Nuevo Malware en Android afecta a todos los dispositivos modernos. Ojo!

Malware en Android pone en riesgo la seguridad de nuestros smarpthones, al permitir instalaciones fraudulentas

Cloak & Dagger”. Capa y cuchillo. Ese es el nombre de la nueva vulnerabilidad de Android que afecta a dispositivos con Android, incluso la más reciente versión estable 7.1.2 y Betas de Android O. El nombre hace referencia al método de engaño de la app, que dibuja otro tipo de contenido encima de la pantalla para obligarnos a darle todos los permisos necesarios para que la app tenga acceso a nuestro teléfono.

Y como Android lo permite, no hay un verdadero control al respecto, al menos de momento.

En esencia, es como si alguien pusiera otro papel, con un contenido totalmente diferente, sobre un documento importante, dejando sólo el espacio de la firma del oficial, para que nosotros sin conocimiento del contenido original, firmemos.

Esto se debe que, de momento, cualquier app del Play Store tiene el permiso de “Dibujar sobre otras App” activado por defecto, sin realizarnos una pregunta sobre ello. Como consecuencia, como pueden ver en el video, la app se hace pasar por un simple “mensaje”, pero en realidad, en segundo plano, nosotros estamos, sin saberlo, dándole todos los accesos y permisos para que la app tenga acceso total a nuestro teléfono. Esto es un problema del diseño de Android, más que un agujero de seguridad en el código, pero uno que no ha sido remediado ni en las más recientes versiones del sistema operativo.

 Malware en Android: cómo funciona el Click Jacking?

A este tipo de ataques se le hace llamar “clickjacking”, porque este particular malware en Android “sabotea” la información mostrada para que, cuando nosotros le estemos dando click al “Ok”, lo estemos haciendo a otra cosa en lugar de la mostrada.

Según la info mostrada por la web Cloak & Dagger, que han hecho pública esta información para que Google pueda tomar cartas en el asunto:

  • Si la app maliciosa es instalada desde el Play Store, el usuario no es notificado sobre los permisos dados a esta app y no necesita darlos para que el ataque funcione, debido a que el permiso “draw on top” o dibujar encima de otra app – usada por apps como Facebook Messenger y sus burbujas, por ejemplo, o aplicaciones que graban la pantalla – es dado automáticamente.
  • Los ataques posibles, incluyen la grabación de todo lo escrito (con un teclado infectado con malware en Android), grabación de todo lo visto en pantalla, Phishing. Y como se puede usar esta técnica para “engañar” al usuario a que active la instalación de apps desde fuera del Play Store sin que lo sepa, se podría instalar silenciosamente una app maliciosa con la capacidad de rootear el teléfono y realizar aún peores cosas (desbloquear el teléfono remotamente y acceder a este en cualquier momento, activar la cámara de fotos o videos sin nuestro conocimiento, y mucho más)

Miren cómo puede robarse el password de Facebook, a través de este tipo de ataques:

O cómo es posible interceptar lo escrito, al poner una grilla invisible donde iría el teclado virtual

Lo curioso es que la app que se usó para demostrar este ataque, sigue estando

disponible en el Play Store, lo cual demuestra un flojo nivel de seguridad por parte de Google, y pobres filtros ante posibles apps maliciosas que se encuentren en la misma tienda oficial.

No hay cura o protección ante ello porque es un error de diseño innato de Android. Encima, como pueden ver, el ataque puede venir de aplicaciones que están en el Play Store. Lo recomendable, entonces, es sólo instalar apps confiables, de desarrolladores conocidos. E informarle a personas que no cuenten con los mismos conocimientos tecnológicos de este tipo de ataques, compartiendo el post, para que no clickeen, sin saber, en apps que parecen fraudulentas. Esperemos que la solución sea algo sencillo (como exigir mayores permisos a la hora de instalar apps, o tener mayor control a la hora de permitir apps en el Play Store

Hacker vence al lector de Iris del Galaxy S8, con una foto y lente de contacto

El Escáner de Iris del S8 se ha presentado como una de las opciones biométricas más seguras para salvaguardar la información de nuestros smartphones. Sin embargo, hoy ha sido revelado que una simple impresión de una imagen infrarroja – realizada en cualquier impresora – junto a un lente de contacto para “engañar” al escáner en computar que se trata de un ojo real, es suficiente para pasar esta prueba.

Esto fue demostrado por Jan Krissler, conocido como “Starbug”, quien en el pasado ya ha demostrado lo fácil que es sobre-pasar otros métodos de seguridad. Demostró cómo sobrepasar el TouchID de Apple días después de ser lanzado, por ejemplo, y fue capaz de recrear la huella dactilar de la ministra de defensa Ursula von der Leyen, usando sólo fotografías de sus dedos.

Lo que se necesita, esencialmente, es una cámara de fotos que cuente con un “modo nocturno”, capaz de activar el sensor infrarrojo (las cámaras Sony popularmente hacen esto con su Night Visión). Una vez que tenemos la foto infrarroja, simplemente se coloca cualquier lente de contacto para engañar a la cámara y hacerlo parecer un ojo humano

<iframe width="1024" height="576" src="https://media.ccc.de/v/biometrie-s8-iris-en/oembed" frameborder="0" allowfullscreen></iframe>

Como se suele decir: hecha la ley, hecha la trampa. Algo que tenemos que recordar siempre es que estos métodos de desbloqueo biométricos, en lugar de reemplazar una contraseña, lo que están reemplazando, en realidad, es nuestro nombre de usuario, o manera de identificarnos, nada más.

Tizen, el sistema operativo de los Smart TV y Relojes de Samsung, es sumamente inseguro.

De Tizen no se oye mucho en los últimos años. En una época (2012-2013), era la “estrella” de Samsung, en su intento de depender menos de Google; teniendo en cuenta la dominante cuota de mercado que tiene Samsung con Android, el siguiente paso evolutivo para la marca es poder, como Apple, dominar tanto el software como el hardware. Pero ocurrió algo curioso en ese entonces, tras unas reuniones privadas, donde Samsung decidió abandonar su sueño de darnos smartphones con este sistema operativo, pero también, de dejar de hacer tantos cambios a Android y lanzar apps competidoras o que modificaran mucho la experiencia.1 No sabemos exactamente qué pasó en dicha reunión, pero rumores parecen señalar que Google dio una suerte de ultimátum de algún tipo a Samsung, quien decidió optar por permanecer con Android, dejando a Tizen para otros productos.

De hecho, Tizen no desapareció por completo. Se ha mantenido en continuo desarrollo y ahora está disponible en otros dispositivos inteligentes de Samsung, como sus relojes (los Galaxy Gear S2 y S3 no usan Android Wear, sino Tizen), y sus Smart TVs. El problema? que un investigador de seguridad ha descubierto al menos 40 agujeros de seguridad en el sistema operativo.

 “Puede ser el peor código que he visto”

En las propias palabras de Amihai Neiderman, quien descubrió estos fallos de seguridad: ”Puede ser el peor código que he visto. Todo lo que pudes hacer mal, lo han hecho aquí. Puedes ver que nadie con algún conocimiento de seguridad ha mirado el código o lo ha escrito. Es como tomar a un estudiante de los primeros ciclos de universidad y dejarlo programar tu software.

En esencia, Tizen, que se encuentra en millones de televisores y relojes inteligentes, son totalmente vulnerables a sencillos ataques. Existe un “exploit” que afecta al TizenStore, la tienda de aplicaciones del sistema operativo, que puede insertar código malicioso en cualquier app. Como la tienda de Tizen tiene privilegios elevados (es decir, acceso a todos los componentes del televisor o reloj) esto deja al hardware totalmente vulnerable ante cualquier tipo de ataque o intercepción.

Lo peor es que esto no es algo nuevo. Recientemente se descubrió que la CIA estaba monitoreando a personas a través de Smart TVs de Samsung, poniéndolos en un “falso modo de apagado” cuando en realidad el televisor se mantenía encendido, conectado a internet y grabando conversaciones con el micrófono. No, esto no es ciencia ficción, es algo que fue filtrado por WikiLeaks en este documento. Pero incluso ese ataque necesitaba acceso físico a la TV ya que tenía que ser “infectada” a través de una memoria USB. Lo descubierto por Neiderman podría, en efecto, permitir este tipo de “infección” en Smart TVs y relojes de manera remota. Imagínense, un smartwatch, que está con nosotros permanentemente, grabando las conversaciones y subiéndolas a un servidor “X”.

Este es riesgo que dispositivos con Tizen corren ahora, y el peligro en el que nos ponen. Neiderman declaró para Vice que se había puesto en comunicación con Samsung para que pudiesen parchar estos problemas de seguridad (quién sabe cuántos más agujeros, aparte de estos 40, existan, teniendo en cuenta lo mal que está escrito el sistema operativo).

Esto también, por supuesto, se refleja en los existentes teléfonos con Android de Samsung. Tras tratar de darnos una experiencia más “limpia” de Android en las últimas dos generaciones, con el S6 y S7, con el Galaxy S8 Samsung nuevamente está modificando a Android en maneras no tan sutiles, animándose incluso a tener un botón dedicado en Hardware para forzarnos a usar a su asistente personal, Bixby. Teniendo en cuenta lo revelado sobre Tizen, sin embargo, preocupa tener que confiar tanta información personal a un software escrito por la misma empresa, no?

  1. Algo que parece haber retornado ahora con Bixby, que es una clara competencia a Google Assistant

Cómo funciona el I’m Not a Robot, el botón de ReCaptcha?

Recuerdan cuando la web estaba poblada de los molestos “captchas”, donde teníamos que introducir palabras que, incluso como humanos, nos costaba leer? Casos como este?

unreadable-captcha-3.jpg

El CAPTCHA se utiliza como un método de protección para websites para evitar ser invadido por “bots”. Muchas veces, por diferentes razones, personas malintencionadas pueden empezar a crear miles o millones de cuentas a un servicio que no cuente con protección ante ello. Para eso sirve el “CAPTCHA”, como una verificación de que somos humanos, que podemos discernir texto que una máquina difícilmente podría leer. El problema? Que en muchas ocasiones, incluso como humanos, no podemos leerlo.

Sin embargo, en la web hemos visto cómo un cuadro de CAPTCHA como el de arriba ha sido reemplazado por uno más sencillo, uno que simplemente tiene un “check”, al costado de la frase “I’m Not a Robot”, o “No soy un robot”. Le damos click, y listo! Acceso concedido.

Cómo funciona el I'm Not a Robot?

Pero cómo funciona el I’m not a Robot?

CAPTCHA viene de “Completely Automated Public Turing Test to tell Computers and Humans Apart”. Si, nada bueno el acrónimo, pero en español, implica un test público de Turing para discernir entre robots y computadoras (el Test de Turing se realiza frecuentemente contra inteligencia artificial). Aquí podemos descubrir Cómo funciona el I’m Not a Robot.

El problema de estos tests, es que la inteligencia artificial y el poder computacional han mejorado tanto en estos últimos años, que incluso para pruebas como los antiguos Captchas, las computadoras son hasta más capaces para deducir lo que está escrito aquí, por ejemplo:

hardcaptcha.png

 

Pero entonces, por qué un test más sencillo, como el clickear en “I’m not a Robot”, es más efectivo que estar tratando de deducir texto borroso o difícil de leer? 

Resulta que nosotros, como humanos, dejamos un gran rastro de información en nuestra PC, como la dirección IP (número que identifica a nuestra computadora), y “cookies” o galletas, que quedan almacenadas en nuestra PC y sirven para, por ejemplo, mantener nuestra sesión de Facebook activa, o permitir a los anunciantes conocer un poco de nuestros hábitos de navegación. Esto es utilizado por Google, los responsables del nuevo CAPTCHA, para detectar que no se trata de una computadora maliciosa, sino de un usuario común y corriente. Una computadora o bot programado para simplemente intentar acceder a websites mostraría un comportamiento totalmente diferente, un historial totalmente diferente. Google también utiliza pistas tan sutiles como la manera en la que el mouse se mueve antes de clickear en “I’m Not a Robot”, pues un script, una computadora, tendría un camino mucho más directo, que el movimiento al azar, errático, típico de un ser humano.

Esta colección de pequeñas pistas ayuda al botón de Captcha a diferenciar entre humano y robot. El truco del nuevo botón de Captcha no es dificultar más la prueba, sino acumular una serie de evidencias que hace el trabajo mucho más difícil para un bot, de engañar al CAPTCHA.

El proceso ha mejorado, pero no es perfecto. Para esos casos en los que el CAPTCHA no logra recolectar suficiente evidencia de nuestra humanidad, se nos presenta un test. Uno mucho más sencillo para nosotros, humanos, pero uno infinitamente más complicado para un bot.

Aquí, el test nos está pidiendo que identifiquemos imágenes como “esta”.

cat_captcha.jpg
Cómo funciona el I’m Not a Robot?
Noten que ni siquiera se menciona al gato, sino que simplemente, se muestra una imagen de un gato. Nosotros, como seres humanos y por cultura general, sabemos que se trata de un gato y podemos rápidamente identificar entre gatos, perros, conejos y plantas para pasar el test en un par de segundos.

Pero para un bot? El proceso es muchísimo más complejo. En primer lugar, tendría que pasar un proceso de reconocimiento de imagen para poder definir a qué se refiere el test con “esta” (porque nunca se menciona que es un gato, que facilitaría el proceso). Esto implica entonces pasar esta imagen en una base de datos de imágenes o red neuronal (más sobre redes neuronales e inteligencia artificial, en este especial). Con suerte y tras un gran esfuerzo, quizás la máquina detecte que se trata de un gato. Y entonces, tendría que pasar cada una de las imágenes mostradas adicionalmente por la misma red neuronal para poder hacer el intento de diferenciar entre un gato y un conejo; o un gato y un perro. Las computadoras son maravillosas a la hora de procesar vastas cantidades de información, pero son totalmente incapaces de razonar, lo cual hace de este, un proceso sumamente tedioso y complicado de resolver para una computadora.

Ahí es, pues, donde cae la genialidad de este nuevo sistema de Captchas. En lugar de complicar la prueba, se ha buscado una manera más eficiente de proteger nuestra información, al recopilar información sobre nuestro comportamiento, para dificultarle el test no a todos, sino a los que se quiere dar pase.

 

Este sistema de CAPTCHA empezó a implementarse por Google en el 2013, pero hemos visto una rápida expansión en casi todas las páginas web importantes porque no sólo funciona mejor sino, lo más importante, es mucho más sencillo y menos tedioso para nosotros, los humanos que queremos hacer uso de estos servicios. Así es, pues cómo funciona el I’m Not a Robot

 

https://67.205.129.107/redes-neuronales-que-son-y-como-funcionan/

 

 

 

via sophos

Usa tu Smartphone como cámara de seguridad, con esta app!

Tienes smartphones en casa que ya no utilizas? Conviértelos en monitores de seguridad, bebés o mascotas con esta excelente app!

CAMARA

Buscas una manera de asegurar tu hogar? O de repente sientes curiosidad por saber qué es lo que hacen tus mascotas cuando no estás en casa? Pues existe una excelente manera de llenar la oficina, el hogar o el patio con cámaras de seguridad, reciclando smartphones antiguos!

Con el frenético ritmo con el que cambiamos de smartphones  – 2 años, o incluso cada año – seguramente han terminado ya con varios teléfonos que no utilizan y tienen guardados en el cajón. Pues con esta app, Alfred, podrán convertir estos teléfonos en cámaras de seguridad que no sólo funcionan muy bien, sino que son capaces de enviarnos alertas cuando detectan movimiento, e incluso nos permite controlarlas remotamente!

Si, además de poder visualizar las cámaras sin importar en donde nos encontremos, podemos, por ejemplo, encender la linterna del celular (perfecto para ver en una habitación oscura), o activar el modo nocturno (que en mis pruebas, funcionó bastante bien, incluso con cámaras de calidad regular). Incluso podemos enviar mensajes de voz, y más, con esta cámara de Seguridad

 

Cámara de Seguridad gratis, en Android y iOS

alfred.jpg

La aplicación es bastante completa y, sobre todo, estable. He probado incontables alternativas a Alfred, pero muchas de estas dejaban de funcionar después de un rato, o se desconectaban de la red Wifi. Con Alfred, he tenido una cámara funcionando poco más de un mes sin haberse desconectado, y desde entonces, he añadido un par más.

 

Pueden descargar Alfred desde aquíLa versión gratuita funciona muy bien, y es la que utilizo. Si desean, pueden optar por la opción Pro que cuesta $3.99 al mes, y nos dará grabación en HD, además de quitar los molestos ads. Me gustaría ver una subscripción de $0.99 para quitar los ads porque es, de lejos, lo más molesto de usar la aplicación. Pero aparte de esto, es la mejor app que he encontrado para convertir a nuestros smartphones en cámaras de seguridad!

Evita que Microsoft te espíe en Windows 10, con Spybot Anti Beacon

Windows 10 es mucho más invasivo. Evita que rastree tu uso, con Spybot Anti Beacon

spybot.jpg

 

A pesar de sus deficiencias, Windows 10 es, en general, un buen sistema operativo. Algo que siempre me molesta, sin embargo, es el nivel de invasión de privacidad que se dio con Windows 10, donde el sistema operativo constantemente envía información de uso de la PC a Microsoft. Para qué? Pues para poder espiar nuestro uso y luego sugerirnos apps.

Seguramente han visto esa sección de apps “sugeridas”, verdad? Ya vimos en el pasado cómo deshabilitar esa molesta sección de publicidad de apps sugeridasy hoy aprenderemos cómo bloquear a Microsoft, para que deje de espiar nuestras acciones.

win10-new-start-menu-500.png

 

Cómo evitar que Microsoft espíe lo que hacemos en nuestra PC?

antibeacon10-full.png

 

El proceso es sumamente sencillo, pues existe una aplicación que se encarga de realizar todos los bloqueos necesarios. Se llama Spybot Anti-Beacon, y bloqueará todo lo que Microsoft modificó con Windows 10 para poder “compartir” esta información con ellos mismos.

Basta con darle click a “Immunize” y automáticamente, todas estas opciones de compartir información con Microsoft quedarán bloqueadas. Si por alguna razón quieren deshacer estos cambios, basta con clickear en “Undo” para hacerlo.

Descargar Spybot Antibeacon