Un error en la aplicación predeterminada de mensajes de texto de Samsung es enviar fotos aleatorias a otras personas.



Enviar imágenes a otros es una de las funciones más básicas de un teléfono inteligente, pero cuando la aplicación de mensajes de texto de su teléfono comienza a sacar fotos al azar sin su conocimiento, usted tiene un problema.

Y desafortunadamente, de acuerdo con algunas quejas en Reddit y los foros oficiales de Samsung, parece que eso es exactamente lo que le sucedió a un puñado de usuarios de teléfonos Samsung, incluidos los propietarios de dispositivos de último modelo como el Galaxy Note 8 y el Galaxy S9.

Según los informes de los usuarios, el problema proviene de los mensajes de Samsung, la aplicación de mensajes de texto predeterminada en los dispositivos Galaxy, que (por motivos que no se han determinado) envía erróneamente imágenes almacenadas en los dispositivos a contactos aleatorios a través de SMS. Un usuario de Reddit incluso afirma que, en lugar de enviar una foto, Samsung Messages envió su galería de fotos completa a un contacto en el medio de la noche.

Afortunadamente para esa persona (o tal vez no), esas imágenes fueron enviadas a su compañero. Pero para otros que pueden haber enviado fotos a destinatarios más sensibles, como un socio comercial o jefe, el error podría dar a otras personas un vistazo no deseado a su vida privada.

La parte más aterradora de este error es que cuando los errores de mensajes de Samsung envían fotos a otras personas, según se informa, no deja ninguna evidencia de que lo haga, lo que significa que la gente puede no saber que sus fotos se han liberado hasta que sea demasiado tarde .

Actualmente, la teoría predominante sobre qué está causando este error es una interacción extraña entre los mensajes de Samsung y las recientes actualizaciones de perfil de RCS que se han implementado en los operadores, incluido T-Mobile. El objetivo de RCS (Rich Communication Services) es mejorar el obsoleto protocolo de SMS con nuevas funciones como compartir mejor los medios, escribir indicadores y leer recibos. El problema ahora es que parece que la manera en que se maneja RCS en los mensajes de Samsung es un desastre.

Cuando se le solicitó un comentario, Samsung le envió una declaración a Gizmodo, diciendo: "Estamos al tanto de los informes sobre este asunto y nuestros equipos técnicos lo están investigando. Los clientes interesados ​​pueden contactarnos directamente al 1-800-SAMSUNG. "También nos comunicamos con T-Mobile, que respondió remitiendo usuarios a Samsung, diciendo:" No es un problema de T-Mobile ".

Mientras tanto, para los propietarios de Samsung preocupados de que su teléfono pueda enviar fotos sensibles a contactos aleatorios, actualmente hay dos soluciones principales para esto. El primero es ir a la configuración de la aplicación de su teléfono y revocar la capacidad de los mensajes de Samsung para acceder al almacenamiento. Hasta que se publique una solución real, esto evitará que los Mensajes envíen fotos o cualquier otra cosa almacenada en su dispositivo, lo quiera o no quiera.

La otra opción es cambiar a una aplicación de mensajes de texto diferente, como Android Messages o Textra, que no parecen estar afectados por lo que está plagando la aplicación de mensajes de texto de Samsung (hasta ahora). Afortunadamente, este problema se resuelve rápidamente, porque hasta que lo haga, no hay garantía de privacidad para las personas que usan la aplicación de mensajes de texto predeterminada de Samsung.


Saludos.

VPNFilter es una amenaza dirigida a una amplia gama de enrutadores y dispositivos de almacenamiento conectado a la red (NAS). VPNFilter puede recopilar información confidencial y alterar el tráfico de la red a medida que pasa a través de un enrutador infectado, además de hacer que el enrutador no se pueda utilizar. El malware también puede sobrevivir a un reinicio del enrutador.

Symantec ofrece esta herramienta gratuita en línea que realiza una verificación rápida para determinar si su enrutador puede verse afectado por VPNFilter.

La herramienta en línea comprueba si su dispositivo ha sido comprometido por un componente específico utilizado por VPNFilter, conocido como el plugin ssler. Si esta herramienta encuentra que su enrutador no está infectado con el complemento ssler, su enrutador aún puede verse comprometido por otras amenazas o componentes de VPNFilter. VPNFilter afecta a una amplia gama de enrutadores y una lista de enrutadores vulnerables está disponible en nuestro blog sobre este malware.

Qué hacer si estás infectado:

Si le preocupa que su enrutador esté infectado por VPNFilter, le recomendamos realizar los siguientes pasos en orden. Consulte la documentación de su dispositivo para obtener detalles específicos sobre cómo realizar estos pasos:

Realice un restablecimiento completo de su enrutador para restaurar su configuración de fábrica. Primero guarde la configuración de su enrutador, ya que necesitará reconfigurar su enrutador después de este paso.

Apague y reinicie el enrutador. Tenga en cuenta que simplemente reiniciar su enrutador sin realizar antes el restablecimiento de fábrica puede no eliminar VPNFilter.

Cambie la contraseña de administrador predeterminada para su enrutador a una contraseña más segura. Si es posible, desconecte su enrutador de Internet público mientras realiza este paso.

Aplique los últimos parches y actualizaciones para su enrutador.

Link: http://www.symantec.com/filtercheck/

Saludos.

Uno de los vectores de infección más comunes y efectivos, especialmente para empresas, es el uso de documentos maliciosos de Office. Solo este año, fuimos testigos de dos días cero para Flash y el motor de VBScript, que primero se incorporaron a los documentos de Office antes de obtener una adopción más amplia en los kits de exploits web.

Además de aprovechar vulnerabilidades de software, los atacantes abusan regularmente de las características normales de Office, como macros, o de otras más oscuras como Dynamic Data Exchange (DDE) y, por supuesto, ataques de enlace e incrustación de objetos (OLE), que también pueden combinarse con exploits . Los administradores del sistema pueden endurecer los puntos finales mediante la desactivación de ciertas funciones en toda la empresa, por ejemplo, para frustrar ciertos esquemas de ingeniería social que intentan engañar a los usuarios para que habiliten una macro maliciosa. En versiones recientes de Office, Microsoft también está bloqueando la activación de objetos considerados de alto riesgo, según una lista de extensiones que se pueden personalizar a través de la Política de grupo.

Pero un descubrimiento reciente del investigador de seguridad Matt Nelson, muestra que se puede aprovechar otro vector de infección, uno que elude la configuración de protección actual e incluso la nueva tecnología de Reducción de Superficie de Ataque de Microsoft. Al incorporar archivos de configuración especialmente diseñados en un documento de Office, un atacante puede engañar a un usuario para que ejecute código malicioso sin más advertencias o notificaciones.



El formato de archivo, específico para Windows 10 llamado .SettingContent.ms, es esencialmente código XML que se utiliza para crear accesos directos al Panel de control. Esta característica se puede abusar porque uno de sus elementos (DeepLink) permite ejecutar cualquier binario con parámetros. Todo lo que un atacante debe hacer es agregar su propio comando usando Powershell.exe o Cmd.exe. Y el resto es historia.



Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/new-macro-less-technique-used-distribute-malware/

Saludos.

Creo que lo tienes crudo, no creo que puedas localizar un dispositivo con el IMEI solamente.
Haría falta un software intermediario para poder localizarlo.

Espera a ver más respuestas...

Saludos.

Una nueva aplicación vuelve a poner a Facebook en el centro de las críticas respecto al mal uso de los datos de sus usuarios. Los que tienen un perfil hace una década podrán recordar el furor que fueron los tests de personalidad, en donde el usuario respondía unas preguntas y a cambio la plataforma te decía a qué jugador de fútbol te parecías o qué princesa de Disney eras.



Esta última es la que llamó la atención de Inti De Cukelaire, un experto en seguridad informática que expuso como la aplicación NameTests[.]com filtró datos de sus usuarios durante años con la vista gorda de la red social.

La plataforma acumulaba información de más de 120 millones de usuarios cada mes y, desde hace dos años, permitía que cualquiera pueda tener acceso a la información de los que iniciaron el test.

Apenas se abría el test, la app era capaz de hacer un barrido de la información privada, se hubieran dados permisos o no. El otro grave error de seguridad de la plataforma era que esos datos estaban disponibles en un archivo que podía consultarse o que se compartía con terceros a través de los sitios visitados por los usuarios.

Desde Facebook reconocieron el error y confirmaron que ya trabajaron para corregir la vulnerabilidad. "Para estar seguros, revocamos los tokens de acceso para todos los que se hayan registrado para usar esta aplicación. Entonces la gente tendrá que volver a autorizar la aplicación para poder seguir usándola", indicó la red social en una publicación.

El experto en seguridad informática que descubrió la falla creó un video explicando cómo funcionaba el error. Hasta el momento no hay evidencia que permita asegurar si la información expuesta por Nametests fue utilizada por otros y cuantá gente ya lo había descubierto al error. Para Ceukelaire, la falla es muy sencilla de detectar para especialistas.

Más información: http://www.businessinsider.com/nametestscom-may-have-exposed-facebook-data-of-120-million-users-2018-6

Saludos.

Escape de SHELLcatraz: ruptura de las capas restringidas de Unix:

Tutorial tipo slide, más información:

https://speakerdeck.com/knaps/escape-from-shellcatraz-breaking-out-of-restricted-unix-shells

Saludos.

Este artículo tiene como objetivo explicar qué es exactamente el virus .KRAB y luego ayudar a las víctimas a eliminar el ransomware y restaurar potencialmente los archivos cifrados.

.KRAB Files Virus Cómo eliminar GANDCRAB V4 y restaurar los datos sensorstechforum

El virus .KRAB es una nueva versión del armario de datos ransomware de GandCrab. La amenaza se ha lanzado recientemente en campañas de ataque activo contra usuarios de computadoras en todo el mundo. Su nombre es un derivado de la extensión de archivo específico .KRAB colocado al final de todos los archivos dañados. Luego del cifrado, este nuevo GANDCRAB V4 arroja una nota de rescate para instruir a las víctimas sobre cómo pagar la clave única de descifrado que recuperará los archivos .KRAB. Al llegar al final del artículo, sabrá cómo eliminar la amenaza y encontrará algunos métodos alternativos de recuperación de datos que pueden ayudarlo a restaurar archivos .KRAB sin pagar el rescate.



Nombre: .KRAB Files Virus

Tipo: Ransomware, Cryptovirus

Breve descripción: Versión 4 de la familia del virus del rescate de GandCrab. cifra sus archivos y le pide que pague un rescate por una clave de recuperación única.

Síntomas: Los archivos cifrados se renombran con la extensión .KRAB. Permanecen inutilizables hasta que se utiliza una solución de recuperación eficiente. Se deja caer una nota de rescate, llamada CRAB-DECRYPT.txt en su PC.

Método de distribución: Correo electrónico no deseado, archivos adjuntos de correo electrónico

Herramienta de detección: Consulte si su sistema ha sido afectado por Virus .KRAB Files

Este producto escanea los sectores de unidades para recuperar los archivos perdidos y es posible que no recupere el 100% de los archivos cifrados, pero solo unos pocos, dependiendo de la situación y de si ha reformateado la unidad.:

https://sensorstechforum.com/stellar-phoenix-windows-data-recovery-software-review/

Saludos.

Introducción: extracción de datos de contraseña de usuario con Mimikatz DCSync:

Mimikatz proporciona una variedad de formas para extraer y manipular credenciales, pero probablemente una de las formas más útiles y atemorizantes sea utilizar el comando DCSync. Este ataque simula el comportamiento de un controlador de dominio y le pide a otros controladores de dominio que repliquen información utilizando el Protocolo remoto de servicio de replicación de directorios (MS-DRSR). Básicamente, le permite pretender ser un controlador de dominio y solicitar datos de contraseña de usuario. Lo que es más importante, esto se puede hacer sin ejecutar ningún código en un controlador de dominio, a diferencia de las otras formas en que Mimikatz extraerá los datos de contraseña. Esto puede ser utilizado por los atacantes para obtener el hash NTLM de cualquier cuenta, incluida la cuenta KRBTGT, que permite a los atacantes crear Boletos Dorados. La parte más difícil de este ataque es que aprovecha una función válida y necesaria de Active Directory, por lo que no se puede desactivar o deshabilitar.

¿Quién puede realizar un ataque DCSync?
Realizar una DCSync es bastante simple. El único requisito previo para preocuparse es que tenga una cuenta con derechos para realizar la replicación del dominio. Esto está controlado por los permisos de Replicación de cambios establecidos en el dominio. Tener el permiso Duplicar cambios y Duplicar cambios en el directorio le permitirá realizar este ataque.



De forma predeterminada, esto se limita a los grupos Administradores de dominio, Administradores de empresa, Administradores y Controladores de dominio. Si desea buscar rápidamente a cualquier usuario que pueda realizar el ataque DCSync fuera de estos permisos predeterminados, la siguiente secuencia de comandos lo ayudará. Esto enumerará todos los permisos de dominio para cualquier dominio y encontrará todos los permisos otorgados con un RID superior a 1000, que excluirá todos los permisos predeterminados.



Running this will output an entry for each permission given to a user or group who probably shouldn’t be there:



Más información: https://blog.stealthbits.com/extracting-user-password-data-with-mimikatz-dcsync/

Saludos.

En este video demuestran la posibilidad de reutilizar una shellcode existente y así bypasear el antivirus (en concreto Windows Defender):



Saludos.

Firejail es una herramienta fácil de usar, que nos permite realizar una especie de jaula con aplicaciones, especialmente útil para navegadores, clientes de correo electrónico, etc.

Instalación

$ sudo pacman -Syu firejail

Para que el funcionamiento de la herramienta sea óptimo debemos utilizar un kernel con el user-namespaces habilitado. En el caso de Arch, se recomienda utilizar en conjunción con el kernel linux-grsec, que lleva los parches grsecurity y habilitada esta opción o el kernel linux-usernd (disponible en el AUR).


Además, podemos añadir los siguientes paquetes (del AUR), con utilidades y perfiles predefinidos:

$ yaourt -S firetools firejail-profiles firejail-extras firectl

Existen diferentes formas de lanzar firejail:

Linea de comandos

 $ firejail nombre_aplicación

Desde los menus

En este caso hay que modificar el .desktop asociado. Por orden de preferencia, sería:
   ~/.local/share/applications/aplicacion.desktop

     /usr/local/share/applications/aplicacion.desktop

    /usr/share/applications/aplicacion.desktop

Añadiremos en el fichero deseado firejail en la cláusala “Exec”.

Si solo queremos que lo use el usuario actual, editaríamos/crearíamos el primero.

Si lo queremos por defecto para todos los usuarios, el segundo.
El tercero corresponde al paquete, por lo que se sobreescribe en cada actualización y, en todo caso, lo usaremos como plantilla para crear los .desktop de la primera y segunda opción.

Si se tratase de una aplicación que queremos que se ejecute en el inicio, el .desktop quedará ubicado en:

 ~/.config/autostart/

Entre las opciones disponibles para ejecutar firejail, disponemos de dos interesantes:

firejail –seccomp aplicación

Con la opción seccomp añadimos seguridad adicional.

firejail –seccomp –private aplicación

Con la opción private, no monta dentro del contenedor ningún directorio del usuario, muy útil para, por ejemplo, navegar por sitios “peligrosos” sin correr riesgos. Una vez se cierra la aplicación, no quedan “rastros” en el disco.

Según la aplicación a ejecutar, se usará un perfil predefinido que indica qué se debe añadir al contenedor para que funcione correctamente. En el caso de no existir un perfil para la misma, se utiliza uno genérico. Es por ello que hemos instalado los paquetes firejail-profiles y firejail-extras.

Veamos un ejemplo con firefox:

Si queremos ejecutarlo desde la línea de comandos, usaremos:

$ firejail firefox

Se lanzará con su perfil (todos los perfiles disponibles los tenemos en /etc/firejail/).

Bien, si queremos que no haya ningún cambio en disco, es decir, que sea totalmente transparente su ejecución, usaremos:

$ firejail –seccomp –private firefox

Sin embargo, esto es engorroso, si queremos utilizar por defecto firejail. Pare ello disponemos de varias opciones:

– Crear un enlace simbólico: 

ln -s /usr/bin/firejail /usr/local/bin/firefox

De esta forma, cada vez que lancemos firefox, lo hará con firejail. Esto funciona siempre que no se utilicen rutas absolutas y el path /usr/local/bin tenga preferencia o esté en la variable PATH (por defecto, para los usuarios es así).

Una herramienta que nos facilita la creación de estos enlaces es firecfg.

Sin embargo, es posible que queramos ejecutar con la opción –seccomp. Bien, para ello, podemos crear un pequeño scritp en bash. Siguiendo el ejemplo, creamos el fichero /usr/local/bin/firefox, con el siguiente contenido.

firejail –seccomp /usr/bin/firefox $@

y le damos permisos de ejecución:

sudo chmod +x /usr/bin/firefox

De esta manera, podemos añadir las opciones personalizas que deseemos.

– Modificar los .desktop:

Si lanzamos la aplicación desde el menú del escritorio en el que nos encontremos, probablemente, no se ejecutará enjaulado. El motivo es que porque se suele utilizar la ruta completa, con lo que el paso anterior es ignorado. Parar evitar problemas, eliminamos los enlaces simbólicos anteriores antes de utilizar este médoto. Siguiendo el ejemplo anterior, vamos a hacer lo siguiente:

sudo mkdir -p /usr/local/share/applications/

sudo cp /usr/share/applications/firefox.desktop /usr/local/share/applications/

Si solo lo queremos disponible para nuestro usuario:

cp /usr/share/applications/firefox.desktop ~/share/applications/

Ahora editamos el fichero y buscamos todas las ocurrencias de “Exec”, cambiando el contenido por:

Exec=firejail –seccomp firefox %u

Con esto estaría todo lo necesario para aplicaciones, pero… ¿y para daemons? Bueno, dado que estamos utilizando systemd, deberemos modificar la unidad correspondiente. Para evitar que sea sobreescrita, realizarmos lo siguiente:

sudo mkdir /usr/lib/systemd/system/unidad_a_sobreescribir.service.d

Y crearemos un fichero dentro de ese directorio, con la configuración nueva, con la extensión conf (por ejemplo firejail.conf):

[Service]

ExecStart=

ExecStart=firejail –seccomp binario

Sustituyendo “binario” por el contenido del ExecStart original, disponible en /usr/lib/systemd/system/unidad_a_sobreescribir.service.

Es importante la opción “ExecStart=” ya que, de no ponerla, se ejecutarán la original y la sobreescrita.

De esta forma, aunque reinstalemos el paquete afectado, esta configuración no se perderá.

Hecho esto, debemos recargar la lista de daemons:

sudo systemctl daemon-reload

Y ya podemos lanzar el servicio en cuestión.

Ahora ya sabemos cómo lanzar las aplicaciones con firejail. Toca ver cómo monitorizarlas. Es por ello que instalamos firetools.

Si lanzamos firetools, veremos que se nos abre una especie de dock, con varios iconos. Son lanzadores de aplicaciones con perfil de firejail, detectadas en nuestro sistema. Por supuesto, estos lanzadores podemos editarlos y añadir opciones personalizadas.

En cualquier caso, la utilidad real se encuentra pulsando sobre “Firetools”. Se nos abrirá una ventana donde podemos ver una lista de aplicacicones enjauladas, su árbol de procesos, podremos navegar por su sistema de ficheros, etc. Sin duda, una utilidad bastante interesante si vamos a usar esta herramienta de sandboxing.





Más información: https://firejail.wordpress.com/documentation-2/firefox-guide/

Saludos.