Si tus mensajes cayeran en manos de otra persona, aún siendo por error, ¿igual te preocuparía verdad? Esto es lo que pasó con iMessage y el fallo de seguridad, que para Apple no es en lo absoluto un problema de seguridad. Sale a colación el tema porque una persona llevó su iPhone al soporte técnico en una Apple Store y terminó recibiendo los mensajes del empleado que lo ayudó, esto pasó porque el “Genius” usó su propia tarjeta SIM en el iPhone del cliente y sin ningún tipo de proceso, todo se sincronizó de manera inmediata.

Si lo vemos desde el punto de vista de Apple, obviamente no hay ningún fallo de seguridad en iMessage, para los de Cupertino la culpa fue del empleado porque no siguió las pautas correctas, que sería desactivar iMessage y continuar con el proceso, pero redundando, este no sería el mismo proceso para cuando vamos vender nuestro iPhone o algo similar porque entonces deberíamos saber que se tiene que retirar la SIM antes de pasar a hacer el borrado completo del equipo, ¿sencillo? dejando una respuesta en blanco, mejor sería plantear una nueva pregunta: ¿por qué deberíamos saber todo esto? ¿por qué Apple asume que la solución es sencilla si ni siquiera el empleado lo sabía? Ahora, ¿qué pasa si nos roban el iPhone y no desactivamos la SIM en 10 segundos después del robo y la meten en un nuevo iPhone? Una respuesta sería:

El problema radica en que los servidores de Apple almacenan más de lo que deben, es decir, que al activar un iPhone, el UDID del equipo queda registrado y junto a él la información de la tarjeta SIM, por eso cuando tenemos un iPhone sin tarjeta SIM aún llegan los mensajes vía Wi-Fi de la cuenta que se registró con la tarjeta SIM más reciente que se ha insertado. La solución parece clara y no se entiende muy bien por qué se almacena información de la SIM, además por qué se puede acceder tan fácilmente sin siquiera tener una alerta para ingresar la contraseña.

En Apple tiene razón, las soluciones están y en la mayoría de los casos son útiles, sin embargo, es un fallo técnico que si bien requiere de que tengamos conciencia de que estamos prestando nuestro teléfono a un amigo o estamos ingresando nuestra SIM en otro iPhone, vamos a estar interveniendo o dejar que interfieran en algo tan privado como nuestras conversaciones o archivos compartidos mediante la aplicación si no se realizan los pasos anteriores y cualquier de los casos. De ahora en adelante ya se sabe cuáles serían las indicaciones para cuando un amigo o nosotros nos quedamos sin batería, de lo contrario vamos a tener un arroz con mango en cada iMessage.

Chris Hessing y Bret Jordan, dos investigadores expertos en la seguridad móvil lograron detectar que algunos terminales de HTC son capaces de revelar las credenciales de seguridad en redes Wi-Fi, en pocas palabras la contraseña. El fallo se debe a que las aplicaciones de terceros cuentan con el permiso android.permission.ACCESS_WIFI_STATE lo cual permitiría mediante un comando acceder al apartado donde se encuentran los datos con las credenciales de la red WiFi a la que estemos conectados, es decir, que de lograrse el ingreso gracias al fallo de seguridad, traería como consecuencia el poder transmitir datos privados a un servidor remoto.

El bug fue descubierto en septiembre del año pasado y al parecer las pruebas junto a HTC y Google, más el tiempo de dedicación conllevó a que se hiciera publico el día de ayer. Hoy HTC hace frente al problema en la seguridad de redes WiFi a la que puedan estar conectados los terminales que han creado, y aunque en sus declaraciones describen el problema como pequeño, según las pruebas de quienes lograron dar con el fallo, los modelos afectados no son dos ni tres, son nueve terminales afectados.

• HTC Desire HD (Acea y Spade)
• HTC Glacier
• Droid Incredible
• Thunderbolt 4G
• Sensation Z710e
• Sensation 4G
• Desire S
• EVO 3D
• EVO 4G

Aparentemente el problema se ha venido resolviendo desde hace un par de meses con algunas actualizaciones que corrigen la vulnerabilidad de manera automática, asegura que esto sucede en la mayoría de los equipos, pero los que no, se recomienda revisar la web de soporte de HTC para seguir las indicaciones de cómo solventar el inconveniente y realizar la actualización manualmente. Google por su parte alega que ya ha realizado una búsqueda de aplicaciones que exploten el fallo de seguridad en los terminales de HTC, las que han detectado el uso han sido retiradas o advertidas a sus respectivos desarrolladores.

Ayer se comenzó a correr una información que alertó a más de un usuario de Android con un teléfono de HTC. Según se informaba, se habría descubierto un fallo de seguridad que ponía al descubierto datos personales como la información del número telefónico, el correo electrónico y ubicaciones de datos del GPS. Horas después de repercutir la noticia en varias parte del mundo, HTC se manifestó y confirmó que el fallo existe.

De acuerdo con la primera información, los móviles afectados y que podrían ser más son HTC 3D EVO, EVO 4G y Thunderbolt. Estos terminales tienen instalado un paquete de aplicaciones llamado HTCLoggers.apk, siendo este el causante de que se pueda acceder a los datos, puesto que cuando aplicaciones acceden a él se filtra la información y la almacena para poner a disposición de cualquier otra aplicación que la necesite. Por este filtro pasan número de teléfonos, mensajes de texto, ultimas ubicaciones del GPS y datos de conexión.

Como se puede ver es una vulnerabilidad muy delicada, a la que se podría acceder de manera de remota y jugar con ella para bien o para mal. Afortunadamente, horas después de reportar le fallo, HTC se manifestó y aseguró que dentro de poco esperan liberar la forma de solucionar el fallo a través de una actualización de software. En palabras de HTC:

HTC está trabajando muy diligentemente para liberar rápidamente una actualización de seguridad que resuelva el problema en los dispositivos afectados. Después de un corto período de prueba, el parche se enviará a través de una actualización directa al dispositivo (OTA)

A pesar que sólo se especifican pocos modelos de HTC, la lista podría ser larga. Sin embargo, la intención no es alarmar sino prevenir. Por lo tanto, la recomendación es tener la mayor precaución o mantenernos alejados de la descarga, uso, instalación y actualización de aplicaciones de fuentes no fiables.

Sólo diez días han pasado desde que Apple liberó la actualización de iOS 4.3.4, la cual arreglaba la vulnerabilidad al abrir archivos PDF ocupada para hacer Jailbreak. Hoy los de Cuppertino han lanzado una nueva actualización que resolvería un problema de seguridad con la validación de certificados.

IOS Software Update 4.3.5 corrige una vulnerabilidad de seguridad con la validación de certificados.

Esta nueva versión se trata de la Build 8L1, y es para iPhone 4 GSM, iPhone 3GS, iPad, iPad2 y la cuarta generación de iPod Touch. Por separado ha salido la versión iOS 4.2.10 (build 8E600) la cual esta disponible para el iPhone CDMA.

Algunos usuarios han reportado recibir errores al intentar conectarse a los servidores de Apple para la actualización, pero con varios intentos estos usuarios han podido realizar la actualización.

Via: Macrumors

Por lo que los desarrollladores de Google ya estan trabajando en resolver este problema y lanzarán cuanto antes un parche del lado del servidor que solucionaría este grave problema.

Esta actualización sería automática y no tendríamos que instalar ningún parche o aplicación para que se complete este procedimiento. También se ha hecho saber que el problema ya se ha solucionado en Google Contacts y Google Calendar, pero Picasa sigue expuesto a este fallo.

Google en su comunicado oficial ha dicho:

Hoy estamos empezando a desplegar una solución que aborda un problema de seguridad que podría, en determinadas circunstancias, permitir un acceso de terceros a los datos disponibles en el calendario y los contactos. Esta revisión no requiere ninguna acción de los usuarios y se extenderá a nivel mundial durante los próximos días.

A pesar de ser ya solo Picasa el único servicio afectado, es preocupante, ya que no solo podrian hacerse de nuestros albumes de este servicio de fotografías, sino que a través de el, podrían tener acceso a los números de teléfonos de nuestros contactos e información del calendario, incluyendo las ubicaciones que hayamos programado en nuestros eventos.

Vía: Intomobile

Pues parece que no todo estaría funcionando correctamente, los chicos de AndroidPolice encontraron un grave problema de seguridad en esta aplicación, el cual permitiría que terceras personas se hicieran de nuestra información como: nombre, dirección, números de teléfono de nuestra libreta de direcciones e inclusive el historial de conversaciones que guardemos.

Al ser una beta filtrada uno podría pensar que es hasta cierto punto normal que se tengan este tipo de “errores”, pero el problema viene cuando nos enteramos del origen del problema. Al parecer la aplicación de Skype para Android guardaba la información antes mencionada en múltiples bases de datos SQLite3 con permisos incorrectos y se especula que la aplicación de Skype con la que se cuenta actualmente en el Android Market tendría la misma vulnerabilidad.

Si bien para que algún usuario se apropiara de nuestra información, nosotros tendríamos todavía que instalar una aplicación maliciosa, no es entendible como una compañía tan grande como Skype cometa estos errores de seguridad con información tan sensible para sus usuarios.

Foto: Bitelia

Pues hoy nos llega la noticia de que investigadores de seguridad de Security Research labs lograron hackear no solo las llamadas, sino intervenir mensajes de texto utilizando teléfonos de 15 dólares y software libre en solo tres minutos. Haciendo declaraciones de todos conocidas, que el sistema de cifrado utilizado por las llamadas GSM es obsoleto.

¿Y como lo hicieron?; Pues remplazando el firmware de un teléfono Motorola GSM, tomaron datos de la red celular para posteriormente monitorearlos y obtener más información de la que obtiene un teléfono normal y reenviarla a una computadora al mismo tiempo. Con los datos almacenados solo tuvieron que desencriptar la información y eso lo lograron gracias a la forma en que las redes celulares intercambian información del sistema con todos los terminales.

Pero no todas son malas noticias, los investigadores dicen que las nuevas redes como UMTS y LTE ofrecen alternativas más potentes y robustas para evitar el robo de información o espionaje. Estas redes aún no se implantan completamente en los grandes mercados, por lo que habrá que esperar a que se actualicen poco a poco.

Da un poco de miedo saber que si esto fue hecho con tan poco y por un pequeño grupo de investigadores, que no harán ya los grandes gobiernos o empresas con toda la infraestructura y tecnología a su alcance.

Pero al final aunque resuelvan este problema o se implanten nuevos tipos de redes y estándares, volvemos a lo mismo, lo que se va viendo en un mundo donde todo lo hecho por el hombre es susceptible ha ser roto. Ningún sistema de seguridad es perfecto, por lo que no tardarán en salir grupos de hackers que por el simple gusto de demostrar lo anterior harán hasta lo imposible por descifrar cualquier sistema de seguridad existente.

Foto: Davide Restivo

Sin embargo, esta semana la advertencia ha sido global: el sebito natural de nuestros dedos – más lo que se junte con esas deliciosas papas fritas – se traza y deposita con tanta facilidad en la pantalla del teléfono, que puede revelar a otras personas nuestro password en los sistemas Android.

Confesaré que al comprar mi primer Android me fascinó la forma en que se bloquea el teléfono para desbloquearse con un movimiento rápido de los dedos. Sin embargo, el rastro grasiento y la imposibilidad de pasar dos veces por un mismo punto en cada uno de los nueve sectores que conforman la clave de esta pantalla de seguridad, deja muy vulnerables a estos dispositivos.

Y es que el “caminito” de los dedos es muy fácil de recordar, tan sólo basta verlo, y tratar de realizarlo de ida, y realizarlo de regreso.

La revelación la han encontrado personalmente algunos usuarios de Android, pero ahora la alerta ha sido oficial gracias a investigadores de la Universidad de Pennsylvania.

Los resultados de su investigación indican que el patrón de desbloqueo se revela fácilmente con al fotografiar la pantalla, y modificándola en un editor básico de imágenes para subirle el contraste.

El problema tiene varias maneras de prevenirse, la opción que yo he tomado es el cambio constante del patrón. La otra, cargar con un mini rociador de windex y paño para limpiarlo a conciencia cada vez que lo desbloqueemos, sobre todo después de recetarnos un bote de Kentucky Fried Chicken.

En Android 2.2 tienen ya la opción de ingresar al teléfono con números, lo cual imposibilita que la grasita de las manos revelen nuestra más oscura información del celular, y que dada la alta capacidad de integración de Android y Google, ya no sólo se trata de SMS. En mi teléfono al menos podrían acceder a mi cuenta de Hotmail, a GMail, mi Reader, mi Picasa, Tumblr también, Twitter a través de tres aplicaciones distintas, mis Google Docs, mi listas privadas de YouTube – muy privadas –, y ni qué decir de mi extensa lista de marcadores del Opera Mini y las contraseñas que ya le dejé guardadas.

Así que señores, ¡a limpiar pantallas y a lavarse las manos!

Parece que el conocido Charles Miller, investigador de seguridad y doctor en informática, ha informado en el New York Times de que ha encontrado un fallo de seguridad en Android. Con este fallo se puede instalar un software para capturar las pulsaciones de teclado, permitiendo conocer contraseñas y datos del usuario.

Sin duda se trata de un fallo de seguridad muy importante, del que Google no tardará en ponerle solución. Google se ha quejado de que Miller ha anunciado el fallo demasiado pronto, antes de que hayan podido solucionarlo, ya que tenían conocimiento del mismo.

Charles Miller ya consiguió encontrar un agujero similar en el sistema operativo Mac OS X Leopard con un Macbook Air y también pirateó el iPhone.

En fin, como siempre fallos se han de encontrar, y también como siempre esperemos que Google lo subsane muy pronto. Su velocidad en repararlo hará que los fabricantes apuesten por su Android, aunque son muchos los que ya se encuentran muy interesados.

Enlace: Encontrado primer fallo de seguridad en el T-Mobile G1

Se ha detectado un importante fallo de seguridad en la firmware 2.0.2 del iPhone, yo diría que es una puerta trasera, aunque la verdad es que un poco chapuza, lo sea o no es un fallo importante, afecta en el caso de que tengas algún tipo de bloqueo en el iPhone. En el caso de que te lo coja alguien podrá acceder a tu información o utilizar el teléfono.

Pues bien, si tienes tu iPhone bloqueado y llega alguien que por un casual pulse sobre el botón de “Llamada de emergencia”, después a la tecla de volver y dos veces el botón de inicio simultáneamente, se encontrará con que ha accedido a la sección favoritos del teléfono, por lo tanto intruso se encontrará que puede operar con tus contactos favoritos.

Resulta difícil de creer que un usuario no utilice la función de favoritos de su iPhone, en este caso no tendrá ningún problema. Es una función que me encanta, me sorprendí gratamente al encontrarla y se puede considerar como una de las muy interesantes de la función teléfono, de ahí la importancia del fallo de seguridad.

Así mediante urls, mails, teléfono de tus contactos podrá abrir programas como safari, el correo, así como llamar. Entrando en Ajustes / General / Botón de Inicio y una vez ahí escogiendo cualquier otra opción que no sea Teléfonos favoritos sino Inicio o iPod os solucionará el tema hasta que Apple lo arregle para la 2.1 (esperemos).

Vía: Appleweblog