Archivos por Etiqueta: hackers

Los patinetes Xiaomi pueden ser controlados por un tercero de forma remota, por un error de seguridad.

Es el más popular. Y seguro que la mayoría de los patinetes eléctricos que ves por la calle son el modelo M365 scooter de Xiaomi. Ahora, ha trascendido que presenta una vulnerabilidad que permite a un potencial atacante controlar de forma remota los controles del vehículo.

Uno de los componentes del M365 scooter, el módulo de conectividad bluetooth que permite comunicar el vehículo con el «smartphone», presenta una vulnerabilidad que lo expone a terceros, tal y como ha descubierto la firma de ciberseguridad Zimperium.

La vulnerabilidad hace que la vinculación entre patinete y «smartphone» vía bluetooth no solicite contraseña ni ningún otro tipo de credencial. Asimismo, el patinete puede comprometerse con la instalación de «firmware» malicioso sin que sus sistemas detecten que no es u programa oficial.

La clave de este error de seguridad es que el patinete se puede conectar con el «smartphone» a través de diferentes aplicaciones, no solo desde la oficial, la Mi Home de Xiaomi. También puede conectarse con otras «apps» como M365 HUD que permite incluso bloquear el patinete desde el móvil.

Este «hackeo», que no exige ningún tipo de contraseña o verificación, sucede cuando el patinete no está vinculado a la «app» oficial, que sí exige una clave. Así, un tercero puede acceder al patinete e instalar «malware» en él para tener control de forma remota. Es decir, un atacante con malas intenciones podría acelerar o frenar el patinete sin que el usuario pueda evitarlo, además de acceder a su información personal.

Reacciones

«Xiaomi es consciente de la vulnerabilidad», ha reconocido la compañía en un comunicado. «Tan pronto como nos enteramos (fueron informados por Zimperium) de esta vulnerabilidad, hemos estado trabajando en solucionarlo y eliminar todas las aplicaciones no autorizadas». La compañía está trabajando en una nueva actualización que lanzará «lo más pronto posible».

Hasta ese momento, lo mejor que pueden hacer los usuarios es conectar el M365 scooter de Xiaomi a la «app» Mi Home. Tal y como aseguran algunos usuarios que han sido «hackeados», el patín no frena de golpe, sino que poco a poco pierde velocidad. Lo mejor, entonces, es entrar en la «app» y desbloquearlo.

Cabe recordar, además, que la única solución de momento es mantenerlo todo el rato conectado a Mi Home, ya que solo puede estar vinculado con un solo dispositivo a la vez.

xiaomi-patinete-1-k9cH--620x349@abc

Los hackers demandan acceso global a los resultados de la investigación científica

La edición número 35 del congreso de hackers del Chaos Computer Club (CCC), que se celebra en la ciudad alemana de Leipzig, ha arrancado con una serie de demandas sociales entre las que destaca la exigencia de un acceso sin obstáculos a todos los resultados de la investigación científica. Los piratas de la red se inspiran en la decisión tomada la semana pasada por el Instituto Max Planck, que eliminará gradualmente su acuerdo con la editorial científica internacional Elsevier hasta finales de este año e impulsará, junto con las universidades de Alemania, una campaña para el acceso sin restricciones a través de Internet a las publicaciones. La iniciativa de acceso abierto, denominada Deal, está patrocinada poruna alianza de organizaciones científicas alemanas. Las conversaciones entre Elsevier y el proyecto Deal se suspendieron el pasado mes de julio, debido a una disputa sobre las condiciones con las editoriales científicas Springer y Wiley. El congreso de Chaos Computer Club exige que se llegue a un acuerdo extensible a toda la investigación científica en la que intervenga la financiación estatal y que en su opinión debe quedar gratuitamente a disposición de todos los ciudadanos en la red.

«Tenemos que derribar el muro de pago de las publicaciones científicas», ha reivindicado Claudia Frick, científica del Centro de Investigación de Biblioteconomía de Jülich. «Frente a desafíos como el cambio climático, nunca ha habido una necesidad mayor en torno una discusión amplia sobre los resultados de la investigación», ha argumentado, refiriéndose al «gran potencial para reformar el sistema de publicaciones existente sin restringir el control de calidad que es indispensable para las publicaciones científicas».

Otra de las líneas destacadas de la apertura es la advertencia sobre la vulnerabilidad de los ordenadores del sistema electoral de Estados Unidos, debido al software antiguo de 2005 que utilizan y en el que J. Alex Halderman, de la Universidad de Michigan, asegura que es relativamente fácil entrar. «Las próximas elecciones en EE.UU. tendrán lugar dentro de 22 meses y es urgente una actualización que garantice la seguridad del sistema», apremia CCC.

En esta edición se ha puesto el foco en la protección de datos personales, tratando temas que van desde los riesgos de seguridad de los ordenadores, o los hackeos, a la inteligencia artificial. Además, ha sido aumentada la protección de la intimidad de los participantes limitando el acceso de los medios de comunicación convencionales. Los títulos de las ponencias abordan temas tan dispersos como el mercado de órganos humanos o el «bondage», pero sobre todo preocupa a los asistentes todo lo relacionado con la nueva ciencia de la privacidad. Y todo ello bajo el lema de este año: «Refreshing Meomories». Con el denominado 35C3 serán recuperados los recuerdos de congresos anteriores y puestos en valor triunfos que hoy consideramos parte de la normalidad pero que son fruto de una lucha que a menudo arrancó en diferentes ediciones de congreso.

«Nos hemos convertido en un icono del cosmopolitismo y de cómo en tiempos de hostilidad hacia la democratización de la ciencia, tiempos de populismo y falsas verdades los ciudadanos pueden defenderse luchando unidos en la red», puede leerse en el blog del evento. «Ya no es solo software, se trata cada año más de cuestiones políticas y sociales». Los medios de comunicación son solo bienvenidos a golpe de talonario, como es el caso de la radio alemana Deutschlandfunk, que se ha garantizado el acceso financiando un gran taller sobre podcasting.

Desde sus inicios, CCC se ha caracterizado por el uso de los medios para denunciar casos de inseguridad informática y expandir lo que llaman la «fiolosfía de la comunicación», pero siempre se ha relacionado con ellos desde la desconfianza. Otra seña de identidad, a diferencia de muchos clubes norteamericanos, es que su objetivo no es asaltar instalaciones informáticas o servidores por diversión, lucro o cuestiones de ego, sino que se orientan a la presión política y social, además del establecimiento y promoción de lo que denominan la «ética y ciencia del hacking».

 

hackers-k8GF--620x349@abc

El grave fallo de seguridad del router Livebox de Orange

Estás harto de ver en los hogares los modems Orange Livebox, con los que el operador comercializa en España el ADSL y fibra. El problema es que ahora se acaba de descubrir que dichos routers tenían un fallo de seguridad muy grande que, aunque ya ha sido solucionado, ha afectado a 19.500 unidades en nuestro país.

Un investigador de seguridad descubrió el pasado fin de semana el nuevo «bug» con el que a Orange se le ha atragantado la Navidad. Y es que dichos routers, en concreto el modelo LIVEBOX ARV7519RW22-A-LT VR9 1.2 de Arcadyan, no eran ciberseguros porque han estado exponiendo información del usuario, como la contraseña y el SSID, es decir, nombre de la red inalámbrica del router. «Pero solo para quellos clientes que tenían el acceso remoto activado», reseñan fuentes de la compañía a ABC.

La vulnerabilidad encontrada ( CVE-2018-20377, analizada ya por el Instituto Nacional de Estándares y Tecnología), ha podido ser aprovechada por un ciberdelincuente, que sin esfuerzo alguno, ha podido obtener la contraseña y el SSID de la red interna.

Siempre es conveniente, por razones de seguridad, que los usuarios, a la hora de configurar su Red, cambien los credenciales de origen por otras contraseñas robustas. Sin embargo, en este caso no ha servido de nada, porque el «bug» de Orange ha permitido que cualquier ciberdelincuente se haga con las claves de acceso sin problema.

Según informa Troy Mursch, el investigador de seguridad que ha denunciado el caso, y tal y como confirma la compañía, Orange ha lanzado ya una actualización del firmware para solucionar el error.

Según fuentes de la compañía, este «bug» no tiene nada que ver con el detectado en 2012, tal y como se ha relacionado. «El problema fue otro y de otro router diferente», asegura Orange a ABC.

orange-1-kM9H--620x349@abc (1)

 

Las fotos de 6,8 millones de usuarios de Facebook al descubierto

Facebook acaba de comunicar en la tarde de este viernes un nuevo error de seguridad que puede haber afectado a hasta 6,8 millones de personas que utilizaron el inicio de sesión en la red social para otorgar permiso a aplicaciones de terceros. Estas «apps», según informa la compañía, accedieron a las fotografías de cada usuario.

El incidente, según la compañía, se desarrolló durante 12 días, entre el 13 de septiembre y el 25 de septiembre, a pesar de que es ahora cuando Facebook lo comunica. Aunque la compañía que dirige Mark Zuckerberg asegura que el «bug» está solucionado, confiesa que hasta 1.500 aplicaciones creadas por 876 desarrolladores están implicadas en este nuevo error de seguridad.

«Hemos solucionado el problema pero, debido a este error, es posible que algunas aplicaciones de terceros hayan tenido acceso a un conjunto de fotos más amplio de lo habitual», reconoce la compañía en un comunicado.

Facebook ha explicado que el error se ha detectado en una API de fotografía que ha afectado a aquellos usuarios que iniciaron sesión con la cuenta de Facebook en aplicaciones terceras. De esta manera, dieron los permisos necesarios para que los desarrolladores hayan accedido a las imágenes.

Revisar la configuración de la cuenta

«Cuando un usuario permite a una aplicación acceder a sus fotos de Facebook, normalmente solo damos acceso a las fotos que se comparten en el muro. Sin embargo, el error ha podido dar acceso a otras fotos, como las compartidas en las historias o en el marketplace», informa Facebook. De hecho, los desarrolladores han podido acceder a imágenes que ni siquiera el usuario terminó de subir porque «almacenamos una copia de esa foto durante tres días para que la persona la tenga cuando regrese».

La compañía, que lamenta el suceso, ha asegurado que lanzará nuevas herramientas en las próximas semanas para que los desarrolladores puedan averiguar qué usuarios han sido afectados y notificará a los usuarios que se hayan visto afectados por este error de seguridad para que, si lo desean, eliminen sus fotos. Aún así, Facebook, que cuenta con 2.200 millones de usuarios, recomienda que cada usuario revise cómo tiene configurada su cuenta en las opciones de seguridad.

Este nuevo capítulo se suma al año horrible en el que la compañía se encuentra inmerso a causa de numerosos problemas de privacidad que han salido a la luz este año, entre los que destacan el escándalo de Cambridge Analytica en abril Y el «hackeo» que la red social sufrió el pasado mes de octubre en el que 50 millones de cuentas se vieron afectadas.

 

facebook-1-krKF--620x349@abc

¿Cuáles han sido las mayores fugas de datos de la historia?

Google forma parte ya de la historia de los fracasos tecnológicos de 2018. Y todo gracias a su red social Google+, que nunca despegó a pesar de que nació con la intención de ser un digno rival de Faacebook. Pero los de Mountain View ya han desistido. De hecho, la multinacional estadounidense ha decidido adelantar el cierre definitivo de Google+ a abril de 2019, tras haber detectado un nuevo fallo de seguridad que expuso información privada de 52,5 millones de usuarios.

«Con el hallazgo de este nuevo error de software, hemos decidido acelerar la clausura de Google+ de agosto de 2019 (fecha inicialmente prevista) a abril de 2019», ha explicado en el blog de la compañía el vicepresidente de gestión de producto de Google, David Thacker. «Pese a que reconocemos que hay implicaciones para los desarrolladores, queremos garantizar la protección de nuestros usuarios. Hemos empezado el proceso de notificar a los afectados por el fallo», añade.

Los datos personales de los 52,5 millones de internautas que quedaron expuestos a desarrolladores por error (incluso en caso de que el usuario tuviese configurada la cuenta como privada) fueron sus nombres, direcciones de correo electrónico, empleo y edad.

La compañía aseguró no tener constancia de que durante ese tiempo se hubiesen producido robos de información por parte de terceras partes, pero en cualquier caso los datos estuvieron expuestos a lo largo de esas seis jornadas.

Sin embargo, Google no lidera el ranking de las mayores fugas de datos de la historia. Pero sí cierra la clasificación. Y es que los 52,5 millones de usuarios afectados por la brecha de seguridad son «peccata minuta» en comparación con los 3.000 millones de cuentas que fueron hackeadas a Yahoo. Aunque en un principio, el hackeo se situó en 500 millones, la compañía mintió y confirmó después que el robo de datos que sufrió en 2013 afectó a todas sus cuentas.

MySpace, con 427 millones de cuentas afectadas, ocupa el segundo puesto. La red social fue víctima de los ciberdelincuentes en febrero de 2016. Direcciones de emails, nombres de usuario y claves de acceso de cuentas que se crearon antes del 11 de junio de 2013 fueron sustraídas para después ponerlas a la venta.

eBay y LinkedIn ocupan el cuarto y quinto puesto, respectivamente. El primero fue hackeado en mayo de 2014. Los ciberdelincuenten copiaron 145 millones de registros (contraseñas, direcciones de correo electrónico, fechas de nacimiento y otra información personal).LinkedIn, dos años después, vió cómo le robaron los datos de 117 millones de cuentas.

Sony, con el hackeo de la Playstation 3 en 2011; Dropbox, Tumblr y Uber cierran el ranking.

hack-1-kFLB--620x349@abc