lunes, 23 de julio de 2018

APPLE TRANSFIERE DATOS DE USUARIOS CHINOS DE SU iCLOUD A DATACENTERS CONTROLADOS POR EL ESTADO


        Los datos de iCloud de Apple pertenecientes a China han sido transferidos a un servicio de almacenamiento en la nube controlado por un proveedor de su propio estado. Los datos de aproximadamente 130 millones de usuarios se han visto afectados, poniendo en riesgo la seguridad de sus datos personales.

   Apple firmó un acuerdo con Guizhou-Cloud Big Data (GCBD), una compañía china que obtuvo el control sobre el negocio de iCloud a principios de este año en China. Ahora estos datos tan sensibles como mensajes, emails, fotos y claves encriptadas llegan a las manos de Tianyi. Su servicio de almacenamiento en la nube está gestionado por una operadora de China que pertenece al propio gobierno.

   En caso de no estar al corriente, China ahora tiene una ley llamada la Ley de Seguridad Nacional que otorga permisos a la policía para permitir que compañías les ayuden a hacer un bypass de las herramientas de seguridad para poder acceder a datos personales. Este movimiento apoyado por Apple hace más fácil que el gobierno pueda acceder a los datos de usuarios de forma más sencilla alertando a usuarios y a activistas de derechos humanos.

   Para poder prevenir que los datos se almacenen en servidores Chinos, los usuarios tienen la opción de seleccionar su almacenamiento en otro país cuando configuran la cuenta de iCloud. Aún así, al hacer la transferencia a otro servidor, no se sabe con certeza si se elñiminarán sus datos del servidor Chino previo.
   El año pasado, China impuso una nueva ley que requiere una infrastructura de operadores de información crítica para almacenar los datos de los usuarios dentro de las fronteras de la nación. Esta ley seguramente fuerza a Apple a tener que cooperar con el nuevo data center Chino.

Fuente: Segu-info


domingo, 8 de julio de 2018

LAS APPS DE TU MOVIL TE OBSERVAN


       Aunque las grandes empresas como Facebook y Google hayan dicho en repetidas ocasiones que no nos escuchan con sus aplicaciones, lo cierto es que hay determinadas cosas que llaman la atención, como que se nos muestren anuncios relacionados con una cosa sobre la que acabábamos de hablar, como en este vídeo. Un grupo de científicos ha intentado demostrar si esto es cierto, y han descubierto algo aún peor.

Las aplicaciones no nos escuchan, al menos si no nos logueamos

   Después de estar un año comprobando si las aplicaciones les escuchaban, el grupo de científicos no encontró ninguna evidencia de que esto fuera así, ya que no vieron anuncios ni contenido relacionado con aquello sobre lo que estaban hablando. Sin embargo, sí que encontraron que había aplicaciones que tomaban fotos y vídeo para enviarlas a servidores remotos.

   En este estudio analizaron más de 17.000 aplicaciones para Android, incluyendo las más populares y descargadas de la Play Store. 8.000 de estas aplicaciones incluían a Facebook y otrasque podían enviar información a la red social. La mitad de las aplicaciones analizadas tenían permiso para acceder a la cámara y el micrófono según el informe.
   Por ello, los investigadores crearon un sistema automatizado para determinar el tipo de tráfico que las aplicaciones enviaban fuera del móvil, y no había nada relacionado con el audio. Esto no implica que no te escuchen, pero sí demuestra que, si lo hacen, el audio no está saliendo de tu dispositivo. También cuenta con la limitación de que no se loguearon ni crearon una cuenta en muchas de las aplicaciones que así lo requerían.

sábado, 7 de julio de 2018

FACEBOOK VUELVE A FILTRAR DATOS DE 120 MILLONES DE USUARIOS


         Una nueva aplicación vuelve a poner a Facebook en el centro de las críticas respecto al mal uso de los datos de sus usuarios. Los que tienen un perfil hace una década podrán recordar el furor que fueron los tests de personalidad, en donde el usuario respondía unas preguntas y a cambio la plataforma te decía a qué jugador de fútbol te parecías o qué princesa de Disney eras.
   Esta última es la que llamó la atención de Inti De Cukelaire, un experto en seguridad informática que expuso como la aplicación NameTests[.]com filtró datos de sus usuarios durante años con la vista gorda de la red social.

   La plataforma acumulaba información de más de 120 millones de usuarios cada mes y, desde hace dos años, permitía que cualquiera pueda tener acceso a la información de los que iniciaron el test.
   Apenas se abría el test, la app era capaz de hacer un barrido de la información privada, se hubieran dados permisos o no. El otro grave error de seguridad de la plataforma era que esos datos estaban disponibles en un archivo que podía consultarse o que se compartía con terceros a través de los sitios visitados por los usuarios.
   Desde Facebook reconocieron el error y confirmaron que ya trabajaron para corregir la vulnerabilidad. "Para estar seguros, revocamos los tokens de acceso para todos los que se hayan registrado para usar esta aplicación. Entonces la gente tendrá que volver a autorizar la aplicación para poder seguir usándola", indicó la red social en una publicación.

ACUSAN A GOOGLE DE PERMITIR A DESARROLLADORES LEER TUS CORREOS


        Un informe publicado por The Wall Street Journal asegura que los desarrolladores de terceros pueden acceder a nuestra cuenta de Gmail, teniendo la posibilidad de leer nuestros correos (una práctica que podría ser común en todos los proveedores de correos).
    En su investigación, el medio estadounidense explica que algunas compañías que se dedican a comparar precios y ofrecen servicios para planear viajes han tenido acceso al correo de miles de usuarios usuarios.

Dos compañías ya lo han reconocido

   El problema es que no se trata de una vulnerabilidad, sino que hemos sido nosotros quienes les hemos dado permiso a estas compañías. Wall Street Journal asegura que mediante este método han tenido acceso a miles de cuentas de Gmail.
   Return Path es una empresa que se encarga de reunir información para campañas publicitarias, con computadoras que analizan y escanean alrededor de 100 millones de correos de Gmail al día.

   El medio estadounidense afirma que hace dos años Return Path utilizaba a personas que se encargaban de leer 8.000 correos y entrenar a las computadores que ahora se encargan de esta tarea.
   Precisamente, hace un año Google prometía con una entrada en su blog que dejarían de escanear tu bandeja de entrada para mostrarte publicidad vía Gmail.
   El informe de WSJ consiguió esta infomación después de que dos compañías (Edison Software y eDataSource) confirmaran este tipo de prácticas tan preocupantes. De hecho, el expresidente ejecutivo de eDataSource aseguró que "es una práctica común" que los empleados lean los correos de los usuarios de Gmail.

   Mucho se ha hablado estos años en los Términos y condiciones que aceptamos cada vez que nos damos de alta en un nuevo servicio. En medio de ese texto interminable puede haber ciertas cláusulas que permitirían que algunas compañías se puedan beneficiar de ello y vulnerar nuestra privacidad.

Fuente: Genbeta

 

viernes, 6 de julio de 2018

PODRIAN ESTAR ESPIANDOTE A TRAVES DE LA BATERIA


         Las baterías en la actualidad son lo suficientemente inteligentes como para detectar cómo usamos el móvil y poder así emplear medidas de ahorro si fuera necesario. El problema llega cuando esto se vuelve en contra. Podrían espiarnos a través de la batería. Hemos visto también que simplemente a través de un pendrive podrían acabar con nuestro equipo.

Podrían espiar a un usuario a través de la batería

    Así lo indican un grupo de investigadores que aseguran que a través de la batería, un ciberdelincuente podría espiarnos. Serían capaces de aprender sobre el uso que le damos al teléfono y obtener así información de la víctima.
   Este método sería rápido de implantar, el problema es que también sería muy difícil de detectar, incluso los propios usuarios serían partícipes de esto al instalar baterías modificadas. ¿Cómo podría ocurrir esto? Simplemente que un ciberdelincuente venda baterías a través de Internet y las haya modificado a conciencia. Puede lanzar un cebo hacia los usuarios, con promesas como que se trata de una batería que dura más de lo normal, un bajo precio, etc.

   Esta batería podría realizar un monitoreo continuo del dispositivo. Eso, evidentemente, permitiría a los atacantes obtener información muy detallada sobre todo lo que la víctima hace en su teléfono. Con esto nos referimos a navegar por Internet, escribir en el teclado o enviar o recibir llamadas.
   A través de un algoritmo de inteligencia artificial, un ciberdelincuente podría averiguar incluso qué sitios visita la víctima. Todo ello si la batería tuviera rastreador de la potencia DRAM o GPU.
   De esta manera podrían averiguar el comportamiento de un usuario. Por ejemplo si alguien visita muchas páginas sobre baloncesto, evidentemente significa que le interesa este deporte. Es una manera de recopilar información para incluso mandar publicidad orientada.

   Como podemos imaginar, todo este proceso no es sencillo. Los atacantes tendrían que poner especial cuidado en el aspecto físico de la batería. Una persona sospecharía si va a colocar esta pieza en su dispositivo y ve que contiene algo externo, algo adicional. Por tanto el grosor, las características externas, tienen que estar muy cuidadas. También la configuración de la potencia y el procesamiento para enviar o recibir datos a través de la batería.

Proceso de extracción de datos complejo

   El proceso de extraer datos es complejo. Los ciberdelincuentes podrían utilizar un pequeño transmisor Wi-Fi instalado en la batería, pero físicamente se notaría. Es por ello que, según explican los investigadores, una de las técnicas que pueden usar es la de cambiar el voltaje de salida de la batería y que se conecte así con una aplicación que esté en el teléfono. De esta manera podría enviar información a los atacantes. En este caso haría falta una aplicación adicional en el dispositivo.
   En definitiva, a través de la batería podrían espiar a los usuarios de dispositivos móviles. Es fácilmente detectable, al menos sobre el papel, sin embargo los investigadores realizaron pruebas con baterías adulteradas y tuvieron una alta tasa de acierto al detectar las páginas visitadas, así como si realizaron llamadas.

   Como hemos mencionado no se trata de un problema que vaya a estar presente de manera real. Simplemente es un escenario hipotético que han puesto sobre la mesa un grupo de investigadores.

¿Qué pasaría si en vez de ciberdelincuente lo cambiamos por las grandes compañías de móviles?

Fuente: RedesZone


TEST DE FACEBOOK SOBRE LAS PRINCESAS DE DISNEY EXPONE DATOS DE LOS USUARIOS


       Sí, es otra aplicación de Facebook filtrando datos de millones de usuarios, esta vez se trata de una marca llamada NameTests.com que distribuye cuestionarios en Facebook como el tan popular ¿Qué princesa de Disney eres?, y que tiene 120 millones de usuarios al mes.

   NameTests, cómo explica Inti De Ceukelaire, el investigador que reportó el problema, estuvo exponiendo los datos de sus usuarios por años a cualquier tercero. Esto incluye nombres, cumpleaños, posts, fotos y listas de amigos que la app recolectaba y mostraba en un archivo JavaScript fácilmente accesible por un tercero malintencionado.
   De Ceukelaire también cuenta que intentó contactar a Facebook varias veces con este asunto y que varias veces le respondieron que lo investigarían. Sin embargo, no fue sino algunos meses después que empezaran a suspender cuentas que abusaron de la información de los usuarios como parte de las investigaciones posteriores al escándalo de Cambridge Analytica, que De Ceukelaire notó que NameTests solucionó el problema. 

jueves, 5 de julio de 2018

FACEBOOK PATENTA UN SISTEMA PARA QUE SEÑALES INAUDIBLES ACTIVEN EL MICROFONO DE TU MOVIL


       Facebook quiere escuchar lo que pasa a tu alrededor. La red social siempre ha negado las recurrentes acusaciones de que utilice el micrófono de tu móvil para espiarnos con su micrófono, pero una nueva patente muestra que están trabajando en un software que les permita hacer algo muy parecido.
   La patente se llama "broadcast content view analysis based on ambient audio recording" (análisis de vista de contenido de transmisión basado en la grabación de audio ambiente), y describe un sistema capaz de grabar el sonido ambiente de tu móvil. Lo haría cuando diferentes contenidos como anuncios de televisión emitiesen determinados sonidos inaudibles para el ser humano, pero que los móviles detectarían.
   Tal y como describe la patente, nosotros estaríamos tranquilamente viendo la televisión, y esta emitiría esa especie de sonido agudo o imperceptible para nosotros. Sin embargo el móvil sí la detectaría, y como si el "Ok, Google" de Google Assisntat se tratase, el software o módulo que tuviéramos en el móvil empezaría a trabajar.

   Lo primero que haría este programa sería utilizar el micrófono del móvil para grabar todo lo que está pasando a su alrededor, incluyendo el propio contenido de la retransmisión que lo ha ejecutado. Entonces, la aplicación enviaría esta grabación a los servidores de Facebook incluyendo la hora a la que se grabó y un identificador único para cada dispositivo.
   Detrás de todo esto habría un esfuerzo por medir qué anuncios son más efectivos. Aunque Facebook no especifica demasiado bien qué hace con los datos, parece dar a entender que su objetivo principal es el de reconocer e identificar los anuncios que estamos viendo, y saber si lo hemos visto hasta el final o si hemos cambiado rápidamente de canal.

Habrá que ver si Facebook se atreve con ello

   En ningún momento Facebook dice en la patente que la intención de esta tecnología sea para espiar u obtener datos personales de los usuarios, sino más bien para saber qué anuncios nos gustan más y poder ofrecernos así únicamente los que nos interesan. En cualquier caso, con todos los problemas que han tenido en los últimos meses habrá que ver si se atreven a llevar adelante esta tecnología patentada.

   Aunque se la han otorgado este mes, la patente la solicitaron en el 2016, mucho antes de que el escándalo de Cambridge Analytica hiciera que Zuckerberg tuviera que comparecer ante el Senado estadounidense o el Parlamento de la Unión Europea, y que desde entonces haya estado pidiendo perdón y asegurando que iban a mejorarlo todo.
   Por eso mismo, con la que está cayendo y el creciente interés por la privacidad parece difícil que Facebook se vaya a arriesgar a más polémicas implementando este sistema, incluso si dicen la verdad y no es algo para espiarnos. Por lo tanto, no sería ya tanto que fuesen a implementar inmediatamente (y si lo hacen desde luego intentarán que no lo sepamos), sino más bien algo que podrían retomar una vez se hayan tranquilizado las aguas.

Fuente: Xataka

 

CANONICAL HACE PUBLICOS LOS DATOS DE LOS USUARIOS DE UBUNTU


       El pasado mes de febrero saltó la noticia de que la distribución GNU/Linux favorita de muchos usuarios comenzaba a recopilar información. Sin embargo, no fue tanto la noticia, sino el cómo llego a los oídos de los usuarios. Y es que, por parte de Canonical, no se vertió demasiada información. Obviamente, las quejas fueron muchas. Por este motivo, se vieron obligados a pedir disculpas e indicar que, posteriormente, se informaría sobre qué tipo de información es la que se recoge en estos informes.
   Una de las informaciones que se confirmaron es que sería en la versión 18.04 LTS en la que se añadiría una herramienta de reporte que sería la encargada de recopilar toda la información necesaria y, posteriormente, elaborar el informe que se enviaría. Todos los que quieran echar un vistazo al código de esta herramienta lo pueden hacer en el proyecto GitHub que Canonical inició.

   Aunque se informó que la recopilación no era para fines comerciales y que solo se quería información para desarrollar el producto, corregir errores y añadir nuevas funcionalidades, a los usuarios no les terminó de convencer.
   Es algo que parece lógico, sobre todo después de las recopilaciones realizadas por Microsoft o incluyo otros softwares.
   Para atajar al sector crítico, indicó que toda la información sería accesible. Y por el momento, hay que decir que han cumplido su palabra.

ESTOS JUEGOS DE STEAM ESPIAN LO QUE HACES EN INTERNET


       Hace unas horas se ha descubierto un spyware que responde al nombre de Red Shell y está diseñado para extraer datos de los usuarios para utilizarlos en campañas de marketing. Todavía es pronto para hablar de consecuencias o saber dónde va la información obtenida, pero sí sabemos que hay más de 50 títulos afectados.
   Por la información revelada en este hilo de Reddit, el spyware proporciona información a los desarrolladores de los juegos, indicando cómo responden sus usuarios a las campañas de marketing, si ven sus vídeos de YouTube o si acaban comprando un título por la publicidad que sirven en Twitter, Facebook o alguna página web.
   Red Shell, por su parte, se ha defendido en una declaración exclusiva a Kotaku, asegurando que “recopila la mínima cantidad de datos necesarias para atribuir el rendimiento de una campaña publicitaria”.

   En la lista de juegos que tenéis a continuación hay algunos títulos muy conocidos y ya hay varias compañías que han anunciado que dejarán de usarlo de manera inmediata. Estos son los afectados descubiertos hasta el momento: