(más…)WhatsApp ha parcheado recientemente una vulnerabilidad de seguridad crítica en su aplicación para Android, que permaneció sin parchear durante al menos 3 meses después de ser descubierta, y si se explotaba, podría haber permitido que los piratas informáticos remotos comprometan los dispositivos Android y potencialmente roben archivos y mensajes de chat.
Instala en secreto Spyware solo con una llamada.
Whatsapp ha solucionado recientemente una grave vulnerabilidad que estaba siendo explotada por los atacantes para instalar remotamente malware en algunos teléfonos inteligentes “seleccionados” simplemente llamando a los números de teléfono seleccionados a través de la llamada de audio de Whatsapp.
Descubierto, armado y luego vendido por la compañía israelí NSO Group que produce el software espía móvil más avanzado del planeta, el exploit de WhatsApp instala el software espía Pegasus en dispositivos Android e iOS.
Saltan las alarmas cuando leemos que una empresa puede estar tratando nuestros datos de manera irregular, y como no, WhatsApp siempre está en el punto de mira.
Las muchas noticias sobre fallos en Whatsapp y Facebook (su comprador) han conseguido generar desconfianza en la aplicación, tal es así que muchos de vosotros habéis optado por aplicaciones de mensajería alternativas.
WhatsApp, la aplicación de mensajería más popular del mundo, se ha encontrado vulnerable a múltiples vulnerabilidades de seguridad que podrían permitir a los usuarios maliciosos interceptar y modificar el contenido de los mensajes enviados tanto en conversaciones privadas como grupales. Los fallos aprovechan una laguna en los protocolos de seguridad de WhatsApp para cambiar el contenido de los mensajes, permitiendo a los usuarios maliciosos crear y difundir información falsa o falsa de “lo que parecen ser fuentes de confianza”.
Los defectos residen en la forma en que la aplicación móvil de WhatsApp se conecta con la Web de WhatsApp y descifra los mensajes cifrados de extremo a extremo utilizando el protocolo protobuf2 .
El Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia (CNI), ha publicado un informe en el que advierte: “Desde sus inicios, los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación”.
WhatsApp is establishing data-sharing practices that signal a significant shift in its attitude toward privacy—though you wouldn’t know it from the privacy policy update that popped up on users’ screens recently. The new policy lays the groundwork for alarming data sharing between WhatsApp and its parent company Facebook. (más…)
SQRL (Secure Quick Response Login) es un un sistema de autenticación basado en código QR que permite a los usuarios “certificar” rápidamente la autenticidad en un sitio web sin tener que memorizar o escribir nombre de usuarios o contraseñas. Los códigos QR son códigos bidimensionales que contienen una cantidad significativa de información, como una llave precompartida o una cookie de sesión.
Un sitio web que implementa el sistema de autenticación SQRL muestra un código QR en la pantalla de la computadora y cualquier persona que quiera iniciar sesión sólo escanee ese código con una aplicación de teléfono móvil. Una vez escaneado, el sitio inicia la sesión de usuario sin necesidad de escribir ningún dato adicional. Este código se renueva cada 20 segundos. Por ejemplo, en WhatsApp web, se presenta la siguiente pantalla:
Como las contraseñas pueden ser robadas con un keylogger, con un ataque Man in the Middle (MitM) o por fuerza bruta aún, los códigos QR son considerado seguros ya que se genera al azar un código secreto, que nunca es revelado a nadie.
El investigador de seguridad egipcio Mohamed Abdelbasset Elnouby (@SymbianSyMoh) ha creado una prueba de concepto que demuestra una técnica que se puede utilizarse para hackear cuentas de servicios que usan la característica “Inicio de sesión con código QR”. Denominado QRLJacking, la técnica es un “vector de ataque simple-pero-desagradable” que afecta a todas las aplicaciones que basan su inicio de sesión con códigos QR.
Básicamente se basa en un phishing, donde el atacante tiene que convencer a la víctima de escanear el código QR brindado por el atacante:
Este escenario se puede replicar en WhatsApp, WeChat, AirDroid, Weibo, Yandex, Alibaba y cualquier otro proyecto que utilice código QR como método de autenticación.
Para más detalles se puede ingresa a la página del ataque QRLjacking en OWASP o Github o se puede ver el video.
Fuente: The Hacker News
El pasado mes de abril la compañía de Mark Zuckerberg informaba de que había completado el proceso por el cual WhatsApp se basa en el cifrado de extremo a extremo para sus comunicaciones. Esto quiere decir que los mensajes ‘salen’ cifrados de nuestro móvil, pasan del mismo modo por los servidores de la compañía y no se descifran sino cuando llegan al teléfono inteligente del contacto al que han sido enviados. Es decir, que según esta premisa sería prácticamente imposible interceptar una conversación, pero un investigador de seguridad ha encontrado una ‘puerta trasera’ a este sistema.
Nuestras conversaciones de WhatsApp no pueden ser interceptadas ‘en tránsito’, pero sí se puede revisar una copia local (más…)
Hace un año empezamos con esta Saga que hoy tenemos que actualizar. Luego de esos artículos que tuvieron tanta repercusión y que próximamente publicaremos en conjunto, qué es lo que podemos decir.
En cuanto a la evaluación que tiene en cuenta cómo nos protegen las empresas de los requerimientos de los gobiernos y recordando que el análisis se hizo en base a cinco criterios públicos:
La «app» propiedad de Facebook ha implementado por defecto un sistema de cifrado de extremo a extremo -«end to end», en inglés-, que permite a sus más de mil millones de usuarios mantener conversaciones seguras y privadas, tanto en los mensajes de texto como en las llamadas. Sin embargo, todavía no hace borrados seguros como Telegram.
