lunes, 1 de febrero de 2016

Nuevo WordPress para android con excelentes novedades y consiste la vulnerabilidad de Android y cómo podemos protegernos?

Que opina? Nuevo WordPress para android con excelentes novedades - 13/01/2016 21:30:30

" La aplicación de WordPress para android aún es mucho más limitada que la versión web, de hecho no deja de ser un apoyo de la versión oficial, ya que una plataforma CMS tan completa (y compleja en varios sentidos) como WordPress no puede tener un espejo clavado en el mundo móvil.
Ahora lanzan una nueva versión para android, y han incluido funciones realmente útiles, como la que permite el acceso con la huella digital en los dispositivos que tengan el hardware (más seguro, imposible).
La pantalla de contenido mutimedia también se ha renovado, siendo mucho más atractiva y completa, y ahora es posible subir varias imágenes y vídeos al mismo tiempo, algo que muchos estábamos pidiendo desde hace tiempo.
En la gestión de publicaciones vemos como los posts borrados ahora van a la papelera (igual que con la versión web), y para los usuarios definidos como "autores" no se pedirá el login y contraseña constantemente.
Podéis bajar esta versión, la 4.9, directamente desde Google Play, aunque hasta que no tengan un sistema perfecto que transforme el audio en texto, el móvil seguirá siendo una forma muy limitada de escribir publicaciones complejas.
Texto escrito en wwwhatsnew.com
Patrocinan WWWhatsnew: Vuelos Baratos y Acrelia News

Ver artículo...
" Fuente Artículo
huella digital

Es Novedad, ¿En qué consiste la vulnerabilidad de Android y cómo podemos protegernos? - 05/07/2013 0:01:50

" Ya lo habéis oído todos: se ha descubierto una vulnerabilidad de Android que afecta al 99% de dispositivos y que permitiría a un atacante reemplazar ciertas APKs por un fallo en el sistema criptográfico y de actualizaciones.
Antes de seguir, vamos a pararnos un poco. Intentemos explicar para todo el mundo y sin omitir detalles qué es lo que realmente está pasando. Como siempre, vamos primero a las bases: exploremos las aplicaciones de Android, por qué van firmadas y cómo se actualizan.
¿Quién puede actualizar aplicaciones?
Cualquiera mínimamente familiarizado con Android sabe que las aplicaciones están empaquetadas en archivos APK: básicamente, un archivo ZIP con el ejecutable (podríamos decir que es como si fuese un .EXE), información y recursos e imágenes de la aplicación.
Android tiene todas las aplicaciones de vuestro teléfono en archivos APK en el sistema. A la hora de actualizar una aplicación, la cosa es sencilla: reemplazamos el APK viejo con el nuevo . Puede que haga más tareas, pero esto es lo principal.
Ahora bien, hay un problema potencial: ¿qué pasa si el APK nuevo no es del mismo desarrollador? Por ejemplo, ¿qué debería hacer Android si tú creas una actualización de Gmail y quieres instalarla sustituyendo la que ya tienes? La respuesta obvia es que no debería dejarte. Android sólo permite actualizaciones en las que el APK nuevo ha sido creado por el mismo que creó el APK viejo. Para ello usa un proceso llamado firma criptográfica.
En qué consiste la firma de un APK
Esquema de firma digital. Fuente original.
Plantearos que la firma criptográfica es como sellar un papel. Sólo tú tienes ese sello, y si alguien escribe algo más en el papel tendrá que hacerlo por encima del sello (usad la imaginación), de tal forma que sabrás que se ha modificado.
El proceso más técnico, pero simplificado, es el que sigue:
Obtenemos la huella digital del APK. Esta huella o hash es como tu huella dactilar: es única para ese APK y no se repite (teóricamente). Si algo cambia, el hash cambia también.
Ciframos el hash con la clave privada del desarrollador. Esta clave sólo la tiene él y no la comparte con nadie más, por algo es privada. Ese hash cifrado es la firma digital.
Vayamos ahora a la parte de verificación de la firma:
Recibimos la firma digital, y la desciframos con la clave pública del desarrollador.
Calculamos el hash del APK que hemos recibido y comparamos con lo que hemos descifrado de la firma digital. Si coinciden, la firma es válida.
Como el hash es único para cada APK, nos aseguramos de que el paquete no se ha modificado desde que lo creó el desarrollador. Por otra parte, si un mensaje se cifra con una clave privada sólo se puede descifrar con la clave pública correspondiente; y con esa clave pública no podrás descifrar mensajes de ninguna otra clave privada. De esta forma que te aseguras que s*ólo ha podido ser el desarrollador quien ha creado el paquete*.
Es decir, que tal y como está planteada la firma digital, es un certificado imposible de falsificar (como siempre, en teoría) que te asegura que el desarrollador fue el que creó esa aplicación y que nadie más la ha modificado.
La firma digital asegura que sólo el desarrollador original puede crear actualizaciones de sus apps.
A la hora de instalar la actualización, Android comprueba dos cosas: que la firma del APK sea válida y que la clave privada sea la misma con la que se firmó la versión anterior. Si el paquete se ha firmado con otra clave, el sistema lo reconocerá como una aplicación nueva y no sustituirá a la vieja.
Este método asegura que sólo el desarrollador original, y nadie más que él, puede crear actualizaciones para sus aplicaciones.
¿Dónde está la vulnerabilidad?
Una vez que ya sabemos perfectamente cómo se actualiza una aplicación de Android, veamos dónde se ha encontrado la vulnerabilidad. Bluebox no ha desvelado todos los detalles del fallo, ni cómo funciona ni cómo explotarlo. Sólo ha dicho dónde está y en qué consiste.
Se trata de un fallo en el sistema de verificación de la firma de las aplicaciones. Gracias a él, alguien podría modificar un APK de tal forma que la firma digital seguiría siendo válida. Por ejemplo, podría cambiar el APK de Gmail y Android seguiría pensando que no ha sido modificado desde que lo firmó Google al crearlo.
Una vez que podemos modificar los paquetes sin invalidar la firma, alguien podría introducir código malicioso en un APK conocido sin que el sistema lo detecte. Básicamente, pueden conseguir que instales una aplicación maliciosa disfrazada de aplicación conocida y confiable.
Un ejemplo de escenario de ataque: te envían un enlace diciendo que ha salido una nueva actualización de Google Maps. Descargas el paquete (un APK de Google Maps firmado por Google), te aparece el aviso preguntando si quieres actualizar, aceptas y listo. Android no detecta que en realidad ese paquete ha sido modificado y tiene un troyano que permitirá a un atacante obtener acceso a tu teléfono.
Al ser una actualización no necesita pedirte permisos: ya se los diste al instalar la aplicación original. Quizás no pase nada si instalas una actualización maliciosa de Angry Birds: al fin y al cabo no tendrá muchos más permisos que la aplicación original. Pero, ¿y si la actualización es para Gmail, por ejemplo? Tendrían acceso a todos tus correos, a Internet… Perfecto para montar una botnet o para robar tus cuentas.
Incluso hay un esceneario peor: una actualización de una aplicación de sistema que tenga todos los permisos posibles. El atacante tendría acceso ilimitado a tu sistema mientras tú piensas que has instalado una actualización inocente para mejorar algún ajuste del móvil.
¿Cómo protegernos?
Este fallo afecta a cualquier tipo de aplicación de Android. La cuestión es cómo puede hacerte llegar el atacante esa aplicación modificada.
La recomendación es no instalar ninguna aplicación fuera de Google Play.
Para que te llegasen estas aplicaciones maliciosas a través de una actualización de Google Play, los atacantes deberían de haber entrado en los servidores de Google y enviado una actualización manualmente. No es precisamente una tarea fácil, así que podéis contar con que usar el mercado oficial de Android, Google Play, es seguro.
La única forma que nos queda es instalando aplicaciones de orígenes no oficiales: descargándolas de otros mercados con menos controles y seguridad, o simplemente haciendo un clic en una página web que descargue el APK.
En resumen: si queréis protegeros frente a esta vulnerabilidad, desactivad la opción de instalar las aplicaciones de orígenes desconocidos.
Google tiene difícil corregirlo
El fallo es grave. Se notificó a Google y demás fabricantes en febrero, pero sólo Samsung ha podido preparar un parche para su S4. Como afecta a casi todos los teléfonos desde Android 1.6, y teniendo en cuenta el ritmo de actualizaciones de Android, un buen número de teléfonos se van a quedar con él para siempre.
Muchos usuarios poco experimentados pueden caer en la trampa de confiar en estas actualizaciones, ya que pueden parecer totalmente legítimas y no resultar tan extrañas como un juego de pinball que pide acceso a tus SMS. Incluso podrían caer usuarios más avanzados: con distribuir enlaces de "Nueva versión filtrada de Gmail para Android" valdría para infectar un buen número de teléfonos de gente que conoce perfectamente el sistema.
Con fallos como este, cada vez se hace más necesaria una vía de actualizaciones rápidas por parte de Google y los fabricantes. Al menos a mí no me parece serio que una gran parte de los móviles con Android se vayan a quedar con un fallo grave de seguridad porque no puedan actualizarse a siguientes versiones del sistema.

Ver artículo...
" Fuente Artículo

Información: Tracing you, un sistema de "vigilancia" online que localiza a todos sus visitantes - 11/01/2016 4:01:11

Tracing You

Seguro que conoces referentes como Gran Hermano (el libro, claro) o más recientemente, la serie Person of Interest. Ambos productos se basan en el concepto de una sociedad sometida a constante vigilancia, sin ser conscientes realmente de ello.

Basándose en esta idea, Benjamin Grosser, profesor en la Universidad de Illinois, ha lanzado su proyecto Tracing You: una web capaz de mostrar imágenes de la localización actual de todas las personas que la visitan. Su objetivo: mostrar el mundo desde las diferentes perspectivas de estos visitantes, y también hacer que tomemos conciencia sobre el poder de nuestra huella digital.

La web en sí no podía ser más simple: todo lo que hay que hacer es entrar en Tracing You, y una de las seis imágenes mostradas corresponderá a nuestra localización. A veces puede ser increíblemente exacta, a veces una simple aproximación. Todo depende de la cantidad de información disponible online sobre esa ubicación.

Lo único que hace Tracing You es mostrar esas imágenes. No hay ninguna intención oscura detrás de este proyecto; tan sólo conseguir que nos planteemos preguntas como qué datos se pueden obtener de nosotros a partir de nuestra huella digital, para qué podrían usarse, cómo de exactos son, o qué revelan sobre nosotros.

¿De dónde salen esas imágenes?

Todo empieza por la dirección IP del usuario, desde la cual Tracing You empieza el rastreo. El sistema busca esta IP en la base de datos de IPinfo para obtener la geolocalización; luego envía los datos de latitud y longitud correspondientes a esa ubicación a Google Maps, donde hace una consulta los datos de Street View, Static Maps y Javascript Maps.

A partir de los datos almacenados en estos servicios, Tracing You selecciona el resultado más cercano a la IP del visitante que pueda encontrar, ya sea un primer plano de la entrada del edificio (o incluso del interior) o una fotografía cenital de satélite. Ésta es la imagen que se muestra en la web, combinada con la IP y los datos de IPinfo.

El resultado es bastante rápido, aunque como decía antes, la exactitud de la localización depende de muchos factores: la estructura de red en el país de origen del visitante, qué conexión se utiliza, qué datos hay disponibles online... Como ejemplo curioso, Grosser comenta que en el caso de China la mayoría de veces lo único que se obtiene es una imagen de satélite. En cualquier caso, el creador de Tracing You promete seguir integrando nuevas fuentes de datos a medida que éstas aparezcan.

Vía | Microsiervos
Enlace | Tracing You
En Genbeta | Herramientas que mejoran la visualización de datos: otra forma de sacarle partido al Big Data

También te recomendamos

Cómo ocultar tu Tumblr del resto de la red ahora que el servicio te deja hacerlo

Herramientas que mejoran la visualización de datos: otra forma de sacarle partido al Big Data

Probamos Oscobo, un nuevo buscador centrado en privacidad que no guarda datos de usuarios

-
La noticia Tracing you, un sistema de "vigilancia" online que localiza a todos sus visitantes fue publicada originalmente en Genbeta por Elena Santos .


Fuente Artículo

Consulte Información Avast alerta de que varias aplicaciones de Google Play están infectadas con malware y consiste la vulnerabilidad de Android y cómo podemos protegernos?
Consulte la Fuente de este Artículo
Gana Navegando

No hay comentarios:

Publicar un comentario