Un bug en Siri permite escuchar tus mensajes de WhatsApp o Skype en iOS

Un bug en Siri ha permitido a usuarios maliciosos poder leer tus mensajes ocultos. Recientemente, se ha descubierto un nuevo error de Siri que ha afectado a las últimas versiones de iOS 11. Este error permite a cualquier persona escuchar los mensajes ocultos del propietario del iPhone cuando el dispositivo está bloqueado. Los usuarios tienen la opción de ocultar las previsualizaciones de las notificaciones en el bloqueo de pantalla, una práctica opción que está habilitada de forma predeterminada en el iPhone X. 

Cuando las visualizaciones están ocultas, los usuarios solo pueden ver el nombre del remitente en la alerta de la notificación en la pantalla de bloqueo, mientras que el contenido del mensaje solo se revela cuando el dispositivo está desbloqueado. Entonces, en el caso del iPhone X, el sistema operativo iOS revelará los mensajes cuando haya verificado al usuario con el Face ID. Con este error de Siri, cualquiera puede coger un iPhone y pedirle a Siri que lea los mensajes pendientes. El error solo afecta a las aplicaciones de mensajería de terceros, por lo que aunque la aplicación Mensajes sigue siendo segura, aplicaciones como WhatsApp o Skype son vulnerables.

Figura 1: Acceso a los mensajes de WhatsApp

Este particular error de iOS 11 parece estar presente en iOS 11.2.6 y en la última versión beta de iOS 11.3. Ahora que este error se ha hecho público, se espera que Apple lo solucione en versiones finales de la iOS 11.3. Estaremos atentos a posibles noticias sobre esta vulnerabilidad y la solución que se toma al final por parte de la empresa de Cupertino.

Nuevo phishing circulando en NETFLIX, CUIDADO!!!

Un falso correo electrónico, enviado supuestamente por Netflix, ha estado circulando durante los últimos días, poniendo en riesgo a los usuarios de la plataforma de streaming.

“Estimados cliente: lamentamos informarle que su cuenta está temporalmente suspendida debido a un problema de facturación”, señala el mensaje, tal como recoge el portal argentino Todo Noticias.

Posteriormente se informa que se debe actualizar los datos a través de un enlace, el que redirecciona a un sitio sumamente parecido a Netflix, pero que en realidad se trata de otro portal en el que se pide el usuario, contraseña e información de la tarjeta de crédito.

El correo, enviado por “Netflix@infoclientes.com”, posee algunos detalles que buscan darle mayor credibilidad, incluyendo imágenes de algunas de las series más exitosas de la plataforma como House of cards y The Crown.

Se trata de un nuevo caso de phishing, método a través del cual inescrupulosos buscan apropiarse de información confidencial de manera fraudulenta.

Para esto, el estafador se hace pasar por una persona o una empresa de confianza, en una aparente comunicación oficial electrónica.

En caso de caer en este tipo de fraudes, los expertos aconsejan contactarse de inmediato con el banco para bloquear la tarjeta de crédito.

Consejos para no ser víctima de este tipo de fraudes

– Nunca entregas información o respondas a requerimientos sobre tu tarjeta de crédito. Si tienes dudas, debes llamar al banco y notificar que te han solicitado información financiera a nombre de la entidad.

– Jamás debes hacer click en enlaces sospechosos que hayas recibido en tu correo. Cuando vayas a iniciar la sesión en tu banco fíjate que la barra de direcciones web tenga la dirección formal del banco y busca la aparición de un “candado” que indica que la conexión con el sitio es privada.

– No utilices computadores de acceso público para realizar tus transacciones financieras.

– Cambiar con frecuencia las contraseñas, procurando utilizar números y símbolos en su combinación. Nunca escribas tus claves en papel, el computador u otro lugar.

– Recuerda actualizar constantemente tu sistema de antivirus y las herramientas antispyware. 

Los estafadores aprovechan las brechas de seguridad que tienen las versiones mas antiguas.

El nuevo e ingenioso DrDoS

Recientemente, se ha detectado que mediante el uso de servicios memcached expuestos en internet, se había logrado llevar a cabo un ataque 'DDoS Reflection' (DrDOS) con un multiplicador cercano a 51.000.

Un ataque ‘DDos Reflection’ es un ataque de denegación de servicio por amplificación, que se produce cuando haciendo peticiones hacia un objetivo, éste es capaz de multiplicar el número de peticiones hacia el objetivo final.

Memcached es un sistema distribuido para caché de código abierto utilizado principalmente para mejorar la escalabilidad de las aplicaciones web. Memcached almacena pequeños datos mediante una funcionalidad de clave-valor. Los atacantes hacen uso de la funcionalidad clave-valor para crear un gran flujo con el que llevan a cabo el ataque.

El ataque se lleva a cabo en primer lugar mediante la obtención de servidores memcached expuestos en internet, para ello los atacantes hacen uso de herramientas como Shodan. Una vez se obtiene el listado de IPs, se modifica la configuración clave-valor con el fin de lograr la mayor cantidad de almacenamiento posible, permitiendo mediante la falsificación de la IP de destino en la solicitud, que el sistema memcached responda a la IP falsificada, aumentando el diferencial del que hemos hablado anteriormente.

Al llevar a cabo la técnica anteriormente descrita sobre un 'poll' de servidores, logramos un ataque DrDoS contra la IP de origen que se ha falsificado, que en este caso, correspondería a la víctima.

Históricamente, este tipo de ataques lo hemos podido observar en sistemas DNS, NTP y sistemas SSDP entre otros muchos, por lo que no es nada nuevo. La novedad se encuentra en el multiplicador que se ha llegado a conseguir superando con bastante claridad al resto de ataques DrDOS registrados.

Este ataque ha sido posible debido a una mala política de securización. Los que hemos trabajado con servicios memcached sabemos que están pensados para trabajar en 'Loopback' o redes locales, y una sola línea en su configuración hacen que sean expuestos en internet, por lo que cualquier persona podría usarlos. Aunque implemente medidas de seguridad éstas no vienen configuradas por defecto, y su fácil puesta en marcha, hace que estas medidas queden en muchos casos en el olvido.

En este casos no estamos hablando de una vulnerabilidad, sino de una técnica de DDoS que se aprovecha de una mala configuración de seguridad, la cual permite alcanzar picos de tráfico que han generado records para empresas como Akamai y Cloudfare. Por ejemplo, Akamai experimentó un ataque de 1.3 Tbs contra un solo cliente, más del doble del tamaño del ataque botnet Mirai mitigado por Akamai en 2017.

La mitigación de este tipo de ataques es sencilla ya que procede del puerto 11211 UDP que utiliza el servicio memcached, por lo que es fácilmente identificable para la aplicación de políticas de mitigación por parte de los servicios anti DDoS.

Hispasec