Fallas en la doble autenticación de paypal

Existe una vulnerabilidad en la forma en como PayPal maneja algunas peticiones de clientes móviles. Esto permite a los atacantes evitar el mecanismo de autenticación doble y transferir dinero de alguna víctima a la cuenta que el atacante quiera.

La falla radica en la forma en la que fluye el proceso de autenticación en los dispositivos móviles iOS y Android, el error se encuentra del lado del servidor. Investigadores de Duo Security desarrollaron una aplicación móvil como prueba de concepto que puede explotar la vulnerabilidad. Se advirtió a PayPal del problema desde marzo y han estado trabajando en corregirlo. Sin embargo, no se planea liberar un parche completo sino hasta julio.

Zach Lanier, investigador en seguridad de DuoSecurity, escribió su explicación sobre la vulnerabilidad y sus efectos:

“El Atacante sólo necesita el usuario y contraseña de la víctima para acceder a una cuenta que está protegida por seguridad de dos factores y enviar dinero. La protección ofrecida por el mecanismo de seguridad de dos factores puede ser evadido y esencialmente anulado”.

“Mientras la app móvil de PayPal aun no soporta la autenticación doble, es posible engañar a la aplicación para que ignore la bandera de autenticación doble de la cuenta, permitiendo al atacante ingresar a la cuenta sin la segunda autenticación”.

PayPal brinda a sus usuarios la opción de usar autenticación doble de distintas maneras. En esta autenticación se generan contraseñas de un sólo uso durante la sesión. Este sistema puede ser utilizado en el soporte web de PayPal pero no en la aplicación móvil.

La vulnerabilidad puede ser explotada al crear una aplicación que engaña a la API de PayPal, ésta cree que la aplicación móvil se está conectando a una cuenta con autenticación simple, ignorando por completo la autenticación doble.

La aplicación que se creó se comunica con dos API distintas de PayPal. La primera se encarga de la autenticación y la segunda se encarga de la transferencia del dinero. Mientras se investigaba la vulnerabilidad, los investigadores de Duo notaron que cuando los servidores de PayPal responden a una petición POST desde la aplicación móvil, utilizando la autenticación doble, se desplegaba un mensaje de error y se enviaba al usuario a la pantalla de login. Pero cuando la respuesta del servidor era modificada colocando el campo de autenticación doble en la aplicación, se le permitía al usuario entrar.

vía threatpost

Anuncios

Icloud HACKEADA

Queda claro que nadie se salva de los ciberdelincuentes.

 

servicio de almacenamiento de datos, que cuenta con más de 400 millones de usuarios, publicó el diario holandés “De Telegraaf”.

Esta banda que opera bajo el nombre Doulci atacó el servicio de seguridad para bloquear teléfonos iPhone robados a través del sistema de almacenamiento en la nube iCloud de Apple.

Cuando un iPhone es robado, el propietario puede bloquearlo a distancia a través de iCloud, el sistema de almacenamiento en la nube de Apple; por lo que al “hackear” el sistema se puede desbloquear al instante el teléfono, explica el diario.

 Al desbloquear iPhones, los revenden

Según los propios piratas, que se esconden detrás de los pseudónimos AquaXetine y Merruktechnolog, solo en los últimos días 30 mil teléfonos móviles iPhone robados han sido desbloqueados. Estos aparatos se venden después en Internet.

Además, indica que sobre todo comerciantes chinos compran masivamente teléfonos móviles de Apple bloqueados en la página de subasta y de comercio por Internet eBay para hacer un negocio rápido. Los compran por entre 50 y 150 dólares y después los venden desbloqueados por un importe que va desde los 450 a los 700 dólares, recuerda el diario.

También terminales iPhones y tabletas iPad, que Apple ha bloqueado porque fueron modificados por sus propietarios en contra de los términos de la compañía, son fáciles de vender.

vía informador

Incluso Apple tiene vulnerabilidades

Crea algo bonito, lujoso y cobra por sus actualizaciones, esta parece ser la presima de Apple y nos vende estos dispositivos, como seguros, como improbable que un virus entre a ellos, pero inclusive apple tiene vulnerabilidades.

La vulnerabilidad afecta los correos electrónicos en varias versiones del sistema operativo de Apple

 

Al parecer iOS, el sistema operativo móvil de Apple, ha encontrado una nueva vulnerabilidad en la cual se puede acceder a los correos electrónicos y que afecta a las versiones más recientes que van desde la 7, hasta la 7.1.1.

De acuerdo con el medio ABC.es, Andreas Kurtz, investigador de seguridad, indicó que el sistema no encripta los archivos adjuntos de un e-mail, algo que la misma empresa afirma que sí hace.

El experimento que realizó se llevó a cabo en un iPhone 4, iPhone 5 y en un iPad 2 conectados a una computadora. Después de un breve proceso informático logró navegar en la partición de datos entre los archivos guardados y descubrió que los adjuntos no tienen ninguna protección.

En el artículo se menciona que Kurtz reportó el problema un día después que se lanzara la actualización iOs 7.1.1, que se supone, solventaba problemas de seguridad.

Sin embargo, se dice que acceder a los archivos no es sencillo para cualquiera ya que el ladrón necesita poseer el equipo y hacer un bypass con Jailbreak para lograr desbloquear el móvil, algo que necesita ciertos conocimientos de informática.

Kurtz relata en su blog que informó estos hallazgos a Apple. “Respondieron que eran conscientes de este problema, pero no mencionaron ninguna fecha para una solución”.

“Teniendo en cuenta el largo tiempo que iOS 7 ha estado disponible y por la sensibilidad de los adjuntos de un correo electrónico, que muchas empresas comparten en sus dispositivos (fundamentalmente dependen de la protección de datos), me esperaba un parche a corto plazo. Por desgracia, incluso iOS 7.1.1 no remedia el problema, dejando a los usuarios en riesgo de robo de datos”.

Como solución temporal, los usuarios interesados ​​pueden deshabilitar la sincronización de correo (por lo menos en los dispositivos donde el ROM de arranque es explotable), finaliza.

Vía: el universal

Whatsappitis

La tecnología avanza constantemente día con día y con ella también algunas enfermedades que no existian hace algunos años, ahora hacen su aparición.

Debe de ser cool decir que “tengo un grave problema de Whatsappitis aguda, así que no puedo ir a trabajar”

Una mujer española de 34 años de edad con un embarazo de 27 semanas se despertó por la mañana con un súbito dolor en las muñecas. No tenía antecedentes de trauma ni había participado en ninguna actividad física excesiva días antes. No lo sabía, pero era el primer caso de “Whatsappitis”.

El neologismo no es un invento cualquiera: es el nombre que le designa un artículo de la prestigiosa revista The Lancet a la tendinitis provocada por usar demasiado el servicio de mensajería instantánea WhatsApp.

La mujer, médico de urgencias, acababa de terminar una guardia el 24 de diciembre en el hospital donde trabaja cuando sintió un intenso dolor en su muñeca. Al llegar a su casa y ver todas las felicitaciones navideñas en su celular, empezó a contestarlas una por una en lugar de descansar el dolor de muñeca. Luego de pasar 6 horas enviando mensajes por WhatsApp, comenzó a tener dolor en el dedo pulgar.

“Sujetó el teléfono móvil, que pesaba 130 gramos, por lo menos durante 6 horas”, señala en el artículo la doctora Inés Fernández Guerrero, del Hospital Universitario de Granada. “Durante este tiempo, ella hizo movimientos continuos con ambos pulgares para enviar mensajes”.

“El diagnóstico para el dolor bilateral en la muñeca fue de WhatsAppitis”, dice el artículo. El tratamiento consistió en medicamentos antiinflamatorios no esteroideos y la completa abstinencia de utilizar el teléfono para enviar mensajes.

“Debido a su embarazo, la paciente sólo tomó paracetamol con mejoría parcial y no se abstuvo por completo de usar su teléfono, ya que intercambió nuevos mensajes el 31 de diciembre por Año Nuevo”, agrega.

Nuevos trastornos

La llamada Nintendinitis, provocada por usar dispositivos como la consola Nintendo, fue descrita por primera vez en 1990, y desde entonces se han reportado lesiones relacionadas con los videojuegos y las nuevas tecnologías.

Inicialmente reportado en niños, estos casos se ven ahora en los adultos, apunta el artículo de The Lancet. La tenosinovitis causada por mensajes de texto con teléfonos móviles podría ser una enfermedad emergente. Los médicos deben ser conscientes de estos nuevos trastornos”, advierte Fernández Guerrero.En 1990, la revista médica The New England Journal of Medicine diagnosticaba por primera vez un caso de nintendinitis en el que una mujer de 35 años había pasado cinco horas seguidas jugando con una consola de Nintendo, también en Navidad.En 2007, un hombre de 29 años sufría un caso de wiitis aguda tras pasar muchas horas jugando al tenis con su consola Wii. En ambos casos, la receta fue la misma: ibuprofeno y alejarse de los videojuegos por un tiempo.El nacimiento de estos trastornos podría remontarse a 1981, cuando se habló de la “muñeca de Space Invaders”, dolor causado por apretar el botón requerido por el popular videojuego.

vía yucatan

RED SOCIAL PARA BORRACHOS

En una noche de fiesta lo menos recomendable es usar tu celular y menos cuándo tienes unas copas encima, por que “accidentalmente” puedes marcar a tu exnovia, a tu jefe, a la exnovia de tu jefe (jeje si fuera el caso)…. pero alguien tuvo la visionaria idea de crear una red social para borrachos donde para poder entrar tienen que acreditar que estas borracho en ese  momento.

Las curiosidades de esta red social son:

1. Te mostrará un mapa en donde podrás ver los bares cercanos y aparecerán los borrachos de tu red social en el mapa. Entre más rojo esté el círculo, quiere decir que más ebrias estarán esas personas.

2. Con la red social LIVR podrás, charlar, mandar fotos, comparar tasas de alcoholemia y otras cosas.

3. Si al día siguiente no recuerdas nada de lo que hiciste, podrás leer un informe de lo que ocurrió.

4. Con la opción Blackout podrás eliminar todo tu historial por si consideras que hiciste algo muy vergonzoso.

Mira el video de la nueva red social LIVR:


 

Primer malware para Android basado en Tor

Yo por eso no instalo aplicaciones de dudosa procedencia y el mobile security de Trend Micro, me ha detectado algunas cosillas.

Actualmente, utilizamos nuestros teléfonos inteligentes para realizar cualquier cosa, desde servicios bancarios por Internet hasta compartir archivos privados, al mismo tiempo, el sector de programas maliciosos para dispositivos móviles está creciendo.

First Tor Based Android Malware Spotted in the Wild

El número de variantes de programas maliciosos dirigidos a dispositivos móviles ha reportado un aumento que se aproxima a un 185% en menos de un año.

Investigadores en seguridad han observado un incremento en el número de equipos con familias de programas maliciosos que comienzan a utilizar comunicaciónes basadas en Tor. Recientemente investigadores de la firma de antivirus Kapersky Lab encontraron el primer programa malicioso basado en Tor para el sistema operativo Android.

El programa malicioso de Android es conocido como “Backdoor.AndroidOS.Torec.a”, por que usa un protocolo de servicio oculto de Tor para esconder la comunicación con el servidor de comando y control.

Investigadores detectaron que el troyano se ejecuta desde un dominio .Onion perteneciente a Tor y trabaja basándose en un cliente Tor de código abierto para dispositivos móviles llamado Orbot, así la amenaza pudo ser detectada y bloqueada por las autoridades, aunque no está claro el número de dispositivos que han sido infectados por el malware.

El troyano es capaz de interceptar y robar los mensajes de entrada, puede hacer peticiones USSD, el robo de información de dispositivos incluye el número de teléfono, país, IMEI, modelo y versión del sistema operativo, puede recuperar la lista de las aplicaciones instaladas en el dispositivo móvil y también puede enviar mensajes de texto a un número específico.

Kaspersky no mencionó que el malware se centre particularmente en el robo de información bancaria o no, pero la popularidad del sistema operativo Android mantiene la motivación de los cibercriminales para desarrollar malware mucho más avanzado para Android, con métodos más sigilosos y poco rastreables.

Estas son algunas consideraciones para reducir drásticamente el riesgo de infecciones de malware en su teléfono Android:

  • Instalar aplicaciones desde Google Play Store en lugar de las tiendas de aplicaciones de terceros o sitios web externos.
  • Antes de instalar cualquier aplicación, compruebe quién las publica y los comentarios a la aplicación.
  • Preste atención a los permisos de aplicaciones durante la instalación.
  • Instale un antivirus y un firewall de aplicaciones.

FLAPPY BIRD

Ya de por si es dificil para mi terminar un video juego por el rápido aburrimiento y desinteres que muestro despues de jugarlo por un rato (con algunas excepciones)… ¿por qué jugar un juego frustrante?… y lo más increible es la fama que a creado por ser considerado el peor videojuego, sin embargo dicha fama también le a hecho ganar varios miles de dolares al desarrollador, así como a unos abusados en ebay que venden celulares con el juego instalado.

El juego es básico, limitado, frustrante, difícil, poco original. No le impidió ser -por razones diversas- un éxito: sumó más de 50 millones de descargas en el tiempo en que estuvo disponible en las tiendas de juegos para Android y para el iPhone.

Ya no está más: el domingo último, Dong Nguyen , el programador vietnamita de 29 años que lo creó en unas pocas noches de trabajo, lo borró.

Ya no importan las razones por las que tomó esa decisión. ¿Una demanda judicial en ciernes? ¿el bochorno por haber sido descubierto -al parecer- usando estrategias non sanctas para hacer que ese y otros juegos sumaran, de un día para el otro, cientos de reseñas en las tiendas de Google y Apple y, con ellas, crecieran las descargas? ¿La necesidad de reducir su exposición pública por el juego que , como dijo Nguyen, le hacía mal? Quedará en el mundo de la especulación y el debate.

Lo cierto es que hoy no es posible descargar el juego de las tiendas oficiales. Pero sí es posible -y esto es un problema- conseguir el archivo original para Android e instalarlo en el teléfono (si se activa la instalación de software de terceros en el equipo).

El problema es que los vivillos que nunca falta aprovecharon para inundar Internet de malware disfrazado del Flappy Bird. El juego se instala, cómo no, y uno intenta hacer volar el pajarraco la mayor distancia posible, pero junto con él viene código malicioso que intenta generar SMS a números premium (aunque apuntan a servicios fuera de nuestro país).

El Flappy Bird original era gratis; de hecho, se financiaba en base a publicidad. En su momento de apogeo Nguyen llegó a facturar 50.000 dólares diarios, según algunos reportes. Todavía gana dinero, porque Flappy Bird no se puede descargar más pero tiene probablemente millones de usuarios que todavía lo conservan en sus equipos, lo juegan y, cuando lo hacen, ven un aviso.

Una de las versiones del juego modificadas con malware que circula por la red, nota la compañía Sophos , muestra un cartel que dice que el tiempo de prueba ha expirado, que deberá enviarse un SMS a un número para activarlo, etcétera. Esto, por supuesto, es falso, y hace que el usuario genere un mensaje premium que cobra la otra parte.

Otra versión, según indica Trend Micro , logra además enviar datos del usuario (como su dirección de mail, etcétera) a un servidor remoto.

 

Vía: la nacion