BeBlog

A última hora de divendres passat ens va sorprendre la notícia que Apple havia decidit retirar WhatsApp de la seva App Store per qüestions de seguretat, causes que la mateixa companyia va declarar com falses en un correu electrònic que rebem hores després. No obstant això es van negar a donar-nos els que, segons ells, són els veritables motius d’aquesta situació crítica, i gairebé tres dies després l’aplicació segueix fora de combat.

En realitat, per molt que els seus responsables intentin tapar-lo de qualsevol manera, l’assumpte de les fallades de seguretat en aquest servei de missatgeria ve de llarg, i per això no ens ha agafat de sorpresa la decisió de Cupertino. Atès l’hermetisme de les dues parts, no podem saber si aquesta recent decisió s’ha produït pels problemes ja coneguts, o per alguna cosa encara més gros que s’hagi pogut destapar.

¿Ha estendre el pànic? ¿S’està assabentant tot el món de les bestieses que comento amb els meus col · legues per WhatsApp? Abans d’arribar a les conclusions més dràstiques, intentarem entendre una mica els forats de seguretat que ja han estat detectats en aquesta popular eina. Després cada un podrà actuar com estimi convenient en base a aquesta informació.

Un llarg historial de problemes per resoldre

Tal i com revelaven el passat mes de juny en Security by Default, l’aplicació guardava sense cap tipus de xifrat la informació sobre contactes, converses i sessions en bases de dades de fàcil accés, i fins i tot detalls sobre la localització si el GPS estava actiu. Sembla que no els va afectar molt el avís, perquè principis d’aquest mateix mes de gener encara es podia accedir fàcilment a qualsevol conversa aliena sense gaire esforç.

Van passar els mesos i van seguir sorgint bretxes en l’estructura, les quals permetien prendre per la força el compte d’un altre usuari per diverses vies. Sobre algunes d’aquestes vulnerabilitats sí que hi ha hagut declaració oficial des de l’equip de desenvolupament per assegurar que havien estat esmenades, però altres semblaven seguir actives temps després.

De la mateixa manera, també a principis d’aquest any vèiem com un exploit a la web del servei permetia canviar l’estat de qualsevol usuari, cosa que novament ha estat esmenat ja per la companyia. El problema no és tenir esquerdes de seguretat, cosa a la qual qualsevol eina està exposada, sinó que vegem com algunes d’elles són atallades i altres (particuarlmente preocupants) segueixen latents amb el pas dels mesos.

És segur utilitzar WhatsApp en aquest moment?

Coneixedor com sóc de tot el que s’ha exposat, del que ha estat solucionat i del que aparentment encara segueix sagnant, personalment no he deixat d’usar WhatsApp de moment. Això sí, mantinc com a regla d’or que en les meves converses no es reveli res d’informació més personal del compte, ni cap tipus de dada sensible, que pugui quedar guardat com a text pla perquè qualsevol pugui llegir en el futur.

Enmig d’aquesta petita gran crisi, l’únic que la companyia ha publicat al seu bloc oficial aquests últims tres dies és informació sobre un insuls hoax que porta mesos circulant. Però de la situació en l’App Store, a excepció dels emails poc amigables que hem rebut els mitjans, poc més s’ha sabut, demostrant una evident incapacitat per gestionar la problemàtica de cara al seu públic.

Els més suspicaços han suposat que pot tractar-se d’una mesura per part d’Apple per fomentar l’ús de iMessage entre els seus clients, una cosa contraproduent i que cau pel seu propi pes si tenim en compte que la companyia de la poma també ingressa diners (i no poc) amb les vendes de WhatsApp. A més, ells són els últims interessats en generar alarma al voltant d’una de les aplicacions estrelles del seu sistema operatiu, de la seguretat sempre han presumit.

Sospito que la política de mutisme i negació per part dels creadors de l’aplicació es mantindrà quan aquesta recuperi el vistiplau per aparèixer a l’App Store, de manera que possiblement mai sapiguem què va ser la gota que va fer vessar el got divendres passat. I una vegada més ens tocarà esperar al treball dels investigadors anònims per saber si qüestions com la transferència d’informació sensible sense codificar han estat solucionades.

Vía | Genbeta

La companyia Sony ha emès un comunicat on confirma als setanta milions d’usuaris dels seus serveis Playstation Network i Qriocity que hi ha hagut una intrusió al seu sistema que ha permès a un suposat grup de hackers accedir a les dades privades i bancàries dels comptes. Sony recomana revisar els moviments dels comptes bancaris de tots els usuaris i extremar la precaució per possibles fraus.

També ha explicat que  ha decidit tancar temporalment aquests serveis en línia per la ‘intrusió il·legal no autoritzada’. Segons Sony, uns hackers haurien tingut accés a les dades de tots els usuaris de Playstation Network i de Qriocity del dia 17 al 19 d’abril, moment en què la companyia japonesa va detectar el problema i va tancar aquests serveis com a mesura de seguretat.

‘Creiem que persones no autoritzades han pogut obtenir la vostra informació personal: nom, adreça, país, adreça de correu electrònic, data de naixement, clau d’accés i contrasenya de PlayStation Network/Qriocity, i PSN ID’, reconeix Sony al comunicat.

La investigació interna de l’empresa també considera que es poden haver exposat ‘dades de perfil i l’historial de compra i l’adreça de cobrament’ dels usuaris, i fins i tot les preguntes de seguretat d’accés als comptes.

Sony treballa per solucionar el gravíssim problema de seguretat i no ha confirmat quan tornaran a activar-se els dos serveis afectats.

La BBC té una llista de preguntes i respostes sobre el robatori de dades a Sony.

Via | Vilaweb

Les primeres versions de prova van sortir fa un any, però serà a partir d’avui quan estarà disponible la quarta i definitiva entrega d’Internet Explorer 9 (IE9). El navegador no funcionarà amb el sistema operatiu més estès a les empreses, Windows XP. Ryan Gavin, màxim responsable del programa, argumenta: ser incompatible amb Windows XP és una aposta de futur. “La Xarxa demana un sistema operatiu modern, un navegador modern i màquines més preparades”. Segons les seves dades, el 65% dels seus clients usen Windows 7 o Vista. Només ells podran utilitzar IE9.

La passada setmana Microsoft va crear una campanya per eliminar IE6, present en el 12% de peixos, sobretot a la Xina, on està instal lat en el 34,5% de les màquines. No és casual que fos el que per defecte portava Windows XP per surfejar per la Xarxa

El navegador ve amb diverses promeses: més seguretat, potència i rapidesa. La potència s’ha resolt amb una gestió millorada del maquinari. Els vídeos, fins i tot els d’alta definició, i les animacions, es carreguen en poc temps sense que es noti una pèrdua de capacitat de l’ordinador.

S’assembla molt a Google Chrome. Pestanyes que carreguen de manera independent; pantalla inicial amb els últims llocs visitats o els 10 més freqüents i pocs botons. IE9 integra les aplicacions com a part del navegador, una barra superior mínima i amb el botó dret del ratolí es veuen les opcions de cada pàgina o objecte.

Alhora, destaca per la seva integració amb el sistema operatiu. L’aparença és similar a Windows 7 i el comportament amb les pestanyes també. Es poden arrossegar, unir o deixar anar a la barra de tasques per començar a utilitzar serveis com Hotmail com si fossin un programa. Antonio de la Rosa, responsable de producte, explica: “Volem passar de pàgines a aplicacions web”.

Des dels seus inicis, el navegador de Microsoft ha tingut dos punts dèbils: seguretat i compatibilitat. La primera versió de IE9 incidir en la compatibilitat amb HTML 5, el llenguatge que serà estàndard per a crear webs. Quant a la seguretat, a més d’avisos quan s’entri en llocs de dubtosa fiabilitat, IE9 permet la navegació anònima, fins i tot amb esborrat complet de les dades de sessió en tancar el programa. Una cosa pràctic en consultar llocs que demanen claus o si es tracta d’un pecé compartit. El gestor de descàrregues avisarà de la reputació de cada lloc visitat per desar un arxiu. “Aconsellem si es descarrega alguna cosa o no, però no es fica por al client creant desconfiança”, explica José Bonnin, cap tècnic del navegador a Espanya.

Via | El País

Apple ha publicat un pedaç de seguretat per a l’iPhone i l’iPod Touch que tanca alguns forats que podien ser utilitzats per una intromissió il·lícita en aquestes màquines. L’atacant podia obtenir el control remot de les mateixes. Tres de les vulnerabilitats detectades es produïen si el propietari de l’iPhone o l’iPod Touch obria un arxiu maliciós audiovisual o accedia a un servidor d’FTP. Un altre forat, segons CNet, permetia a qui tingués accés físic a l’aparell poder saltar-se la contrasenya d’entrada i accedir a les dades

D’altra banda, Apple ha desmentit que hagi paralitzat la producció del seu iMac27 davant els problemes que alguns compradors han tingut amb la pantalla del mateix (amb zones groguenques o intermitències en la imatge). Segons Apple, aquest iMac és un gran èxit de vendes “i treballem per millorar la distribució i respondre a la demanda”. L’empresa ha actualitzat un firmware (microcodi amb instruccions per a la màquina) per a aquest model.

Vía | El País

El que faltava. Com que no teníem prou amb els centenars de milers d’intents de rickrollearnos que hem de suportar veient vídeos de Youtube, ara va un graciós anomenat ikex i llança un cuc per l’iPhone que no fa altra cosa que canviar la imatge de fons per una a la qual apareix el cèlebre cantant de pop (per motius infames) Rick Astley amb el missatge “ikee is never going to give you up”.
El cuc ja està causant estralls a Austràlia però abans que s’estengui el pànic s’ha de matisar que només afecta els iPhones jailbreakeados amb el paquet SSH instal lat. Una vegada infecta un terminal, el cuc canvia la imatge de fons i intenta trobar altres iPhones a la xarxa mòbil amb la mateixa vulnerabilitat per a propagar fins a aquests.

Encara que l’efecte causat per aquest cuc en particular és més còmic que altra cosa, és millor prevenir que curar així que recomanem a tots aquells que l’hagueu fet un jailbreak al vostre iPhone que seguiu les següents instruccions per a modificar la contrasenya per defecte. Se sap que ja hi ha quatre variants d’aquest mateix cuc i no seria estrany que apareguessin versions amb força més mala llet.

Com canviar la contrasenya SSH de l’iPhone

1. Accedim a Cydia i instal.lem l’aplicació MobileTerminal.
2. Obrim l’aplicació i escrivim la comanda “passwd” per canviar la contrasenya de “mobile”.
3. Introduïm la contrasenya actual: “alpine”.
4. Introduïm la contrasenya que volem definir com nova. Ens demanarà confirmació així que tornem a introduir-la per segona vegada (la contrasenya és sensible a majúscules i minúscules).
5. Ara li toca el torn a l’usuari “root” així que escrivim la comanda “login arrel.
6. Ens demanarà la contrasenya, que en aquest usuari segueix sent “alpine”.
7. Repetim el pas 2 escrivint “passwd”, només que aquesta vegada no necessitarem indicar la contrasenya actual, només introduirem la nova i la confirmarem.
8. I amb això ja estarem protegits davant de qualsevol atac de Rick Astley o possible variant que sorgeixi en un futur. Recordeu que en endavant necessitareu utilitzar la nova contrasenya per accedir a l’iPhone via SSH.

Vía | Sophos