Esta semana en seguridad: XcodeSpy, SMS no seguros y Share Rewards

Victoria Prieto
Victoria Prieto

Parece haber una nueva tendencia en el malware dirigido a desarrolladores y sus procesos de desarrollo y construcción. El atractivo es obvio: en lugar de trabajar para construir y vender un programa malicioso, un atacante solo necesita infectar una máquina de desarrollo. Los desafortunados desarrolladores infectados ahora pueden trabajar para difundir la carga útil maliciosa.

El último ejemplo es XcodeSpy, descubierto por un investigador que optó por permanecer en el anonimato. Funciona usando Xcode IDE Run Script trabajar para, bueno, ejecutar un script que haga una copia de seguridad completa de su computadora. El caso se encontró en un proyecto de código abierto reformulado, TabBarInteraction, pero son solo víctimas inocentes. Fue lo suficientemente simple como para que alguien insertara un script en el proceso de construcción y distribuyera el nuevo paquete dopado. Seguro que no es el único, así que ten cuidado. Run Scripts con cargas útiles oscuras.

Seguridad del módulo Drupal

Drupal es muy similar a WordPress, ya que el proyecto principal tiene muy pocas vulnerabilidades importantes, pero a menudo se encuentran problemas muy serios en la biblioteca de extensiones disponibles. Por ejemplo, el módulo Fast Auto Completeness tiene una vulnerabilidad “moderadamente crítica”. Aquí hay dos puntos interesantes. El primero es el problema en sí, que es el descubrimiento de datos. Este complemento proporciona una experiencia de búsqueda que muestra los autocompletados propuestos y proporciona fragmentos asociados con ese autocompletado. De forma predeterminada, estos resultados de búsqueda se limitan a lo que un usuario anónimo puede acceder en el sitio. La extensión también ofrece la opción de buscar contenido privado, utilizando los permisos disponibles para el usuario que accede al sitio. El problema es que la extensión almacena en caché todos esos resultados y no separa correctamente los resultados en el caché. Entonces, después de que un usuario privilegiado haya buscado algo privado, cada usuario puede repetir la búsqueda y acceder a los fragmentos, aunque esa información esté en una página inaccesible.

Drupal está haciendo algo interesante llamado su Política de asesoramiento de seguridad. Para decirlo brevemente, el equipo de Drupal selecciona un puñado de extensiones ampliamente utilizadas y brinda soporte de seguridad limitado para esos proyectos. Esto parece significar principalmente la coordinación de anuncios sobre vulnerabilidad.

Peligros del número de celda

¿Sabes cómo casi todos los servicios de Internet quieren saber tu número de celular? Una de las razones es que recibir un mensaje de texto es uno de los segundos factores de autenticación más populares, sin mencionar los mecanismos de recuperación de cuenta. Si bien esto es popular, es una idea terrible. Ha habido numerosos ataques contra SMS que fácilmente provocan la toma de control de la cuenta a través de este proceso de recuperación. Un atacante puede llamar a su proveedor de telefonía celular y solicitar una nueva tarjeta SIM para su número, lo que se denomina ataque de intercambio de SIM. Pueden parodiar su identidad a la red SS7, provocando el espionaje de SMS y llamadas de voz. Y no olvide la siempre popular estafa de migración de números en la que un atacante dice ser usted y traslada su número a un nuevo proveedor.

Resulta que existe una forma aún más sencilla de capturar mensajes SMS. [Lucky225] está fascinado por el fraude de SMS durante años, y nos trae su trabajo sobre el enrutamiento de SMS. NetNumber ID es un servicio de enrutamiento diseñado para que los usuarios comerciales y de VoIP manejen mensajes de texto, aunque no utilicen un dispositivo SMS tradicional. Existe una clara falta de supervisión de este proceso, y hasta hace poco era posible capturar el enrutamiento de SMS de cualquier número de celular mediante una simple solicitud. Vice tiene un buen ejemplo de [Lucky225] mostrando el ataque, usando $ 16 y una carta de autorización falsa.

Zoom mostrando también

Intercambiar Zoom es uno de los recuerdos colectivos divertidos, valientes y, a veces, molestos que tenemos de 2020. Desde compañeros de cuarto caminando hasta reuniones sin pantalones, ha sido un momento loco. Hay otra forma de compartir en exceso, al menos cuando está compartiendo una transmisión de video desde su escritorio o una aplicación abierta. Es prudente no dejar nada sensible abierto en su máquina cuando comparte la vista de su escritorio. Sin embargo, un par de investigadores de SySS han descubierto que incluso al compartir solo una aplicación, otras ventanas de aplicaciones pueden aparecer brevemente en la transmisión de video.

Cuando se diseña una aplicación diferente además de la capturada por Zoom, algunos fotogramas del video enviado pueden contener la imagen de esa aplicación. Si la llamada es grabada por una de las otras partes, pueden tirar del marco y ver exactamente que es inadvertidamente visible. Ahora bien, esto suele ser tan trivial como ver qué pestañas del navegador se abren o mirar las notas de la llamada. Desde un administrador de contraseñas hasta información personal, ciertamente hay formas en que este error podría terminar muy mal.

Edición parcial

Hablando de visualización involuntaria de datos, encontré una historia divertida sobre una clave RSA parcialmente editada que se publicó en línea. Como nuestra suerte está acostumbrada a hacer, algunos nerds crípticos están tratando de descubrir la clave completa a partir de la captura de pantalla parcial. Después de tres horas, dedujeron la clave completa. La inscripción dice que el elemento más difícil y que consumió más tiempo fue convertir la captura de pantalla nuevamente en texto.

Ha habido muchas historias a lo largo de los años sobre fallas editoriales. Los archivos PDF editados a veces se pueden leer con una simple copia y pegado. En algunas imágenes, puede encontrar texto basado en una única fila de píxeles visibles por encima y por debajo del texto eliminado. Y, por último, las sencillas herramientas de desenfoque de las series de edición de fotografías son reversibles, lo que permite obtener texto fácilmente. Todo esto para decir, editar correctamente puede ser muy difícil, y como concluye el equipo editorial, “si encuentras algo privado, mantenlo así”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *