el objetivo de hacer más lucrativo su negocio”, dijo Domingo Guerra, co-fundador y presidente de la compañía Appthority, especializada en la seguridad de aplicaciones para móviles.

El problema radica en que el descubrimiento de estos hoyos de seguridad surge justamente cuando los grandes del negocio de la tecnología Apple, Google, Microsoft y BlackBerry están impulsando a los autores de software para que implementen nuevos sistemas orientados a sus respectivas plataformas.

“A medida que se hace más popular una plataforma, mayor es la motivación para tratar de sacarle provecho debido a que su potencial económico también se eleva”, comenta Billy Lau, investigador del GTISC.

En consecuencia, compañías de tecnología, creadores de software y la publicidad virtual responden inmediatamente a los altos índices de venta de teléfonos inteligentes y tabletas. Equipos que se han convertido en un medio indispensable para la vida personal y profesional de las personas.

En este dinámico ambiente, Apple ha ganado prestigio porque cada nueva versión de sus sistemas operativos pasa, antes de salir al mercado, por una rigurosa revisión en términos de seguridad y, generalmente, no es posible instalar un programa en un iPhone o iPad sin el “permiso” del dispositivo para acceder a su sistema.

Sin embargo, Lau y el director asociado de GTISC, Paul Royal, este miércoles hicieron pública una manera de instalar un virus en un dispositivo iOS pasando por alto dicho “permiso”. Para ello se sirvieron de un cargador, fabricado conmateriales comunes, pero capaz de transmitir el programa malicioso al momento en que el iPhone o el iPad es conectado al mismo.

Ante este suceso, el director de Relaciones Públicas de Apple, Natalie Kerris, se negó a ofrecer declaraciones. (USA Today)

¿Cómo hackean tu iPhone?

>La primera operación del cargador es hacerse del número único de identificación del dispositivo (UDID). A continuación, ingresa al sitio web que provee el soporte de desarrollo de Apple para iPhone o iPad (según el caso) y solicita lo que comúnmente se conoce como “aprovisionamiento de perfil” para el dispositivo específico que se está pirateando.

Apple asume que el usuario intenta probar una nueva aplicación en su equipo e inmediatamente le provee, sin requerimientos extras, toda la información del perfil.

vía vanguardia

Cómo proteger la información que contienen los smartphones, en caso de robos o extravíos

Si un extraño se hiciera de su smartphone , le llevaría sólo unos minutos conocerlo íntimamente. Sus aplicaciones, mensajes, contactos, agenda, datos de navegación y fotos indican con qué se gana la vida, quiénes son sus mejores amigos, dónde ha estado y qué es lo que le gusta hacer.

Afortunadamente, hay configuraciones y aplicaciones simples que sirven para proteger su teléfono en estos casos. Algunos consejos.

Proteja la pantalla de inicio. Una de las maneras más fáciles de agregar una capa de seguridad a su smartphone es requerir de una clave para pasar la primera pantalla. En los iPhone puede activar una clave de cuatro dígitos y, en los Android, una clave o un gesto que hace con sus dedos en la pantalla. Hay también una función para hacer que el teléfono borre todos sus datos si una persona ingresa incorrectamente la clave un cierto número de veces.

Use aplicaciones para celulares perdidos. Si su teléfono se pierde o es robado, hay aplicaciones que pueden rastrear su ubicación. Si está encendido, puede pinguearlo para obtener una señal que muestre su ubicación aproximada en un mapa.

Para el iPhone, Apple ofrece una herramienta gratuita llamada Find My iPhone . Y, para los Android, las también gratuitas Lookout y Where’s My Droid ayudan a localizar un teléfono extraviado. Lookout incluso puede sacar una foto del rostro de un ladrón con la cámara frontal y enviarle un mail con la imagen y la ubicación a la que lo ha llevado.

Tanto Lookout como Find My iPhone tienen una función para borrar a distancia todos los datos del teléfono sólo clickeando un botón.

Atención alMalware. Apple vigila su App Store de modo que, por lo general, el software malicioso (malware ) no llega a los iPhone. Pero la naturaleza más abierta del Android lo hace susceptible a estos software que pueden robar la información personal de un usuario. La aplicación Lookout los escanea y elimina. El tipo más destacado de malware es el toll fraud , que envía mensajes desde su dispositivo a un servicio que autoriza cobros a su factura de teléfono. Los propietarios de celulares Android deberían ocasionalmente verificar si en sus cuentas hay imputaciones misteriosas.

Minimice la información sobre su ubicación. Muchas aplicaciones en un smartphone rastrean su ubicación. En las configuraciones del iPhone y el Android, puede elegir qué aplicaciones tendrán acceso a su ubicación o desactivar por completo estos servicios. Lo más aconsejable es sólo permitir que accedan a sus datos aplicaciones que hacen buen uso de sus datos de ubicación, como el software de GPS.

Encripte sus datos. Aunque requiera una clave para usar su celular, un ladrón puede conectarlo como una computadora y encontrar sus datos. Los investigadores de seguridad aconsejan usar la encriptación para asegurar su información. Los usuarios de iPhone tienen suerte. Los nuevos celulares de la marca tienen encriptado el software y el hardware, lo que hace virtualmente imposible para un extraño obtener los datos mientras la pantalla de seguridad está protegida por una clave. Algunos teléfonos Android tienen una función de encriptado por software; por ejemplo, el Samsung Galaxy S III, que tiene una opción que requiere ingresar una clave para desencriptar datos del dispositivo y su tarjeta de memoria cuando se lo inicia. Pero tenga en cuenta que el proceso de encriptado del Galaxy es irreversible.

También hay aplicaciones de terceros que le permiten encriptar tipos específicos de información.Good Technology para iPhone y Android ofrece un software para manejar datos delicados de empresas dentro de un contenedor encriptado. SecureMemo para Android permite guardar datos valiosos en un archivo encriptado en la tarjeta de memoria. Para iPhone y Android, SecureSafeguarda datos importantes en una «caja de depósito seguro» protegida por una clave online . Y Tiger Text permite enviar mensajes, fotos y documentos encriptados.

Vía canasanta