Facebook Camera permitía a ciberdelincuentes secuestrar cuentas en redes wifi


Aviso a todos los usuarios de Facebook Camera en iOS: si no han actualizado su app en los últimos días, actualicen ahora. La versión vieja de la app, pre-1.1.2 y las anteriores al 21 de diciembre, tienen una brecha de seguridad. Cuando es usada en redes WiFi, atacantes pueden interceptar la red y secuestrar la cuenta de los usuarios de la app, y obtener información como correo electrónico y contraseñas en proceso.





p> El hacker de sombrero blanco que identificó el problema es Mohamed Ramadan, un investigador de seguridad egipcio e instructor de Attack-Secure que también encontró y reportó vulnerabilidades para Apple, Google y Etsy -los que aparentemente tienen la misma brecha en sus app en iOS. Ramadan nos dice que el problema esta en la certificación de SSL de la app Camera, la cual es demasiado laxa.

Como él lo explica, "El problema es que la app acepta cualquier certificado SSL de cualquier origen, incluso certificados maliciosos y esto permite a cualquier atacante realizar un ataque de Hombre-en-el-Medio (MitM) contra cualquiera que use la app Facebook Camera para iPhone. Esto significa que la aplicación no advierte a usuario si alguien en la misma [red Wifi] intenta secuestrar su cuenta de Facebook."

Probando su teoría y usando un proxy para escuchar en una red WiFi, fue capaz de ingresar su nombre de usuario y contraseña en la app Camera y luego ver pasar esa información mediante el proxy.

Ramadan señala que ha probado todas las apps de Facebook y el resto parecen protegerse de este tipo de vulnerabilidad. Intentamos obtener comentarios de Facebook pero no recibimos respuesta.

Facebook confirmó la falla descubierta por Ramadan, la cual es solucionada en la version 1.1.2, y nos dieron la siguiente declaración, destacando que no hay evidencia que la falla haya sido nunca explotada fuera del ambito de investigación:]

"Aplaudimos al investigador de seguridad que nos hizo saber de esta falla por la responsabilidad de reportarla a nuestro Programa de Sombrero Blanco. Hemos trabajado con el equipo para asegurarnos que comprendemos el alcance completo de esta falla, lo cual nos permitió repararla y actualizar la aplicación Camera sin evidencias que esta falla haya sido explotada. Los usuarios solo son vulnerables si utilizan una red inalámbrica de acceso público no confiable o no asegurada y una versión vieja de la aplicación. Como siempre, recordamos a todos los usuario solo conectarse a redes en las que confíen. Los usuarios se puede proteger descargando la última versión de la app Camera. Gracias a la denuncia responsable a Facebook de esta falla, nadie dentro de la comunidad de seguridad tiene evidencias que una cuenta haya sido comprometida usando esta falla. Hemos recompensado al investigador y le agradecemos por su contribución a la Seguridad de Facebook."

Fuente:
Por Raúl Batista
http://blog.segu-info.com.ar/



Otras noticias de interés:

Cada vez más usuarios se conectan a Internet por móvil
Antevenio Mobile acaba de presentar su estudio Tendencias de navegación en telefonía móvil, que analiza el nivel de conocimiento y el uso de los distintos servicios y contenidos que ofrece el acceso a Internet a través del móvil, así como las p...
La Guerra de los Navegadores por Discovery Channel
El excelente canal de televisión Discovery Channel trasmitió hace poco un muy buen programa de nombre La Guerra de los Navegadores, donde hablan los Gurus que participaron James Clark, Rob McCool( Creador de Mosaic), Marc Andreessen, Lou Montulli...
Tu MS Internet Explorer (IE) como FireFox
Los usuarios que desearían que su navegador Internet Explorer se pareciera más al popular Firefox ya disponen de una herramienta que permite el cambio. ...
Error de Windows Vista, puede ser apagado por altavoces
Me cuesta tomarme esto en serio, pero este hombre dice que Windows Vista podría ser atacado remotamente mediante su sistema de reconocimiento de voz....
Berners-Lee: Recoger o no la información personal de los usuarios
Tim Berners-Lee, considerado el inventor de la World Wide Web, se ha mostrado favorable a que empresas como Facebook o Google recopilen información personal de sus usuarios siempre y cuando compartan con ellos el uso que hacen de esos datos. ...
Corregidas tres vulnerabilidades en Apache Tomcat
Se han corregido tres nuevas vulnerabilidades en Apache Tomcat (versiones 6.0.0 a 6.0.20 y 5.5.0 a 5.5.28), que podrían permitir a un atacante evitar restricciones de seguridad, conseguir información sensible o manipular datos....
Chrome ya no permitirá actualizaciones silenciosas
Dispuestos a no permitir que las extensiones de terceros se instalen en Chrome como se les venga en gana a sus desarrolladores, en Google han decidido quitar la posibilidad de actualizaciones silenciosas para ellas....
Crean un ordenador capaz de detectar la "intención" y de anticiparse a la voluntad
Aunque de momento sólo se ha probado con monos, será de gran ayuda para las personas paralíticas. El ordenador ya no sólo es capaz obedecer a los pensamientos, sino que puede también descubrir la intención y de predecir los movimientos corporal...
Recordando a una auténtica hacker - aniversario del primer "bug" informático
En estas fechas se suele recordar a Grace Murray Hopper, como quién acuñó el término bug para la informática debido al incidente de la famosa polilla en el Mark II....
Nuevas vulnerabilidades en la máquina virtual de Java
Microsoft informa, mediante su boletín MS02-052, la existencia de tres nuevas vulnerabilidades en la máquina virtual de Java. Estas fallas permitirían a un usuario efectuar acciones maliciosas en un sistema vulnerable....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • camera
  • centos
  • chrome
  • ciberdelincuentes
  • cifrado
  • computer
  • cuentas
  • debian
  • exploits
  • facebook
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • permitia
  • pgp
  • php
  • redes
  • sabayon
  • secuestrar
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • wifi
  • windows
  • xanadu
  • xfce
  • xombra