QuadRooter, la vulnerabilidad que afecta a 900 millones de dispositivos Android

En la pasada conferencia sobre seguridad informática DEF CON 24 en Las Vegas, un grupo de investigadores presentó una serie de vulnerabilidades, que llamaron QuadRooter, que afectan a dispositivos con Android Marshmallow y anteriores que integren chips Qualcomm.

QuadRooter supone que un atacante podría tener un acceso total a nuestro dispositivo pudiendo, entre otras cosas, ver todos los ficheros, registrar y enviar lo que tecleemos, localizarnos por GPS o grabar audio y vídeo.

QuadRooter está compuesto por cuatro vulnerabilidades:

CVE-2016-2503 descubierto en el driver de la GPU de Qualcomm y solucionado en el Boletín de Seguridad de Google Android de julio de 2016.

CVE-2016-2504 encontrado en el driver de la GPU de Qualcomm y solucionado en el Boletín de Seguridad de Google Android de agosto de 2016.

CVE-2016-2059 localizado en el módulo kernel de Qualcomm kernel y solucionado en abril, aunque se desconoce el número de dispositivos parcheados.

CVE-2016-5340 presente en el driver de la GPU de Qualcomm y solucionado, aunque se desconoce el número de dispositivos parcheados.

Todo lo que un atacante necesita hacer para aprovecharse de estos agujeros de seguridad es instalar un malware en el dispositivo de la víctima. Esto se puede conseguir vía una app maliciosa o haciendo que se ejecute un pequeño programa.

Dispositivos afectados
Qualcomm es uno de los fabricantes de chips punteros a nivel mundial. Se calcula que hay unos 900 millones de dispositivos afectados. La siguiente lista muestra algunos de los principales dispositivos afectados:

Samsung Galaxy S7 and Samsung S7 Edge
Sony Xperia Z Ultra
OnePlus One, OnePlus 2 and OnePlus 3
Google Nexus 5X, Nexus 6 and Nexus 6P
Blackphone 1 and Blackphone 2
HTC One, HTC M9 and HTC 10
LG G4, LG G5, and LG V10
New Moto X by Motorola
BlackBerry Priv
¿Qué hacer?
Tres de las cuatro vulnerabilidades han sido solucionadas en las actualizaciones mensuales de seguridad de Google. La cuarta vendrá en la actualización de septiembre.

Como el problema se encuentra en los drivers que controlan el chipset, debemos esperar a que el fabricante del dispositivo o el operador de telefonía nos haga llegar esos parches para que estos sean efectivos.

Mientras tanto solo nos queda esperar y presionar para que envíen esos parches lo antes posible.

Microsoft soluciona 5 vulnerabilidades críticas con su actualización de agosto

Microsoft acaba de publicar su actualización de agosto.

Este mes consta de nueve boletines, numerados desde el MS16-095 al MS16-103, estando catalogados cinco de ellos como “Critico – Ejecución de código remoto (RCE)”.

Como posiblemente sepas, RCE significa que un ciberdelincuente puede engañarte con un fichero de aspecto inofensivo, o dirigirte hacia una web y hacerse con el control de tu ordenador.

En otras palabras: un ataque RCE puede infectar tu ordenador sin necesidad de que descargues ningún fichero y sin que salte ningún aviso de seguridad.

Aunque Microsoft no ofrece detalles técnicos, los componentes afectados en este mes son:

MS16-095
Actualización para Internet Explorer

MS16-096
Actualización para Microsoft Edge. Aunque no existe mucha información parece que el problema reside en JavaScript. Este tipo de problemas vale la pena solucionarlos, ya que se pueden emplear en una web de manera que, con que solo visites esa web comprometida, ya estarías infectado.

MS16-097
Actualización para Microsoft Graphics Component. Microsoft no especifica qué gráficos están afectados, pero el problema afecta al propio Windows, Office y Skype. Las incidencias con las imágenes también son delicadas, ya que los ciberdelincuentes disponen de infinidad de maneras de poner una imagen a tu disposición.

MS16-099
Actualización para Microsoft Office. Este agujero de seguridad permitiría que un atacante tomara el control de tu ordenador únicamente abriendo un documento Office, sin necesidad de que tuvieras activados los macros.

El consejo de que “no abras ningún documento de alguien que no conozcas”, se aplica a este caso. Pero si tu trabajo implica gestionar documentos, es muy complicado cumplirlo.

MS16-102
Actualización para la librería PDF de Windows. Esta vulnerabilidad es igual de peligrosa que la anterior, la MS16-099. En este caso, afecta a los PDFs y es un tipo de fichero muy popular, usado constantemente en ámbitos laborales.

¿Qué hacer?
Las actualizaciones de este mes son lo suficientemente graves para tener que instalarlas lo antes posible. Afortunadamente no se tiene constancia que los “malos” las estén usando, pero eso no evita que lo hagan en un futuro muy cercano. Sigue nuestro consejo “actualiza rápido, actualiza a menudo”.

Cifrado “Always-On”

Sophos lanza sistema sincronizado de cifrado de archivos “Always-On”

Sophos, proveedor global en seguridad para protección de redes y endpoints, ha anunciado Sophos SafeGuard Encryption 8, una nueva solución de cifrado sincronizado que protege contra el robo de datos a través de software malicioso, ciberataques o filtraciones accidentales. Las empresas ahora pueden adoptar las mejores prácticas de cifrado a nivel de archivo “always-on” para resguardar la información a la que se accede desde móviles, portátiles, ordenadores, redes y aplicaciones para compartir archivos en la nube. Sophos es el primer proveedor que ofrece cifrado persistente, transparente y proactivo que protege por defecto archivos tanto en Windows, Mac, iOs o Android.

Hasta ahora, la gestión y adopción de cifrado se consideraba un proceso demasiado complejo, lo que ha dificultado su aceptación. Según una encuesta realizada por Sophos, The State of Encryption Today, solo el 29% de los directores de TI dice tener siempre sus móviles cifrados y este porcentaje aumenta a 43% cuando se trata del cifrado de un Mac, lo que representa un alarmante nivel de exposición a ciberataques en las empresas.

“Solo el cifrado de disco completo protege los datos en caso de un robo o de pérdida del portátil o dispositivo móvil. Sin embargo, los datos viajan por todas partes – son vulnerables y extremadamente difíciles de proteger constantemente cuando se comparten y usan desde diferentes dispositivos y aplicaciones de colaboración basadas en la nube”, explica Dan Schiappa, vicepresidente senior y director general de seguridad Enduser de Sophos. “Hemos reinventado SafeGuard Encryption 8 para cifrar cada archivo por defecto y validar continuamente a los usuarios, las aplicaciones y dispositivos para una colaboración segura. También incorporamos archivos protegidos con contraseña, lo que permite a los usuarios compartir archivos cifrados con terceros externos a la empresa. Cuando la seguridad de datos es simple y transparente, los usuarios son más propensos a usarla, haciendo que toda la empresa sea más segura y más proclive a seguir las medidas de seguridad”, añade.

En general, un cifrado fácil de usar debería ser prioritario en la agenda de todos los líderes TI, ya que éste revalúa la estrategia de protección de datos para cumplir con los nuevos requisitos de la legislación europea. Hay que tener en cuenta que, cuando a partir del 25 de mayo de 2018 sea aplicable el Reglamento general de protección de datos de la Unión Europea (UE), las empresas que gestionan datos de clientes y empleados dentro de la Unión Europea se enfrentarán a serias sanciones económicas, que implican hasta multas del 4% de los ingresos anuales a nivel mundial si se incumple el reglamento. Esta sanción incluye a compañías que no necesariamente tienen su sede en la Unión Europea, pero gestionan datos de ciudadanos europeos.

“La legislación de protección de datos está siendo introducida en todo el mundo, y las empresas deberían revisar sus políticas de protección de datos antes de enfrentase a las consecuencias. Las empresas que gestionan negocios en países con leyes de protección de datos deben adaptarse a los reglamentos locales”, dice Schiappa. “El cifrado se considera la mejor medida de seguridad disponible. Sophos SafeGuard Encryption es fácil de gestionar y supone la opción más aconsejable para cualquier negocio global que necesita proteger información confidencial o adaptarse a la legislación”, asegura.

Como parte de la estrategia de seguridad sincronizada de Sophos, Sophos SafeGuard Encryption puede responder automáticamente cuando se producen incidentes y amenazas a la seguridad de endpoints conectados. Durante una infección activa, Sophos SafeGuard Encryption puede suspender temporalmente las claves de cifrado para proteger los datos y los usuarios pueden obtenerlas nuevamente de manera automática cuando el incidente se haya resuelto. Sophos SafeGuard Encryption también se sincroniza con las claves de Sophos Mobile Control, que asegura los derechos de acceso a archivos en teléfonos móviles y tabletas. Incluso, se puede tener acceso de manera segura a los documentos cifrados desde la aplicación Secure Work Space.

“Existen cuatro razones fundamentales para que las empresas tengan en cuenta el cifrado. La primera y más importante es la protección de los datos confidenciales contra los ciberataques y la filtración de datos. La segunda es la filtración involuntaria. La gente suele dejar sus móviles y dispositivos USB en la parte trasera de los taxis y a menudo envía correos electrónicos a personas equivocadas, dejando a la vista archivos y otra información privada. En tercer lugar, el cifrado ayuda a las empresas a cumplir con el reglamento de protección de datos de la Unión Europea, mitigando el efecto de las sanciones que su incumplimiento conlleva. Por último, la migración a servicios basados en la nube presenta un problema de seguridad, y el cifrado puede ayudar a las compañías a proteger información que podría ser vulnerable”, asegura Duncan Brown, director de investigación de European security practice de IDC. “A fin de que el cifrado sea eficaz en estos cuatro escenarios, tiene que ser fácil de gestionar para el administrador de TI, transparente para los usuarios y debe adaptarse a diferentes plataformas y tipos de archivos. Sophos hace todo esto con SafeGuard Encryption, permitiendo a las empresas adoptar rápidamente el cifrado como una medida de seguridad necesaria”.

Riesgos Pokemon Go

Sophos Iberia comenta los riesgos de Pokémon Go para la seguridad de Android

Sophos Iberia, empresa experta en seguridad de redes, ha comentado los riesgos y problemas que puede acarrear Pokémon Go en Android, debido a toda las instalaciones externas que se han realizado con anterioridad a la llegada oficial del juego a nuestro país.

Entre los problemas, con virus y malware incluidos en las versiones peligrosas como lo más destacado, la empresa ha recomendado lo siguiente, aunque sea lo más típico en el mundo Android:

  • No usar aplicaciones desconocidas o con escasa reputación. No confíes en una aplicación de la que nadie parece saber nada.
  • Suscribirse a Google Play. A pesar de los fallos recientes de la tienda oficial de aplicaciones para Android, es más seguro usar Google Play que acceder a aplicaciones desde otras modalidades poco convencionales.
  • Utilizar un antivirus para Android. Sophos Mobile Security está disponible de manera gratuita y protege los móviles automáticamente frente a aplicaciones maliciosas.
  • Gestionar los teléfonos de empresa de manera centralizada. Sophos Mobile Control permite controlar las opciones de seguridad de todos los móviles de empresa, de tal manera que evita la descarga de aplicaciones de fuentes poco fiables en los teléfonos de trabajo.

Surprise, el ransomware que se instala a través de TeamViewer

El ransomware es el tipo de malware más peligro de los últimos años. Cuando un usuario se infecta por él, todos sus archivos personales se cifran con un algoritmo prácticamente imposible de romper y, posteriormente, se le pide el pago de un “rescate” para poder recuperar los archivos o, de lo contrario, estos se perderán para siempre. Las formas más comunes de distribuir ransomware es a través de campañas publicitarias maliciosas, kits de exploits o correo electrónico, aunque la forma de distribución de nuevo ransomware, conocido como Surprise, ha pillado por sorpresa tanto a usuarios como a investigadores de seguridad.

Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo ransomware detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto que se publicó con fines educativos pero que, como ocurre siempre, está siendo utilizado para hacer el mal.

Este ransomware ha llegado, como su nombre indica, por sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con que, de repente, de un día para otro todos sus ficheros habían sido codificados añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos personales del sistema. Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint.

Este ransomware utiliza un algoritmo AES-256 para cifrar los archivos con una clave maestra RSA-2048, la cual se almacena en un servidor remoto de control. Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.

Para recuperar los archivos, el pirata informático pide un pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.

No se sabe cómo el pirata informático logró conectarse a los servidores TeamViewer para distribuir Surprise

El ransomware en sí no es ninguna sorpresa, ya que a grandes rasgos es como cualquier otro. Lo realmente curioso de él es la forma de infectar a los usuarios. Aunque al principio no había nada claro, según aumentó el número de víctimas se pudo observar un patrón, y es que todas ellas tenían instalada la herramienta de control remoto TeamViewer en sus sistemas. Analizando los registros de esta herramienta, todas las víctimas han podido ver cómo un usuario no autorizado se había conectado a sus equipos, había descargado un fichero llamado “surprise.exe” (el ransomware) y lo había ejecutado manualmente, dando lugar así a la infección.

Por el momento no se sabe cómo ha conseguido el pirata informático conectarse de forma remota a los equipos de las víctimas, aunque hay dos posibles opciones:

La primera de ellas, aunque un poco complicada, es que el pirata tenga en su poder una vulnerabilidad zero-day que le permita conectarse de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad de TeamViewer han auditado su herramienta tras las primeras infecciones y aseguran que esto no es posible, lo que nos lleva a la segunda opción.

La segunda de ellas, y probablemente más probable, es que utiliza una herramienta de escaneo de red para detectar cualquier servidor TeamViewer conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas mediante ataques de fuerza bruta.

Tanto las empresas de seguridad como Bleeping Computer y los responsables de seguridad de TeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sido posible que un pirata informático haya podido distribuir este nuevo ransomware a través de esta herramienta de control remoto.

Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).

Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.

También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los últimos pings contra el servidor C&C no han devuelto respuesta.

 

Sophos ofrece soluciones de seguridad fáciles de usar para la gestión móvil del negocio.

dispositivo-movil-300x172Sophos, líder global en seguridad para protección de redes y endpoints, ha anunciado la disponibilidad de Sophos Mobile Control 6.0, que ahora incluye Sophos Secure Email, una solución de contenedores que aísla y protege los datos corporativos de la información personal en los dispositivos. Sophos Mobile Control 6.0 también mejora las capacidades de protección de datos, y permite a los administradores de TI supervisar los dispositivos utilizados en su empresa a través de una interfaz sencilla y flujos de trabajo intuitivos.

Sophos Mobile Control 6.0 incluye Sophos Secure Email, una solución de contenedores de gestión de información personal (PIM, por sus siglas en inglés) para el correo electrónico, el calendario y los contactos. Los datos personales y corporativos pueden separarse, lo que permite a las empresas gestionar la seguridad de los datos corporativos al tiempo que mejoran la privacidad de los usuarios. Los administradores de TI pueden aprovisionar de forma remota el correo electrónico a los dispositivos móviles de los empleados en todas las plataformas populares, como iOS y múltiples versiones de Android.

Otra novedad en la versión 6.0 es Sophos Secure Workspace, que incluye Corporate Browser para facilitar y garantizar el acceso seguro a sitios web y aplicaciones corporativas de uso frecuente. Sophos Secure Workspace permite a los empleados colaborar sin problemas y acceder a los documentos que necesitan cuando los necesitan, de una forma segura. Los usuarios también pueden controlar los niveles de acceso y los derechos de publicación de varios proveedores de almacenamiento en la nube como Dropbox, Google Drive, Microsoft onedrive y Egnyte. Para una protección extra, los usuarios ahora pueden mover de forma segura sus documentos y datos entre dispositivos móviles, almacenamiento en la nube y endpoints corporativos ya que cuenta con el cifrado de ficheros de Sophos SafeGuard.

Con el incremento constante del malware móvil, la capacidad de detectar y poner en cuarentena dispositivos infectados es una prioridad cada vez mayor para la gestión móvil empresarial (EMM, por sus siglas en inglés). De hecho, más del 95% de los ataques actualmente implican la obtención de credenciales de los dispositivos de los clientes que son utilizados después para iniciar sesiones en aplicaciones web, según el Verizon Data Breach Investigations Report de 2015.

La seguridad del dispositivo es especialmente difícil de gestionar en las empresas de tamaño medio que tienen su personal ampliamente distribuido, pero sus recursos son limitados. El estudio Managing the Multi-Generational Workforce de CompTIA de septiembre de 2015, mostró que casi la mitad de las pequeñas y medianas empresas ya han adoptado plenamente el BYOD como una práctica habitual, en contraposición al algo más de una cuarta parte de las grandes empresas (46% frente a 28%).

“Es demasiado fácil para los empleados descargar aplicaciones peligrosas sin saberlo que dejan expuestos datos corporativos valiosos o, peor aún, proporcionan una vía de acceso a las redes empresariales.”, señala Dan Schiappa, vicepresidente senior y gerente general de Sophos Enduser Group. “Sophos puede abordar de manera proactiva la seguridad de los datos y protección de los dispositivos para que no sean el eslabón más débil. Equilibrar los niveles de productividad y el acceso demandado por los usuarios hoy en día con la creciente necesidad de reforzar la seguridad de los datos requiere la capacidad de gestionar y proteger todos los dispositivos. Tener una solución de gestión móvil empresarial con seguridad integrada se está convirtiendo en una necesidad crítica para empresas de cualquier tamaño”.

Sophos Mobile Control 6.0 también detecta los dispositivos rooteados o con fugas, además del malware y las aplicaciones potencialmente no deseadas (PUAs, por sus siglas en inglés). El producto bloquea los dispositivos infectados o no conformes para que no accedan a la red de la empresa y automáticamente bloquea sitios web maliciosos o indeseables. Un análisis reciente realizado por terceros, AV-Test, confirmó que Sophos Mobile Control 5.5 detectó el 100% del malware Android conocido aplicado durante el periodo de prueba. Todo esto se hace sin que los usuarios se percaten, por lo que no se sacrifica la productividad y los datos confidenciales y críticos permanecen privados y seguros.

Sophos Mobile Control 6.0 ya está disponible en la red mundial de partners certificados de Sophos.

 

 

TekPyme estará en Transfiere 2016

 

Logo-Transfiere-2016

TRANSFIERE es el gran foro profesional y multisectorial de la Innovación Española, en el que los participantes pueden:

  • Establecer contactos b2b
  • Transferir conocimiento científico y líneas de investigación tecnológica
  • Dar a conocer sus productos y servicios innovadores
  • Conocer las necesidades tecnológicas de la Administración Pública

Una oportunidad de negocio para encontrar potenciales socios tecnológicos del ámbito científico y del sector empresarial.

 

Millones de LG G3 en peligro debido a una vulnerabilidad “SNAP”

Una importante vulnerabilidad en la seguridad de los teléfonos inteligentes LG G3 puede acarrear robo de datos, intentos de phishing y ataques de denegación de servicios (DoS) en sus dispositivos.

El problema se encuentra, según sus descubridores Liran Segal y Shachar Korot de BugSec, en la app Smart Notice, una especie de asistente virtual que te informa de tu agenda así como de todo lo que te pueda interesar. A continuación os dejamos el vídeo promocional para que os hagáis una mejor idea.

Parece una app muy interesante pero el problema reside en que no valida la información que presenta. Los dos investigadores pudieron comprobar que algunas de las funcionalidades de Smart Notice como sugerencia de nuevo contacto, aviso de devolución de llamada, notificación de cumpleaños, o aviso de agenda, podían ser empleados para realizar un ataque “SNAP”.

Segal y Korot desarrollaron varios ataques simples que se aprovechaban de esta vulnerabilidad para tomar el control del dispositivo, de manera que lo único que podía hacer el usuario para recuperarlo era realizar un reseteado de fábrica.

Los ataques se podían realizar insertando contactos que incluyeran un código malicioso o simplemente usando ingeniería social para que la víctima escaneara un código QR o un MMS, que hiciera que el usuario estuviera a un solo clic de insertar el contacto malicioso.

El siguiente vídeo muestra la efectividad del ataque “SNAP”:

Los investigadores informaron a LG de sus hallazgos antes de hacerlos públicos, quien respondió rápidamente publicando una nueva versión del Smart Notice en la que se solucionaba el problema.

Debido a la gravedad del problema, si eres un usuario de este smartphone, te aconsejamos que actualices tu Smart Notice lo antes posible, ya que corres un serio peligro de que un ciberdelincuente pueda hacerse con el control.