Archivo de etiquetas Privacidad

PorLeón Ramos

43 – Una vulnerabilidad en iPhones y iPads desde hace ocho años

Emisión 43

  1. Analizaremos el libro “La dictadura de los datos de Britanny Kaiser
  2. Robots de Boston Dynamics atienden en hospitales.
  3. Coronavirus en China: cómo funciona el polémico sistema chino de vigilancia
  4. Analizamos el reporte 2019 Data Breach Investigations Report de Verizon
  5. Un cuarto de los smartphones en el mundo no podrá usar la tecnología de Apple y Google para detener la pandemia.
  6. Una vulnerabilidad en iPhones y iPads desde ocho años al parecer están bajo un ataque activo de hackers sofisticados para hackear los dispositivos de objetivos de alto perfil.

Acá la demo donde pueden perfilarse así mismos.


[The Boston Globe] ¿Se acuerdan de Spot? Un robotcito que parece perrito construido por la empresa Boston Dynamics y que hemos visto haciendo acrobacias y trotando por el campo. Pues él puede ser tu primer tratante cuando llegas al Hospital Brigham and Women’s para ser valorado por el virus. La meta es que Spot apoye a los doctores para realizar una valoración previa por medio de una ipad colocada en su cabeza que sirve para enlazar al doctor con el paciente. Así mismo el doctor puede mover a Spot para cambiar el ángulo de visión y tener una mejor perspectiva.

Aparentemente los pacientes que acceden a este tipo de consulta lo están recibiendo muy bien porque también siente la seguridad de que durante la consulta a distancia disminuye su riesgo de contagio.

Spot aparentemente está hecho para este trabajo porque las áreas de atención especial para esta valoración se colocan, por lo general, en la parte exterior de los edificios, en estacionamientos o en otras zonas con acceso difícil para robots provistos con ruedas.

Las modificaciones que se le hicieron a Spot para esta aplicación fueron muy pocas, una ipad montada a manera de cabeza y una transportadora en su cuerpo para poder entregar botellas de agua a los pacientes. La parte del diagnóstico la desarrolló el MIT y es el software que corre en la tableta. Otra ventaja de usar a Spot es que puede sanitizarse o esterilizarse muy rápido, a diferencia del protocolo que debe de seguir una enfermera o un médico.

La siguiente meta además de las entrevistas, será medir la temperatura y el ritmo de respiración del paciente de forma remota.

Boston Dynamics comenta que está abriendo sus diseños de hardware y software para que otros fabricantes de robots tradicionales se actualicen y reacciones ante la contingencia.


Coronavirus en China: cómo funciona el polémico sistema chino de vigilancia. China está utilizando la tecnología para controlar el coronavirus, pero también a sus ciudadanos. En Hospitales utilizan robots para repartir comida, cámaras de reconocimiento facial que controlan la temperatura de las personas y drones de vigilancia para que la gente cumpla con su cuarentena. En el reportaje realizado por la BBC, se ve como una persona de la tercera edad camina por la calle y es perseguida por dron del gobierno chino y se escucha la grabación desde el dron “¿No hemos logrado persuadirte? No tenemos otra opción que mandarte un dron”. El sistema de vigilancia ha mostrado ser extremadamente eficaz durante la pandemia. Al sistema comunista le ha costado décadas construir este sistema de control de masas. En Corea del sur usan el teléfono para rastrear personas y les envía una alerta si están cerca de donde estuvo un paciente con coronavirus. En singapur, Israel, Iràn, Taiwán y Rusia han tomado algunas o todas medidas de China. ¿Pero como funciona el sistema de China y por qué es tan útil? Todo incia desde la tarjeta de identidad, que China la piden para todo, desde la compra de un celular hasta el uso de cualquier cualquier aplicación, todo se liga la tarjeta de identidad. En las zonas de cuarentena se utiliza la localización de los teléfonos para rastrear a las personas y obligarlas a permanecer en sus domicilios. Si un paciente rompe la cuarentena, las autoridades recibirán una alerta, la localización rastrea los movimientos de las personas infectadas durante las 2 semanas previas a su diagnóstico. Los análisis informáticos y humanos pueden determinar a quien pudieron haber infectado. En el caso que la persona afectada haya tomado un tren, las autoridades enviarán un mensaje de texto a los posibles infectados. A cada persona se le asigna un código QR en función del código que representa, verde sin peligro, amarillo, quienes hayan estado en zona de riesgo, rojo los que dieron positivo a coronavirus. Lo preocupante es que utilicen estos datos en forma excesiva. Adam Schwartz abogado de la Frontier Electronic Foundation, dice que cuando los gobiernos obtienen un gran poder, nunca los devuelven cuando la crisis termina. Un ejemplo fue el 11-S, EU creó diversos grupos de vigilancia, 19 años después esos poderes continúan activos.


No más al uso de contraseñas dice el reporte de Verizon del 2019.


[Arstechnica] Ya en el podcast anterior hablamos de cómo Apple y Google unirán sus fuerzas para liberar una aplicación que te ayude a saber si estuviste en contacto con alguien que se infectó con el coronavirus.

Ya les habíamos adelantado que la aplicación descansará en la tecnología Bluetooth de baja energía o Bluetooth Low Energy.

El principio de operación es muy sencillo, si tu teléfono detecta, a través de BLE, que estuviste muy cerca de un usuario que ha sido diagnosticado con coronavirus, te lo hará saber y te pedirá que guardes confinamiento voluntario.

El que dos competidores se unieran para generar esta aplicación habla de lo importante de la misma y de lo que se puede lograr si ajustamos unas tuercas, sin embargo, casi un tercio de los propietarios de smartphones del mundo cuentan con un equipo básico o antiguo que no cuenta con la tecnología BLE, lo que los excluye de esta aplicación.

¿Cuáles son los equipos que no tienen BLE? Pues los de funciones básicas que no son smartphones y los smartphones que tengan una antigüedad mayor a 5 años.

En total son casi 2mil millones de usuarios que no podrán usar este servicio. Para que se den una idea, los especialistas han calculado que, en Reino Unido, 80% de los adultos poseen un smartphone, sin embargo, de ese 80% un tercio posee un smartphone no compatible u obsoleto. Si lo comparamos con países en vías de desarrollo como la India, los números crecen dramáticamente hasta alcanzar un 60 o 70% de su población como incapaz de aprovechar esta tecnología.

Otro punto a considerar es que esa población que tiene los móviles básicos o más viejos son, o bien los pobres o los adultos mayores. Que curiosamente son los segmentos poblacionales más vulnerables ante la enfermedad.

De nueva cuenta se pone en evidencia la existencia de las brechas digitales que a veces se nos olvidan que existen.


Una vulnerabilidad en iPhones y iPads desde hace ocho años parece estar bajo un ataque activo de hackers sofisticados para hackear los dispositivos de objetivos de alto perfil. El exploit se desencadena enviando un correo electrónico, en algunos casos, no se requiere interacción alguna y, en otros casos solo requieren que un usuario abra el correo. Los correos electrónicos maliciosos permiten leer, modificar o eliminar mensajes. Los investigadores sospechan que los atacantes están combinando este 0day con un exploit por separado que brinda control total sobre el dispositivo. La vulnerabilidad se remonta a iOS 6 lanzado en 2012. Los atacantes han estado explotando esta vulnerabilidad desde el 2018 y posiblemente antes. «Con datos muy limitados se pudo identificar que al menos seis organizaciones se vieron afectadas por esta vulnerabilidad, y el alcance total del abuso de esta vulnerabilidad es enorme», escribieron los investigadores de ZecOps. «Confiamos en que se debe proporcionar un parche lo antes posible». Los objetivos de las seis organizaciones incluyen:
Individuos de una organización Fortune 500 en Norteamérica
Un ejecutivo de un transportista en Japón
Un VIP de Alemania
Proveedores de servicios de seguridad gestionados en Arabia Saudita e Israel
Un periodista en europa
Sospechoso: un ejecutivo de una empresa suiza


Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
PorLeón Ramos

35 – 23 mil tarjetas de metro apócrifas

Emisión 35

  1. Europa tendrá un cargador único para los celulares.
  2. Arrancan la carrera electoral en Estados Unidos y las apps para el caucus en Iowa fallan.
  3. Cómo borrar datos que Facebook recopila sobre ti en otros sitios y aplicaciones.
  4. ¿Qué harías si Google compartiera tus fotos con otros usuarios por error?
  5. Liberada la nueva versión de Issabel, ahora soporta asterisk 16.
  6. Una filial del antivirus Avast vende todas las búsquedas. cada clic, cada compra en cada sitio. Algunos de sus clientes son Home Depot, Google, Microsoft, Pepsi y McKinsey.
  7. El Metro de la CdMx detecta más de 23 mil tarjetas apócrifas o con saldo ilícito en tan solo 11 días.

 

Ya habíamos hablado previamente en el podcast que estaban por realizarse las votaciones a cerca de homologar el cargador para todos los celulares. Pues el pasado jueves 30 de enero, el parlamento de la unión europea aprobó por 582 votos a favor con 40 en contra, la resolución para que la comisión ponga manos a la obra y entregue un borrador con la ley. La comisión encargada tendrá hasta julio para hacer su tarea.
Hay que recordar que en 2009 la UE llamó a los fabricantes Apple, Samsung y Huawei a firmar un acuerdo voluntario para homologar los cargadores comercializados durante el 2011, pero voluntariamente no quisieron seguirlo. Así que ahora se hará ley. Casi todos los fabricantes están usando USB-C como el conector estándar, por lo que la medida afectará en mayor medida a Apple que tiene su propio estándar.
Adicionalmente, algo que el parlamento quiere impulsar, es que la carga inalámbrica de dispositivos sea igualmente estándar.

Las elecciones primarias del Partido Demócrata en Estados Unidos para determinar quién será el rival de Donald Trump en las elecciones de 2020 empiezan con problemas. Un error técnico en una app causó muchos retrasos y provocó el pánico en el estado de Iowa. Con la app sin funcionar y la línea telefónica alternativa caída, nadie de esa formación, ni del Comité Nacional Demócrata de Washington, había dado la cara 24 horas después del inicio del desastre. Las únicas comunicaciones de los líderes del partido habían sido notas de prensa y teleconferencias privadas con las campañas de los candidatos Se está diciendo de manera reiterativa que no se trató de un hackeo o una intrusión, pero personajes como Donald Trump Jr ya tachan a esta situación de juego sucio. Ahora, también tenemos que comprender que a partir de 2016 se instauraron nuevas reglas para que los comités informen tres conjuntos de datos en lugar de uno. El exalcalde Pete Buttigieg y el senador Bernie Sanders están a la cabeza en el resultado parcial de los caucus (primarias) del lunes en Iowa, con el 62% de las circunscripciones escrutadas

¿Cómo borrar datos que Facebook recopila sobre ti en otros sitios y aplicaciones? Facebook liberó hace unos días su herramienta Off-Facebook Activity con la cual pretende dar a los usuarios más control sobre su privacidad en internet. Inicialmente se ha liberado la funcionalidad «Borrar historial», esta herramienta ofrece a los usuarios un resumen claro de la información que Facebook tiene sobre ti en función de otras aplicaciones que utilizas o sitios web que has visitado y también te permite eliminarla de tu cuenta si lo deseas. En la pantalla, se te proporciona una lista de todos los sitios web y aplicaciones que han compartido sus datos con Facebook. Puedes elegir aplicaciones específicas para ver cuántas interacciones tuviste con ellas. Puedes descargar los detalles de la actividad haciendo clic en el número de interacciones y haciendo clic en Descargar detalles de la actividad en la parte inferior de la ventana emergente.
Actividad fuera de Facebook futura > Si desactivas esta opción, se desvinculará tu actividad futura, Seguiremos recibiendo la actividad de negocios y organizaciones que visites. Se podrá usar con fines de medición y para realizar mejoras en nuestros sistemas de publicidad, pero se desvinculará de tu cuenta, Tu historial de actividad también se desconectará de tu cuenta, No podrás iniciar sesión en apps y sitios web con Facebook porque la actividad se desconectará de tu cuenta, Seguirás viendo la misma cantidad de anuncios. Tus preferencias de anuncios y las acciones que realices en Facebook se usarán para mostrarte anuncios relevantes.
“Configuraciones > Tu información en Facebook > Actividad fuera de Facebook > Borrar historial”.
Tu actividad será desconectada de tu cuenta, pero Facebook continuará recibiendo información de tu actividad en internet.
Borrar el historial podrá sacarte de tu sesión de apps en las que uses “Ingresas con Facebook”
Seguirás viendo anuncios de acuerdo a tu actividad.

Lanzamiento de la nueva ISO de Issabel. Issabel es una distribución de Linux que convierte tu PC o servidor en un conmutador telefónico y nace como resultado de la adquisición de Elastix (una distribución nacida en Ecuador) por parte de 3CX. La comunidad de Issabel decide crear este fork para generar una distribución que conserve las garantías del software libre y que, al mismo tiempo, sea sustentable económicamente. Tuve la oportunidad de asistir a la presentación en línea de esta distribución.
Una de las funcionalidades que me llamó mucho la atención es que, además de poder descargar el archivo de imagen ISO, ahora también puedes descargar un archivo netinstall que te ayudará a realizar esta instalación a un sistema Centos 7.5 que se encuentre en la nube a la que no la puedas bootear con ISO. Ya tienen una plataforma llamda Issabel Network para poder monetizar sus desarrollos más innovadores y plugins adicionales.
En cuanto a seguridad me encantó que la distribución ya cuenta con un servidor openvpn listo para entregar certificados y que configures tus extensiones de una forma más segura. También soportan certificados letsencrypt para tener certificados firmados. En ésta versión ya agregaron un bloqueo de ips por área geográfica o el llamado “geofencing”, para bloquear solicitudes de ubicaciones no deseadas.
Creo que finalmente otra mejora es que la lista de ips bloqueadas por fail2ban (que es un demonio que se la pasa leyendo logs de acceso fallido para bloquear atacantes) se comparten entre todos los que usan la distro para prevenirlos de ser atacados por estos atacantes automáticos.
¿Qué le duele todavía? Pues todavía no se liberó con esta versión la configuración de la implementación SIP PJSip, aún estan usando chan_sip en sus interface gráfica, pero nos dijeron que ya están trabajando en él y que si se suman contribuidores a su patreon, pues tendrán mayores herramientas para liberarlo.

Google nos dice Oopsi I did it Again y manda un mensaje de disculpas a los usuarios afectados por un error interno de su sistema, el cual permitió que desconocidos pudieran ver sus fotos. El comunicado dice así: Estamos escribiendote para informarte que hubo un error técnico que afectó el servicio de “Download your data” de Google Photos entre el 21 y el 25 noviembre pero que ya fue solucionado. Desafortunadamente durante este tiempo algunos videos algunos videos de Google Photos fueron exportados a otros usuarios y algunos de tus archivos fueron afectados. 9to5Google asegura que el error habría afectado al 0,01% de los más de mil millones usuarios de Google Photos.

Una filial del antivirus Avast vende todas las búsquedas, cada clic, cada compra en cada sitio de sus usuarios. Algunos de sus clientes son Home Depot, Google, Microsoft, Pepsi y McKinsey. Avast cuenta con más de 435 millones de usuarios activos, su filial Jumpshot dice tener información de más de 100 millones de dispositivos, cuando Avast vendió el 35% de su participación en Jumpshot dijo que ese 35% valía $ 60.76 millones de dólares. El pasado 27 de Enero salieron a la luz documentos donde se menciona como una filial de Avast (Jumpshot) vende la información de los usuarios del Antivirus, cuando el antivirus recolecta la información, esta información es enviada a Jumpshot y Jumpshot genera paquetes de información para venderlos. Uno de esos paquetes incluye algo llamado «Todos los clics», lo que permite rastrear el comportamiento del usuario, los clics y el movimiento a través de sitios web con gran precisión. Los datos obtenidos por Motherboard y PCMag incluyen búsquedas en Google, búsquedas de ubicaciones y coordenadas GPS en Google Maps, personas que visitan las páginas de LinkedIn de las empresas, videos particulares de YouTube y personas que visitan sitios web porno. Es posible determinar a partir de los datos recopilados qué fecha y hora visitó YouPorn y PornHub el usuario anónimo, y en algunos casos qué término de búsqueda ingresaron al sitio porno y qué video específico vieron. Después de que las acciones de Avast cayeron un 20% por la noticia de la violación a la privacidad de sus usuarios, la compañía reaccionó cerrando su subsidiaria que estaba vendiendo los datos.

Se han rechazado 23 mil 646 tarjetas con saldo ilícito, en las 195 estaciones. Las tarjetas rechazadas fueron adquiridas y/o recargadas de manera ilegal, por lo que al pasarlas en los lectores de ingreso del Metro se bloquearon con la leyenda “Saldo inválido” o “Tarjeta no autorizada“.
Nuevas máquinas expendedoras. El saldo de las tarjetas dejó de funcionar el 31 de enero. Broxel y la integración bancaria.

Escucha el podcast:

En ivoox:

En Spotify

iTunes

 

En Youtube

PorHiram Camarillo

La persecución de Facebook a los no-usuarios de su plataforma desde las apps en Android

Facebook conoce y rastrea a las personas tengan una cuenta de Fb o no, estén o no logueados, tengan un teléfono inteligente o no.
Básicamente la recolección de información se hace de muchas formas. Les doy un poco de información introductoria y al final hablaré del tema de las apps en Android.

Facebook utiliza todos los medios posibles para recolectar información. Aquí algunos ejemplos del ecosistema de recolección de información:
1. Desde la propia app de Facebook recolecta SMSs, fotos, lista de contactos, ubicación del dispositivo, ID del teléfono, etc.
2. Desde apps desarrolladas o compradas por Facebook: FB Messenger, Jibbigo, Instagram, FB Atlas, WhatsApp, Pebbles, Oculus, Onavo, ConnectU, FriendFeed, Chai Labs, Snaptu, etc.
3. Aplicaciones que integran el SDK Facebook Business Tools. Leer más