Header Ads Widget

Ticker

6/recent/ticker-posts

El 'error' de iOS de Facebook filmó en secreto a los usuarios. IT, toma nota.

Y un error muy diferente, plantado por ladrones cibernéticos, presenta problemas de espionaje de cámara aún más aterradores con Android.


Los informes de noticias de la semana pasada, confirmados posteriormente por un tweet de un ejecutivo de Facebook, de que la aplicación de Facebook iOS estaba grabando a los usuarios sin previo aviso deberían servir como un aviso crítico para los ejecutivos de seguridad y TI empresarial de que los dispositivos móviles son tan riesgosos como temían. Y un error muy diferente, plantado por ladrones cibernéticos, presenta problemas de espionaje de cámara aún más aterradores con Android.

Sobre el tema de iOS, el tweet de confirmación de Guy Rosen , quien es el vicepresidente de Integridad de Facebook (adelante e inserta el chiste que quieras acerca de que Facebook tiene un vicepresidente de integridad; para mí, es demasiado fácil de tomar), decía: "Recientemente descubrimos que nuestra aplicación iOS se lanzó incorrectamente en horizontal. Al corregir eso la semana pasada en v246, inadvertidamente introdujimos un error en el que la aplicación navega parcialmente a la pantalla de la cámara cuando se toca una foto. No tenemos evidencia de fotos / videos cargados debido a esto."

Por favor, perdóneme si no acepto de inmediato que esta filmación fue un error, ni que Facebook no tiene evidencia de que se hayan subido fotos / videos. Cuando se trata de ser sincero sobre sus movimientos de privacidad y las verdaderas intenciones detrás de ellos, el historial de los ejecutivos de Facebook no es excelente. Considere esta historia de Reuters de principios de este mes que citó documentos judiciales que establecían que "Facebook comenzó a cortar el acceso a los datos de los usuarios a los desarrolladores de aplicaciones a partir de 2012 para aplastar a sus rivales potenciales y presentar la medida al público en general como una bendición para la privacidad del usuario". Y, por supuesto, ¿quién puede olvidar Cambridge Analytica ?

En este caso, sin embargo, las intenciones son irrelevantes. Esta situación simplemente sirve como un recordatorio de lo que pueden hacer las aplicaciones si nadie presta suficiente atención.

Esto es lo que sucedió, según un resumen bien hecho del incidente en The Next Web (TNW): "El problema se hace evidente debido a un error que muestra la alimentación de la cámara en una pequeña franja en el lado izquierdo de la pantalla, cuando abres una foto en la aplicación y deslizas el dedo hacia abajo. Desde entonces, TNW ha podido reproducir el problema de forma independiente ".

Todo esto comenzó cuando un usuario de Facebaook de iOS llamado Joshua Maddux tuiteó sobre su aterrador descubrimiento. "En las imágenes que compartió, se puede ver su cámara trabajando activamente en segundo plano mientras se desplaza por su feed".

Parece que la aplicación FB para Android no hace el mismo esfuerzo de video o, si sucede en Android, es mejor para ocultar su comportamiento sigiloso. Si es el caso de que esto solo sucede en iOS, eso sugeriría que de hecho podría ser solo un accidente. De lo contrario, ¿por qué no lo habría hecho FB para ambas versiones de su aplicación?


En cuanto a la vulnerabilidad de iOS, tenga en cuenta que Rosen no dijo que la falla se solucionó ni siquiera prometió cuándo se solucionaría, parece depender de la versión específica de iOS. Del informe de TNW: "Maddux agrega que encontró el mismo problema en cinco dispositivos iPhone con iOS 13.2.2, pero no pudo reproducirlo en iOS 12." Notaré que los iPhones con iOS 12 no muestran la cámara, no para decir que no se está utilizando ", dijo. Los hallazgos son consistentes con los intentos de [TNW]. [Aunque] los iPhones que ejecutan iOS 13.2.2 muestran que la cámara funciona activamente en segundo plano, el problema no parece afectar a iOS 13.1.3. Además, notamos que el problema solo ocurre si le ha dado acceso a la aplicación de Facebook a su cámara. De lo contrario, parece que la aplicación de Facebook intenta acceder, pero iOS bloquea el intento ".

Qué raro es que la seguridad de iOS realmente se manifieste y ayude, pero parece ser el caso aquí.

Sin embargo, mirar esto desde una perspectiva de seguridad y cumplimiento es enloquecedor. Independientemente de la intención de Facebook aquí, la situación es permitir que la cámara de video en el teléfono o tableta cobre vida en cualquier momento y comience a capturar lo que está en la pantalla y dónde están colocados los dedos. ¿Qué pasa si el empleado está trabajando en un memorando de adquisición ultrasensible en ese momento? El problema obvio es qué sucede si se viola Facebook y ese segmento de video en particular termina en la web oscura para que los ladrones lo compren. ¿Quiere intentar explicarle eso a su CISO, el CEO o la junta?

Peor aún, ¿Qué pasa si esto no es una instancia de una violación de seguridad de Facebook? ¿Qué pasa si un ladrón olfatea la comunicación mientras viaja desde el teléfono de su empleado a Facebook? Se puede esperar que la seguridad de Facebook sea bastante sólida, pero esta situación permite que los datos sean interceptados en ruta.

Otro escenario: ¿Qué pasa si el dispositivo móvil es robado? Digamos que el empleado creó correctamente el documento en un servidor corporativo al que se accede a través de una buena VPN. Al capturar los datos en video mientras se escribe, se omiten todos los mecanismos de seguridad. El ladrón ahora puede acceder potencialmente a ese video, que ofrece imágenes de la nota. 

¿Qué pasa si ese empleado descarga un virus que comparte todo el contenido del teléfono con el ladrón? Nuevamente, los datos están fuera.

Debe haber una forma para que el teléfono siempre muestre una alerta cada vez que una aplicación intente acceder y una forma de apagarla antes de que suceda. Hasta entonces, es poco probable que los CISO duerman bien.

En el error de Android, además de acceder al teléfono de una manera muy traviesa, el problema es muy diferente. Los investigadores de seguridad de CheckMarx publicaron un informe que dejaba en claro cómo los atacantes podían eludir  todos los mecanismos de seguridad y hacerse cargo de la cámara a voluntad.

"Después de un análisis detallado de la aplicación Cámara de Google, nuestro equipo descubrió que al manipular acciones e intenciones específicas, un atacante puede controlar la aplicación para tomar fotos y / o grabar videos a través de una aplicación maliciosa que no tiene permisos para hacerlo. Además, Descubrimos que ciertos escenarios de ataque permiten a los actores maliciosos eludir varias políticas de permisos de almacenamiento, dándoles acceso a videos y fotos almacenados, así como a metadatos GPS incrustados en fotos, para localizar al usuario tomando una foto o video y analizando los datos EXIF ​​adecuados. . Esta misma técnica también se aplicó a la aplicación Cámara de Samsung ", dice el informe. "Al hacerlo, nuestros investigadores determinaron una forma de habilitar una aplicación maliciosa para obligar a las aplicaciones de la cámara a tomar fotos y grabar videos, incluso si el teléfono está bloqueado o la pantalla apagada.

El informe profundiza en los detalles del enfoque de ataque.

"Se sabe que las aplicaciones de la cámara de Android generalmente almacenan sus fotos y videos en la tarjeta SD. Dado que las fotos y los videos son información confidencial del usuario, para que una aplicación pueda acceder a ellos, necesita permisos especiales:  permisos de almacenamiento . Desafortunadamente, los permisos de almacenamiento son muy amplio y estos permisos dan acceso a  toda la tarjeta SD. Existe una gran cantidad de aplicaciones, con casos de uso legítimos, que solicitan acceso a este almacenamiento, pero no tienen un interés especial en fotos o videos. De hecho, es uno de los permisos solicitados más comunes observados. Esto significa que una aplicación maliciosa puede tomar fotos y / o videos sin permisos específicos de la cámara, y solo necesita permisos de almacenamiento para llevar las cosas un paso más allá y recuperar fotos y videos después de haber sido tomados. Además, si la ubicación está habilitada en la aplicación de la cámara, la aplicación maliciosa también tiene una forma de acceder a la posición GPS actual del teléfono y del usuario ", señaló el informe." Por supuesto, un video también contiene sonido. Fue interesante demostrar que se podía iniciar un video durante una llamada de voz. Podríamos grabar fácilmente la voz del receptor durante la llamada y también podríamos grabar la voz de la persona que llama.

Y sí, más detalles hacen que esto sea aún más aterrador: "Cuando el cliente inicia la aplicación, esencialmente crea una conexión persistente con el servidor C&C y espera los comandos e instrucciones del atacante, que está operando la consola del servidor C&C desde cualquier lugar en el mundo. Incluso cerrar la aplicación no cancela la conexión persistente ".

En resumen, estos dos incidentes ilustran impresionantes agujeros de seguridad y privacidad en un gran porcentaje de teléfonos inteligentes en la actualidad. Si TI posee estos teléfonos o si los dispositivos son BYOD (propiedad del empleado) hace poca diferencia aquí. Cualquier cosa  creada en ese dispositivo puede ser robada fácilmente. Y dado que un porcentaje cada vez mayor de todos los datos empresariales se está trasladando a dispositivos móviles, esto debe arreglarse y arreglarse ayer.

Si Google y Apple no solucionan esto, dado que es poco probable que afecte las ventas, ya que tanto iOS como Android tienen estos agujeros, ni Google ni Apple tienen muchos incentivos financieros para actuar rápidamente, los CISO deben considerar la acción directa. Crear una aplicación propia (o convencer a un ISV importante de que lo haga para todos) que imponga sus propias restricciones podría ser la única ruta viable.


Publicar un comentario

0 Comentarios