Vulnerabilidad en el navegador por defecto de Xiaomi

Vulnerabilidad en el navegador por defecto de Xiaomi

Etiquetas:

Categoría: Android Seguridad

Se ha descubierto una vulnerabilidad en el navegador predeterminado de los dispositivos Android de Xiaomi que permite realizar ataques despoofing.

Una vulnerabilidad en el navegador predeterminado que incorpora la versión Android de los dispositivos Xiaomi permite realizar ataques de spoofing a las URLs visitadas a través del mismo, gracias a un fallo en la barra de navegación. 

Una vulnerabilidad de spoofing en la barra de navegación permite al atacante hacer creer al usuario que se encuentra en una página web que en realidad no es en la que está navegando. Esto que permite realizar, por ejemplo, ataques de phishing mucho más creíbles, pues no solo se copia el aspecto de la web, sino que utilizando la vulnerabilidad de spoofing el atacante puede engañar al usuario haciéndole creer que está visitando una URL legítima. 

De acuerdo a la información que se ha hecho pública, la vulnerabilidad se debe a que el navegador no procesa correctamente el parámetro q de las URLs, fallando al mostrar la parte de la URL que va delante de ?q=

De modo que, si la victima visita la URL de ejemplo: https://atacante.com/?q=www.bancolegitimo.com, la barra del navegador mostrará únicamentewww.bancolegitimo.com

Como sabemos, en los navegadores de dispositivos móviles, la barra de navegación es el elemento más fiable (y habitualmente el único) para comprobar de forma rápida si estamos navegando en el sitio legítimo o no, por lo que esta vulnerabilidad se convierte en un problema de seguridad realmente grave. 

Las versiones afectadas son: Xiaomi Mi browser 10.5.6-g (MIUI native browser) y Mint Browser 1.5.3. Ambas versiones son las últimas versiones disponibles en el momento en el que se escribe esta noticia.  Una aclaración importante es que solo se dá en celulares internacionales y no los distribuídos en China.

Más información:
Fuente: TheHackerNews
CVE: CVE-2019-10875
Twitter: Arif Khan

El antivirus preinstalado de Xiaomi y su vulnerabilidad

Etiquetas:

Categoría: Android Seguridad

Los celulares de Xiaomi no paran de crecer en ventas en todo el mundo gracias a su reducido precio. Sin embargo, lo que más echa atrás a la gente a la hora de comprar un celular de la compañía es MIUI, su capa de personalización sobre Android que, entre otras cosas, muestra publicidad a los usuarios. Ahora, una de las apps que viene preinstaladas en los móviles de Xiaomi cuenta con una grave vulnerabilidad.

Guard Provider, el antivirus de Xiaomi que cuenta con una grave vulnerabilidad

Esta vulnerabilidad ha sido descubierta por investigadores de Check Point, y, curiosamente, afecta a la aplicación Guard Provider (llamada Security, o Seguridad). Esta app, es la que se debe encargar de la seguridad del celular, protegiéndolo ante posibles ataques de malware. Sin embargo, en su código hay un fallo que permite realizar ataques de man-in-the-middle e inyectar código malicioso.

El principal problema está en que esa aplicación tiene acceso a Internet y lo usa para enviar y recibir información, la cual no se hace a través de HTTPS, por lo que los datos van en texto plano sin cifrar. Eso hace que un atacante que esté conectado a la misma red WiFi que nosotros pueda llevar a cabo un ataque man-in-the-middle e inyectar código malicioso en el dispositivo para robar contraseñas, instalar ransomware, robo de datos o introducir básicamente cualquier tipo de malware.

Un SDK de terceros, principal culpable de la vulnerabilidad

La culpa de esta vulnerabilidad la tiene un kit de desarrollo (SDK) de terceros utilizado en la app. Ese es el problema que pasa al utilizar librerías de terceros, ya que éstas pueden contener vulnerabilidades desconocidas incluso por los propios desarrolladores. De media, una aplicación cuenta en la actualidad con 18 SDK, y una vulnerabilidad en una de ellas pone en peligro a todas las demás, ya quecomparten permisos y contexto dentro de una unidad de ejecución en el sistema operativo.

Este uso excesivo de SDK puede ser positivo para los desarrolladores, que no tienen que preocuparse en desarrollar y testear algunas partes de la app, pero también puede generar inestabilidad, dando lugar a cuelgues, a que se inyecte malware, a que el dispositivo se vuelva lento, o a un consumo excesivo de batería en Android.

Nada más al descubrirla y documentarla, los investigadores comunicaron la vulnerabilidad a Xiaomi, que rápidamente se apresuraron a parchearla mediante el lanzamiento de una nueva versión. Esta aplicación viene preinstalada en todos los celulares de Xiaomi, que tiene un 8% de cuota en todo el mundo, por lo que hay millones de usuarios afectados. Por ello, es recomendable que se actualicen los celulares cuanto antes. Si tienes el celular rooteado, también puedes desinstalar la aplicación del celular.

Xiaomi ha comunicado que es consciente del fallo y que ya ha trabajado con Avast para solucionarlo. Al momento de la nota no podemos comprobar de que el patch este para descargar, pero le recomiendo ampliamente mantener siempre las aplicaciones actualizadas

Para contraseñas usá PassPhrases

Etiquetas:

Categoría: Información Seguridad

Las contraseñas son el último paso para que nuestra seguridad se vea vulnerada. Ya que actualmente las usamos para un sinfín de configuraciones, desde un simple email, hasta nuestra cuenta bancaria. Pero los tiempos cambian y también los recursos para descifrar una contraseña. Es por eso que a medida que el nivel de cómputos de los ordenadores se fue incrementando las contraseñas requerían mas caracteres, números, símbolos, etc.

Se estima que en los próximos años las contraseñas de muchos caracteres se van a poder descifrar en minutos. Es por eso que los Administradores de Seguridad Informática están recomendando pasar a usar frases como contraseñas. Estas frases no deberían ser conocidas y en lugar de vocales deberían usar números; si le agregaramos algún símbolo especial estariamos ante una constraseña que tardarían muchisimos años en poder descifrarla.

Ejemplo, si nuestra contraseña para el email fuera «f5R$iu8a» nosotros podríamos pensar que es segura y que nadie la pueda adivinar, pero en 12 días esta contraseña puede ser adivinada. Si quieres verificar el nivel de tu contraseña lo puede hacer aquí (recomiendo no poner la contraseña real sino una parecida modificando letras y números). Si tenemos en cuenta que los GPUs van incrementando su velocidad a niveles cada vez mayores es claramente una señal de que debemos incrementar la cantidad de caracteres.

Es por todo lo anterior de que las frases es nuestra mejor alternativa a la hora de generar una contraseña confiable. Debemos recordar de no usar frases conocidas de películas, letras de canciones, nombres de mascotas, etc. y usar frases aleatorias pero que sean fácil de memorizar. A continuación algunos ejemplos que no se deben usar y algunos que si se pueden usar (no utilice los ejemplos dados a continuación en la vida real).

Contraseñas que no deberías usar

  • «mi perro se llama firulai»
  • «mi apellido es lopez»
  • «hoy hace calor»
  • «estrella fugaz»

Contraseñas que son robustas y que deberías usar

  • 4lgun0s P33rr0s lluv1a?
  • S3nt1m13nt0s 4zul3s 28!
  • P3rfum3 4m4r1ll0 3ur0p4

Si tiene alguna duda o consulta no deje de escribirme. Toda opinión es válida y trataré de ayudarle de la mejor manera posible

Páginas

© Copyright 2020. Todos los derechos reservados Funciona con