Sólo con abrir Safari podrían hackear tu Mac!

Sólo con abrir Safari podrían hackear tu Mac!

La semana pasada el equipo de Dropbox mostró a detalle 3 críticas vulnerabilidades del MacOS.

Dichas vulnerabilidades muestran como podrían permitir un ataque remoto mediante código malicioso en una Mac sólo se necesitaba convencer a la víctima de visitar una página.

Image result for syndis hacksLas vulnerabilidades fueron descubiertas por Syndis, un despacho de ciberseguridad contratada por Dropbox para hacer simulaciones de ataques como Red Team contra la infraestructura de la compañía, incluyendo el software de Apple que utilizan.

Estas vulnerabilidades se hicieron conocer al equipo de seguridad de Apple en febrero, quienes para marzo sacaron una actualización de seguridad tapando esos errores; pero Dropbox dice que esto no sólo afectaba los dispositivos MacOS, sino que además cualquier dispositivo que usara la última versión de Safari.

Aquí la lista de las fallas que encontraron:

  1. La primera falla (CVE-2017-13890) permitía que Safari descargara e instalara automáticamente una DMG en el sistema de quien visitara la página.
  2. Esta falla (CVE-2018-4176) se presentaba con la manera en que los archivos tipo .bundle eran manejados, así que explotaban la falla haciendo que el atacante pudiera abrir una aplicación usando una “bootable volume utility” llamada bless.
  3. La última falla hacía un bypass del Gatekeeper anti-malware de MacOS, permitiendo cualquier aplicación abrirse por la fuerza y ejecutando una versión modificada de la Terminal. llevando a cambios de comandos y sus ejecuciones.
Facebook nuevamente tuvo que arreglar unos detalles…

Facebook nuevamente tuvo que arreglar unos detalles…

Imperva, líderes en ciber-seguridad, informó a Facebook a través de su programa de divulgación de vulnerabilidades en mayo de este año, así que la empresa en unos días arregló el problema agregando medidas de protección CSRF

Para aprovecharse de los usuarios en Facebook, lo único que se tenía que hacer era engañar para que visiten un sitio con su web browser en el que Facebook tenga sesión abierta. El sitio tendría un código javascript el cual se ejecutaría en segundo plano apenas hagan click en cualquier lugar, así dando acceso a la información personal de sus usuarios y amigos. Piensa 2 veces antes de dar click en tus jueguitos de “como te verías si…”.

facebook-hacking-software

Para explicar como funciona el código usado para encontrar información, una vez que le das permiso de acceder a Facebook a una página, esta puede hacer búsquedas personalizadas sin tu consentimiento, así pueden ver intereses personales, personas agregadas, este tipo de “hack” es para búsquedas específicas, pero bien usado podría aportar muy bien a la segregación demográfica. En sí, cualquier persona que hubiese tenido acceso a tu información, habría necesitado preguntar cosas específicas, así que se tardaría en lograr saber lo suficiente de alguien.

Esta problemática de acuerdo con Facebook, ya se ha corregido y no presenta algún otro tipo de fuga electrónica.

Celulares rotos en Tokyo por el, ¡¡¡Pwn20wn 2018!!!

Celulares rotos en Tokyo por el, ¡¡¡Pwn20wn 2018!!!

¡Hackers de sombrero blanco, se reunieron nuevamente para demostrar que lo pueden todo!

iPhoneX, Samsung Galaxy S9, Xiaomi Mi6 estuvieron en la lista de dispositivos “rotos”, las competencias eran simples, Demostrar que hay bugs y se pueden infiltrar a los nuevos sistemas operativos de los dispositivos mobiles, un equipo llamado Fluoroacetate logró estas hazañas en varios dispositivos, entre ellos el iPhone, donde lograron conseguir una foto ya borrada del celular, el premio por este logro era de $50,000, todos los premios rondaban por ese número, y el equipo de Fluoroacetate (fluoroacetato) ganó “Master of Pwn”.

¿Llegaremos a ver mexicanos compitiendo pronto? Eso espero.