Telefonía Celular Posts

Review de APP Campeche360


Campeche 360 es una aplicación móvil financiada por el Consejo Coordinador Empresarial de Campeche y desarrollada por la Consultora de Baluarte San Carlos S.A. de C.V. (Mauricio Filiberto Loria Mondragon), sirve como directorio y puede funcionar a través del sistema GPS, tiene la funcionalidad de guía turística y comercial mostrando la ubicación de puntos turísticos así como los negocios y empresas cercanos.

Esta aplicación tiene como intención beneficiar al turismo y al propio campechano, reforzando al sector empresarial y pretende ser una opción más que ayude a la publicidad de los diferentes establecimientos, por lo que se espera que la economía aumente para el sector empresarial.

Este análsis se centrará en la usabilidad y detalles técnicos de la aplicación en su versión Android.

WhatsApp ahora encripta los mensajes


La aplicación de mensajería móvil que Telcel odia, WhatsApp es todo un fenómeno, pero no todo es positivo entorno a un servicio que en materias de seguridad siempre ha ido un paso o varios por detrás de lo que debería ser.

Por lo que, a lo largo del tiempo se han conocido noticias como el spam que acecha a los usuarios del servicio o el sinsentido de enviar los mensajes en claro, entre otros problemas relacionados con la seguridad.

Ahora después de mucho, parece que al fin han reaccionado en la compañía, y la nueva versión de la aplicación para iOS viene con una característica tan esperada como el cifrado al envío de mensajes. (Se habían tardado mucho)

Eso sí, de momento la nueva opción solo está disponible para los usuarios de dispositivos Apple, aunque la buena nueva no debería tardar mucho en llegar a Android y el resto de plataformas en las que opera WhatsApp.

Burp Proxy, aplicación de seguridad para desarrolladores de Android

Burp Proxy es un servidor proxy HTTP/S interactivo que permite interceptar, inspeccionar y modificar el tráfico de red entre dos puntos específicos. Este proxy puede ser usado como un testeador de aplicaciones, explotar las vulnerabilidades y verificar los parámetros transmitidos por una aplicación sin importar que trabajen bajo un canal seguro SSL.

La nueva versión de Burp Proxy está diseñado para mejorar el análisis de conexiones cifradas SSL en los teléfonos Android. Los desarrolladores e investigadores de seguridad pueden utilizar Burp Proxy para examinar el tráfico de Internet en las computadoras de una red y no solo eso, ahora también en los teléfonos inteligentes.

El tráfico de datos cifrados pueden ser analizados haciéndose pasar por un “ataque” man in the middle sin embargo, el problema en los teléfonos Android es que estos dispositivos inicialmente recuperan las direcciones del servidor de destino a través del DNS y luego de esto utiliza el Proxy para acceder a ella directamente a través de CONNECT, esto ocasionaba errores al momento de ingresar a un sitio web con un certificado digital ya que la aplicación no podía generar un certificado válido al no conocer la IP de destino.

La nueva versión Burp Proxy 1.4.12 soluciona esto estableciendo inicialmente una conexión SSL con el servidor de destino y luego hace todo lo posible para imitar el certificado del servidor.

Burp Proxy forma parte de la suite PortSwigger que es una herramienta que permite realizar pruebas de intrusión en aplicaciones Web, permitiendo combinar técnicas manuales y automáticas para enumerar, analizar, atacar y explotar aplicaciones Web.

http://www.portswigger.net/burp/proxy.html

Trabajo y ocio, “Bring Your Own Device (BYOD)” riesgo para las empresas.

Puedes traer tus dispositivos, esto hace referencia al hecho de que con auge de las nuevas tecnologías, smartphones, tablets, ultrabooks, y todo lo que sea capaz de conectarse a Internet, cada vez son más lo usuarios que prefieren utilizar sus propios dispositivos para su trabajo, dándoles un uso paralelo: trabajo y ocio.

La utilización de los dispositivos para ocio y usos personales ha sido tan fuerte que ha conseguido expandirse antes en el mercado de consumo y ahora se ha implantado en las organizaciones.

Una empresa llamada Unisys ha publicado una infografía que expone el riesgo que supone para las empresas el uso descontrolado de dispositivos móviles y portátiles en el trabajo, lo que causa a su juicio violaciones importantes en las políticas de seguridad en las empresas.

Este fenómeno Bring Your Own Device (BYOD) imparable y que ha llegado para quedarse según consultoras, ya que se estima en un 53 por ciento los empleados que utilizan en el trabajo sus propios dispositivos. Y aun sigue aumentando.

Algunas compañías como IBM han dado un paso adelante, permitiendo el fenómeno, pero implementando políticas restrictivas, por ejemplo bloqueando en su red interna servicios como el sistema de almacenamiento Dropbox, iCloud de Apple, el asistente de voz Siri, Box y Google Drive, a los que considera una amenaza corporativa.

Los datos de Unisys, muestran que más de la mitad de empresas han perdido información y datos durante el último año por el uso inseguro de los teléfonos móviles.

También se espera que en 2013 haya más dispositivos móviles conectados que personas en todo el mundo. Para 2020 será una como una epidemia, con 50.000 millones de dispositivos conectados a Internet. Por ello no sorprende la preocupación en los responsables TI para gestionar todos estos dispositivos adicionales en diferentes plataformas, de forma segura en las redes empresariales.

Te recomiendo aplicar políticas acerca del uso de dispositivos electrónicos con acceso a Internet en tu trabajo.

Smishing, ¿Cuántos usuarios tienen Whatsapp en Campeche?

Smishing es un equivalente al Phishing pero a través de SMS, consiste en el envío de SMS a celulares con el fin de obtener información privada de los usuarios. Como en el caso del Phishing, un ataque de smishing está diseñado para que la víctima se vea obligada a dar una respuesta inmediata a un problema que le afecta directa o indirectamente.

El Smishing es un problema creciente para todos los sectores bancarios, y se está volviendo una metodología de preferencia para los hackers porque cada vez es más frecuente conectarse a Internet a través del teléfono móvil.

Un tipo de ataque y el más común, todo comienza con un SMS supuestamente enviado desde un banco al usuario. Este dice que su cuenta ha sido bloqueada porque alguien ha intentado acceder introduciendo el PIN erróneo tres veces seguidas. Se proporciona además un número de teléfono donde se puede “verificar” el estado de la cuenta. Cuando el usuario llama, en realidad está cayendo en la trampa. Un sistema de voz automático pregunta por datos de acceso a la cuenta bancaria y datos personales, como número de la tarjeta de crédito, PIN, DNI etc.

La tasa de éxito del Smishing es mayor que la del Phishing estándar porque los usuarios no están acostumbrados a recibir SPAM en el celular. Tendemos a pensar que los SMS que nos llegan al móvil son más legítimos que los e-mails pero esto es falso. Además, mientras que la mayoría de e-mails de Phishing acaban bloqueados por los filtros de spam, no hay mecanismos extendidos para protegerse contra la llegada de SMS maliciosos.

Como con otros tipos de Phishing, hackers pueden aprovecharse de servicios legítimos para atacar a los usuarios de teléfonos móviles. Por ejemplo, existen servicios para enviar grandes cantidades de mensajes desde una computadora hacia miles de celulares. Los criminales incluso ofrecen estos servicios a otros criminales, cobrándoles un precio fijo por una cantidad dada de SMS enviados (40 ó 50 dólares por cada 1000 SMS enviados, por ejemplo).

¿Porqué ocurre esto?

Por la mala seguridad que tienen nuestras empresas de telefonía y el desconocimiento del usuario.
Por ejemplo a través de Whatsapp es posible conocer todos los usuarios de Campeche que cuentan con este servicio el cual sería el primer paso.

https://sro.whatsapp.net/client/iphone/iq.php?cd=1&cc=52&me=AQUITUNUMERODECELULAR&u[]=AQUITUNUMERODECELULAR

Si creamos un script por PHP por cuRL o un script en perl mediante uso de credenciales POST es posible (con un bucle) extraer todos los usuarios de WhatsApp para Campeche (código 981+numaleatoreo) si aparece el nickname de la persona significa que usa Whatsapp en caso contrario aparecerá un error.

Otro ejemplo es el caso del proveedor TIGO (de Colombia) el cual es vulnerable, ya que es posible tener un data fresh para iniciar una secuencia de SPAM por medio de SMS.

http://mensajito.tigo.com.co/mensajito/client.php?orden=2
TYPE: Information Disclosure

Mis recomendaciones son simples, SMS o aplicaciones que no conozcas, no las respondas y no las instales.