Facebook Camera permitía a ciberdelincuentes secuestrar cuentas en redes wifi


Aviso a todos los usuarios de Facebook Camera en iOS: si no han actualizado su app en los últimos días, actualicen ahora. La versión vieja de la app, pre-1.1.2 y las anteriores al 21 de diciembre, tienen una brecha de seguridad. Cuando es usada en redes WiFi, atacantes pueden interceptar la red y secuestrar la cuenta de los usuarios de la app, y obtener información como correo electrónico y contraseñas en proceso.





p> El hacker de sombrero blanco que identificó el problema es Mohamed Ramadan, un investigador de seguridad egipcio e instructor de Attack-Secure que también encontró y reportó vulnerabilidades para Apple, Google y Etsy -los que aparentemente tienen la misma brecha en sus app en iOS. Ramadan nos dice que el problema esta en la certificación de SSL de la app Camera, la cual es demasiado laxa.

Como él lo explica, "El problema es que la app acepta cualquier certificado SSL de cualquier origen, incluso certificados maliciosos y esto permite a cualquier atacante realizar un ataque de Hombre-en-el-Medio (MitM) contra cualquiera que use la app Facebook Camera para iPhone. Esto significa que la aplicación no advierte a usuario si alguien en la misma [red Wifi] intenta secuestrar su cuenta de Facebook."

Probando su teoría y usando un proxy para escuchar en una red WiFi, fue capaz de ingresar su nombre de usuario y contraseña en la app Camera y luego ver pasar esa información mediante el proxy.

Ramadan señala que ha probado todas las apps de Facebook y el resto parecen protegerse de este tipo de vulnerabilidad. Intentamos obtener comentarios de Facebook pero no recibimos respuesta.

Facebook confirmó la falla descubierta por Ramadan, la cual es solucionada en la version 1.1.2, y nos dieron la siguiente declaración, destacando que no hay evidencia que la falla haya sido nunca explotada fuera del ambito de investigación:]

"Aplaudimos al investigador de seguridad que nos hizo saber de esta falla por la responsabilidad de reportarla a nuestro Programa de Sombrero Blanco. Hemos trabajado con el equipo para asegurarnos que comprendemos el alcance completo de esta falla, lo cual nos permitió repararla y actualizar la aplicación Camera sin evidencias que esta falla haya sido explotada. Los usuarios solo son vulnerables si utilizan una red inalámbrica de acceso público no confiable o no asegurada y una versión vieja de la aplicación. Como siempre, recordamos a todos los usuario solo conectarse a redes en las que confíen. Los usuarios se puede proteger descargando la última versión de la app Camera. Gracias a la denuncia responsable a Facebook de esta falla, nadie dentro de la comunidad de seguridad tiene evidencias que una cuenta haya sido comprometida usando esta falla. Hemos recompensado al investigador y le agradecemos por su contribución a la Seguridad de Facebook."

Fuente:
Por Raúl Batista
http://blog.segu-info.com.ar/



Otras noticias de interés:

CUIDADO: ¡No siga enlaces en mensajes no solicitados!
Numerosos usuarios de Internet, recibieron el pasado fin de semana, falsos mensajes electrónicos, en los que se les instaba a visitar un sitio web malicioso, que se aprovechaba de un fallo para el que aún no existe ninguna solución....
Microsoft y la geolocalización en Windows Phone 7
Microsoft explica sus prácticas de registro de datos sobre localización en Windows Phone 7. En medio del revuelo ocasionado por la recopilación y el almacenamiento de información sobre localización de los usuarios de dispositivos móviles basado...
IwAnywhere v1.1: Nuevo troyano indetectable
Ap0calaps es un desconocido programador de troyanos en Nueva Zelanda. IwAnywhere v1.1 es su nuevo troyano que acaba de editar en Internet a través de su Web con fecha de 20 de julio de 2002....
Cómo hacer que las computadoras entiendan Fotos
Hoy encontré navegando en youtube por el canal de TED una charla dada por Fei-Fei Li, experta en visión por computadoras (IA) explica como están enseñando a la computadora a entender las fotos. Describe las técnicas que usaron, los recursos, et...
Problemas con el SP3 de Windows XP
La instalación del esperado tercer pack de servicio para Windows XP está causando anomalías en algunos equipos, cuyos usuarios están reportando reinicios infinitos y otra serie de problemas que impiden cargar el sistema tras la actualización....
El malware sigue cebandose con las vulnerabilidades de los ficheros PDF
Un informe elaborado por G Data SecurityLabs saca a la luz que a lo largo del mes de abril la mayor parte del malware, presente en los ordenadores, sigue valiéndose de las vulnerabilidades de los ficheros PDF y del componente JavaScript....
La Guerra de los Navegadores por Discovery Channel
El excelente canal de televisión Discovery Channel trasmitió hace poco un muy buen programa de nombre La Guerra de los Navegadores, donde hablan los Gurus que participaron James Clark, Rob McCool( Creador de Mosaic), Marc Andreessen, Lou Montulli...
Falla de seguridad en Facebook permitiría el acceso a información privada
Según cuenta la persona que ha publicado la falla, que se hace llamar Slavco, existiría una falla de seguridad en Facebook que permitiría acceder a la información privada de los usuarios sin tener su autorización....
Almacenamiento de Datos a Largo Plazo Que Permite Su Consulta Fácil
Aunque la era digital lleva ya un buen camino recorrido, todavía existe un detalle crucial en el cual se debe trabajar: cómo almacenar cantidades enormes de información digital en una forma que permita que las futuras generaciones puedan acceder a...
Microsoft lanza un parche de seguridad para un fallo "crítico"
Microsoft lanza un parche de seguridad para un fallo crítico que afecta a casi todas las versiones de Windows Microsoft acaba de publicar en su portal un nuevo boletín de seguridad (MS03-026) dirigido a los millones de usuarios d...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • camera
  • centos
  • chrome
  • ciberdelincuentes
  • cifrado
  • computer
  • cuentas
  • debian
  • exploits
  • facebook
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • permitia
  • pgp
  • php
  • redes
  • sabayon
  • secuestrar
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • wifi
  • windows
  • xanadu
  • xfce
  • xombra