Entradas con la etiqueta ‘agujeros de seguridad’
A usuarios Facebook “le gusta” el gusano Clickjacking
El “clickjacker” más reciente en Facebook combina la característica documentada de registrar un botón “me gusta” anónimo sin agregar verificaciones de seguridad adicionales con comentarios muy halagadores.
Diario Ti: Una característica documentada en Facebook se volvió recientemente una infracción a la seguridad: un iFrame (marco inteligente) transparente colocado exactamente en el botón “Me gusta” redirige a los usuarios a diferentes páginas Web alojadas en la plataforma de blog libre blogspot.com. Este ataque se vale de una técnica ampliamente conocida con el nombre “clickjack” (algo así como intercepción de clics).
Clickjacking (o la intercepción de clics) es un antiguo método que (como su nombre lo indica) intercepta clics del mouse del usuario en una página para forzar actividades malintencionadas en la Web. Se coloca un iFrame oculto o transparente sobre un botón legítimo que probablemente conocerán los usuarios.
Cuando hacen clic en este botón (por lo general un cuadro de mensaje) son redirigidos inmediatamente a una página diferente y se les pide llenar formularios, confirmar sus credenciales, responder algunas preguntas o hacer clic en otros vínculos. Desde luego, esta página parece legítima y confiable, de modo que el usuario incauto no tiene idea de lo que ha ocurrido.
Las plataformas de redes sociales son el blanco principal de este tipo de ataque. La explicación es simple: muchas personas las utilizan por razones de socialización; de aquí su popularidad. Además, la enorme base de datos de esta comunidad atrae a un número importante de cibercriminales, incitando su creatividad malintencionada.
Fuente: BitdefendeR
Súper hacker revelará 20 nuevos agujeros de MacOS
El conocido experto en seguridad informática Charlie Miller ha detectado 20 nuevas vulnerabilidades en el sistema operativo de Apple y se propone revelarlas la próxima semana.
Diario Ti: Charlie Miller tiene un estatus legendario en círculos de hackers. Entre sus logros se cuenta haber hackeado MacOS X en cuatro oportunidades y haber vulnerado además el sistema iPhone OS. Según Forbes, Miller se propone revelar 20 agujeros de seguridad de Mac OS X durante la conferencia de seguridad informática CanSecWest, a iniciarse el 24 de marzo.
Miller dice haber detectado 20 procedimientos que pueden ser aprovechados por ciberdelincuentes para intervenir un sistema Macintosh mediante un archivo PDF infectado visualizado por Safari en un sitio web maligno.
El experto recalca ante Forbes que su intención no es ufanarse de sus habilidades, sino demostrar lo fácil que es encontrar bugs (errores de programación) vulnerables en software de uso corriente. Miller describe un procedimiento denominado “dumb fuzzing” mediante el cual compara cuatro aplicaciones de software: Adobe Reader, Apple Preview, Microsoft PowerPoint y Open Office de Oracle, ejecutando un script propio que sistemáticamente induce errores de funcionamiento en el software, detectando a la vez las posibilidades de intervenir la aplicación precisamente mediante los errores generados.
Luego de haber ejecutado el programa de “dumb fuzzing” durante tres semanas en cada aplicación, Miller concluyó que Apple Preview generó 20 bugs explotables, contra 3 y 4 en Adobe Reader, PowerPoint y OpenOffice.
A juicio de Miller, sus conclusiones demuestran que Apple no se toma en serio la seguridad y que no adopta medidas elementales de detección de errores de seguridad. Miller dice sentirse “conmocionado” de que Apple no haga pruebas similares, agregando que la única habilidad suya ha sido “la paciencia”.
Apple se negó a comentar ante Forbes los hallazgos ni comentarios de Miller.
FUENTE: Diario Ti
