Titulares

Noticias

xx Cómo evitar que otros sepan cuándo lees los mensajes de Facebook Messenger

El doble check azul en WhatsApp ha hecho que muchos se rasguen las vestiduras en defensa de su intimidad, dando lugar a varios métodos para evitar que aparezca. Pero el fenómeno se extiende a otros protocolos... Facebook Messenger también revela cuándo hemos leído un mensaje que nos envían. Afortunadamente, hay un modo de evitarlo.

Todo pasa por bloquear las peticiones HTTP de un servidor de Facebook, cosa que podemos hacer usando Adblock Plus. Si lo tenéis instalado, basta con hacer click aquí para instalar el filtro que bloquea las peticiones que comunican nuestra lectura del mensaje al servicio.

También podéis hacer manualmente, añadiendo el siguiente filtro sin los espacios en las preferencias de Adblock Plus:

||facebook.com/ajax/mercury/change _ read _ status.php$xmlhttprequest

De este modo nadie que hable con vosotros a través de Facebook Messenger sabrá si habéis leído sus mensajes. Porque nunca es malo tener cierta ventaja cuando tenemos algún compromiso del que no queremos que nos molesten demasiado.

http://www.genbeta.com/truco/como-evitar-que-otros-sepan-cuando-lees-los-mensajes-de-facebook-messenger

Leer más
Noticia publicada 4 Diciembre 2014, 15:31 pm por wolfbcn
xx Android, iOS & OS X vulnerables a ataques de Man in the Middle con ICMP Redirect



 Dentro de la especificación del protocolo ICMP - y de ICMPv6 - existe la posibilidad de enviar desde los routers cambios para tablas de enrutamiento a los clientes mediante un paquete llamado ICMP Redirect. De esta forma, la puerta de enlace de un determinado equipo de la red de que para ir a un destinatario concreto es más rápido ir por otro de los routers de la red.

Esto es conocido desde hace mucho tiempo, y por supuesto un usuario de la red malicioso podría utilizarlo para hacer un ataque de man in the middle. Hace un par de semanas se ha liberado una herramienta que lo hace fácilmente desde plataformas de pentesting con Kali Linux.

Seguir leyendo...

http://www.elladodelmal.com/2014/12/android-ios-os-x-vulnerables-ataques-de.html

Saludos.

Leer más
Noticia publicada 4 Diciembre 2014, 06:44 am por r32
xx Mac OS X IOKit Keyboard Driver Root Privilege Escalation Exploit

Via Twitter veo este tema creado por Inj3ct0r el cual hace referéncia a una vulnerabilidad en Mac OS X:

https://twitter.com/inj3ct0r/status/539794656515465216

Citar
Description:
A heap overflow in IOHIKeyboardMapper::parseKeyMapping allows kernel memory corruption in Mac OS X before 10.10. By abusing a bug in the IORegistry, kernel pointers can also be leaked, allowing a full kASLR bypass. Tested on Mavericks 10.9.5, and should work on previous versions. The issue has been patched silently in Yosemite.

CVE: CVE-2014-4404

Más info:

http://1337day.com/exploit/22959

Desde PacketStorm también lo detectan:

http://packetstormsecurity.com/files/129344/Mac-OS-X-IOKit-Keyboard-Driver-Root-Privilege-Escalation.html

Saludos.

Leer más
Noticia publicada 4 Diciembre 2014, 03:56 am por r32
thumbup Vulnerabilidad descubierta en Tuenti.com

Muy buenas,

hoy me encontraba auditando la seguridad en Tuenti, especialmente en la gestión de Cookies por parte de este servicio. Como todos sabemos Tuenti ofrece cifrado por TLS por lo que el tráfico generado por el usuario es díficil de descifrar por un atacante sin recurrir a la ingeniería social.

Las Cookies funcionan de manera distinta ya que sin la secure-flag estás pueden ser transmitidas en peticiones HTTP a URLs del mismo servicio. Este es el caso de Tuenti pues no marca sus cookies con la secure-flag además de realizar peticiones HTTP a URLs de su mismo servicio por lo que esto deriva en que las cookies pueden ser capturadas en texto plano al interceptar dichas peticiones HTTP. Resumiendo, ellos implementan SSL/TLS (HTTPS) pero no han tenido en cuenta que si sus cookies no están securizadas pueden revelar la sesión del usuario permitiendo a un atacante ejecutar una suplantación de sesión lo que le permitiría el acceso total a la cuenta intervenida.

Tuenti ya ha sido avisado del bug y ando esperando respuesta por su parte. Les he dejado la solución al problema así que esperemos que lo solucionen lo antes posible.

Aquí os dejo una PoC del tema en cuestión. Doy por supuesto que teneís nociones básicas sobre ataques MITM (ARP Spoofing). Podríamos también obligar al usuario a visitar un enlace legítimo de Tuenti en HTTP (mediante DNS spoof) para que incluya las cookies de sesión del usuario comprometido.



Para protegernos podemos seguir los siguientes pasos:

- Tuenti debería de marcar sus cookies con la secure-flag para...

Leer más
Noticia publicada 4 Diciembre 2014, 03:48 am por kub0x
xx Fotos de gatitos: la nueva arma de Google para luchar contra el spam

Cuando ya nos habíamos acostumbrado a copiar letras deformadas de libros viejos escaneados, y números de portales estadounidenses sacados de StreetView para demostrar a las páginas web en las que nos registramos que no somos un robot, Google le da una nueva vuelta de tuerca al sistema conocido como Captcha: usar fotos de gatos y perros.

El gigante de internet ha reconocido este miércoles que los programas diseñados por los profesionales del spam han madurado ya lo suficiente como para saltarse el 99,8% de las veces el Captcha de Google, lo que les permite crear usuarios falsos, postear en cadena comentarios-basura en miles de blogs...

Así que la multinacional ha desarrollado No CAPTCHA reCAPTCHA, un galimatías que le sirve para presumir de que a partir de ahora, y en la mayor parte de los casos, el sistema sabrá si el usuario es o no un robot con sólo analizar su forma de comportarse.

Google no ha dado más detalles sobre la tecnología que está detrás de este no-sistema (¿Datos sobre las páginas que ha visitado previamente? ¿Movimientos del ratón?), y asegura que casi siempre bastará con pinchar en el botón "no soy un robot" para tener salvoconducto.

No soy un robot

Y en los casos en que el No Captcha tenga dudas, en lugar de pedir que tecleemos un código alfanumérico (como hasta ahora), a Google le bastará con que pasemos un sencillo test que se responde con unos cuantos clicks de ratón.

El mecanismo es simple: el sistema nos muestra una foto de un gato, y nos muestra otras nueve imágenes, de las que sólo unas pocas corresponden a gatos reales, y el resto son una trampa para bots: un pastor alemán, u...

Leer más
Noticia publicada 4 Diciembre 2014, 02:02 am por wolfbcn
xx Autoridades rusas ofrecen 37.000 dólares para saber cómo hackear los iPhone

Un departamento regional de la Policía de Rusia ha ofrecido 37.000 dólares para adquirir las herramientas necesarias con las que poder saltarse el cifrado de los dispositivos que funcionan con iOS, el sistema operativo de Apple.

La petición fue publicada en una web de adquisición de presupuesto local, aunque el plazo para proveer de las herramientas solicitadas ha expirado ya, según ha informado Russia Today.

En concreto, se trata del departamento de Policía de la región de Sverdlovsk, en los Urales, quien puso la oferta explicando que necesitaban equipos y herramientas paa hackear los dispositivos iPhone de sus laboratorios forenses.

Esta petición sigue la línea de las últimas demandas realizadas tanto por el fiscal general de Estados Unidos como por el director del FBI, sobre la cifrado del sistema operativo iOS y la imposibilidad de acceder a los terminales móviles en caso de ser necesario en una investigación policial.

http://www.eleconomista.es/tecnologia-gadgets/noticias/6297856/12/14/Autoridades-rusas-ofrecen-37000-dolares-para-saber-como-hackear-los-iPhone.html#.Kku8uDrjJHCK7xw

Leer más
Noticia publicada 4 Diciembre 2014, 01:57 am por wolfbcn
xx AirHopper, infecta ordenadores sin necesidad de conexión

Desconectar un ordenador de la red de la oficina para evitar la llegada de malware que pueda robar información y datos ya no es infalible. Virus como AirHopper consiguen penetrar en la red sin necesidad de conexión. Canales como el USB o el smartphone son utilizados por este programa espía, pudiendo causar grandes daños a la compañía.

Un pendrive puede sustituir perfectamente a Internet en los riesgos de infección. El USB del ordenador que se utiliza en el trabajo, podría converitse en una conexión a Internet en lo que a virus se refiere, ya que esa sería su entrada.

Sin embargo, los puertos USB no son el único punto débil del ordenador de empresa en caso de que no se tenga conexión a Internet. Existen otras vulnerabilidades que comprometen la seguridad del equipo.

Una de esas vulnerabilidades viene de la mano de los receptores de radio de los smartphones y las señales electromagnéticas, tal y como demuestra AirHopper, un malware capaz de infectar un equipo y recoger datos de él sin necesidad de que esté online.

La empresa especializada en la seguridad de ordenadores y servicios para empresas, Panda, alerta sobre la presencia de estas innovaciones delictivas. La compañía se basa en un estudio realizado en Israel que demostró que un ordenador desconectado también es vulnerable.

Panda afirma que es un sistema fácil para los criminales. Una vez que AirHopper está en el ordenador, el malware utiliza el monitor para emitir señales electromagnéticas cada vez que se pulsa una tecla. El cibercriminal, que como mucho deberá estar a siete metros de distancia del ordenador, necesitará un smartphone con radio FM para recibir la...

Leer más
Noticia publicada 4 Diciembre 2014, 01:51 am por wolfbcn
xx Operación Cleaver: Irán detrás de ataques informáticos a 16 paises

Un informe de la compañía Cylance desvela las actuaciones de un grupo de atacantes iraníes que durante los dos últimos años han conseguido recopilar información de más de 50 organizaciones críticas en 16 países.

La compañía Cylance ha publicado un completo informe en el que detalla como desde al menos 2012 un grupo iraní ha estado atacando, se ha establecido de forma permanente y ha llegado a extraer información altamente sensible de redes de agencias gubernamentales y de compañías de infraestructuras críticas (transporte, comunicaciones energía…) de los siguientes países: Canadá, China, Inglaterra, Francia, Alemania, India, Israel, Kuwait, México, Pakistán, Qatar, Arabia Saudí, Corea del Sur, Turquía, Emiratos Árabes Unidos y los Estados Unidos.

Bautizado como "Operación Cleaver" debido a que la cadena "cleaver" aparece en múltiples piezas de software empleadas en los ataques (especialmente en diferentes rutas y directorios).

LEER MAS: http://unaaldia.hispasec.com/2014/12/operacion-cleaver-iran-detras-de.html

Leer más
Noticia publicada 4 Diciembre 2014, 01:49 am por wolfbcn
xx YotaPhone 2, el móvil ruso con 2 pantallas (AMOLED y tinta electrónica) es ...

Publicado el 3 de diciembre de 2014 por Antonio Rentero   

La idea ya era atractiva hace un par de años cuando apareció el primer prototipo de este dispositivo. Por delante una pantalla tradicional como cualquier móvil y por detrás una pantalla de tinta electrónica que permitía leer ebooks salvaguardando la vida de la batería además de mostrar notificaciones o información como la hora que nos evitarían usar la pantalla OLED y por tanto aumentando la autonomía. Ahora que el diseño se ha refinado, cuenta con características competitivas y ya puede comprarse llega el momento de la decepción. Salvo que tengas los 860 dólares que cuesta.

YotaPhone 2 es un dispositivo que desde luego se sale de lo habitual, de hecho no tenemos noticia de muchos smartphones que en su parte trasera incorporen una segunda pantalla de tinta electrónica. La parte delantera muestra una pantalla AMOLED de 5 pulgadas mientras que la trasera es de tinta electrónica (en blanco y negro) con unas dimensiones en diagonal de 4,7 pulgadas.

La gran ventaja de disponer de esta segunda pantalla es la del ínfimo consumo de la tecnología de tinta electrónica, lo que permite consumir unos recursos mínimos a la hora de mostrar imágenes estáticas (como puede ser la página de un libro que estamos leyendo o una página web) así como información como el calendario, la hora, la previsión del tiempo… que al no ser dinámicos consiguen proporcionar información sin menguar de manera significativa el consumo de energía. En el caso de la hora sólo habría que cambiar cada minuto la mínima información gráfica correspondiente, con lo que tampoco sería un gran dispendio.

YotaPhone 2...

Leer más
Noticia publicada 4 Diciembre 2014, 01:45 am por wolfbcn
xx Apple patenta sistema para que los celulares caigan sin romperse

Apple, la compañía que nos ha sorprendido con sus invenciones durante los últimos 30 años, lo vuelve a hacer. La Oficina de Patentes de Estados Unidos ha aceptado una solicitud de Apple que propone un mecanismo para que los smartphones no sufran mayor daño al caer.

El sistema "anticaída" utilizará los sensores del móvil para detectar si está cayendo y determinar el punto de impacto. Si fuera el caso, se activará el modo vibrador para cambiar el ángulo de caída y proteger los componentes más sensibles, como la pantalla.

De esta manera, la compañía del desaparecido Steve Jobs no apuesta por la búsqueda de materiales más resistentes, que puedan proteger los componentes del smartphone, sino por un sistema innovador que parece sacado de una película de ficción.

Según el porta Apple Insider, tanto los sensores móviles como la velocidad de los procesadores modernos son lo suficientemente rápidos para determinar la posición relativa del móvil en el aire, y poder tomar una acción rápida.

http://www.noticiasdot.com/publicaciones/gadgetmania/2014/12/03/apple-patenta-sistema-para-que-los-celulares-caigan-sin-romperse/?utm_source=rss&utm_medium=rss&utm_campaign=apple-patenta-sistema-para-que-los-celulares-caigan-sin-romperse

Leer más
Noticia publicada 4 Diciembre 2014, 01:42 am por wolfbcn

 

 

Conectado desde: 216.73.216.112