Vulnerability Team

La compañía ha explicado su sistema de seguridad Bouncer, un servicio que se encarga de analizar las aplicaciones de Android Market para intentar identificar a las que puedan tener malware. Bouncer investiga las nuevas apps, las que ya han sido publicadas y revisa las cuentas de los desarrolladores para aumentar la seguridad.
Aunque 2011 fue un año de éxito para Android, donde las activaciones de terminales crecieron un 250%, la constante aparición de problemas de seguridad empañó sus resultados. Aunque usuarios, expertos y competidores reconocieron el potencial del SO móvil de Google, sus problemas de seguridad marcaron parte de su desarrollo. Google ha querido corregir esto y por ello ha lanzado Bouncer.


leer mas: http://goo.gl/9E8GA

fuente: csospain.es

Much has been made of Google's new privacy policy, which takes effect March 1. If you're concerned about Google misusing your personal information or sharing too much of it with advertisers and others, there are plenty of ways to thwart Web trackers.

But what exactly are you thwarting? You don't become anonymous when you block tracking cookies, Web beacons, and the other identifiers as you browse. Your ISP and the sites you visit still know a lot about you, courtesy of the identifying information served up automatically by your browser.

Google ha resuelto siete vulnerabilidades en Chrome, con la que constituye su segunda actualización de seguridad para el navegador durante junio.

Todas las vulnerabilidades cubiertas por Google con la actualización de seguridad Chrome 12.0.742.112, excepto una, han sido clasificadas de “alta” importancia, el segundo nivel de severidad de amenazas dentro del sistema de valoración de la compañía.

Tres las siete brechas de seguridad son del tipo denominado “use-after-free”, un tipo de vulnerabilidades caracterizado por abrir la puerta a la posibilidad de inyectar código de ataque.

Son varios los componentes a los que afectan los parches emitidos por Google en esta actualización, incluidos el motor JavaScript “V8” del navegador y sus analizadores CCS y HTML.

Como es habitual en la compañía, Google ha cerrado la base de datos de seguimiento de fallos de Chrome para evitar que los atacantes puedan acceder a información detallada sobre las vulnerabilidades hasta que los usuarios hayan tenido tiempo suficiente para actualizar sus navegadores.
Solución:

Actualizar a Chrome 12.0.742.112 http://www.google.com/chrome?hl=es

fuente: csirtcv.gva.es

Android es uno de los sistemas operativos más utilizados en dispositivos móviles, y es debido a ello que cualquier vulnerabilidad o falla en su seguridad suele repercutir en millones de usuarios. Pues ahora existe una nueva brecha de seguridad que podría permitirle a un atacante robar datos de más del 99% de usuarios de la plataforma móvil de Google.

La falla de seguridad fue descubierta por investigadores de la Universidad de Ulm en Alemania, la misma remarca que al conectar un dispositivo con Android a una red no segura un atacante podría realizar un ataque de suplantación de identidad a los servicios de Google y otros reconocidos sitios web.

El motivo principal por el cual puede suceder este tipo de ataques es a causa de que la comunicación entre los dispositivos ejecutando Android y distintos sitios como Facebook, Twitter o también servicios de Google es a través de HTTP. Cuando los datos viajan a través de la red sin ningún tipo de cifrado, como el que ofrece HTTPS, estos pueden ser capturados por un atacante quien podría realizar un ataque de suplantación de identidad.


Google provee una API (Application Program Interface, en español Interfaz de programación de aplicaciones) denominada ClientLogin que es utilizada por las aplicaciones para solicitar un token de autenticación (authToken) de los servicios de Google enviando como parámetros el usuario y la contraseña a través de HTTPS. Sin embargo, una vez que el authToken es recibido puede ser reutilizado por un período de 2 semanas. Si durante el tiempo durante el cual el token es válido la comunicación se efectúa a través de HTTP un atacante puede capturar la información y realizar el secuestro de las credenciales de acceso.

Por lo tanto, si alguien captura esta información cuando el usuario se conecta a una red no segura podrá acceder, e incluso modificar los datos del usuario o de cualquiera de sus contactos.

Para que un atacante pueda efectuar el robo de la información es necesario que se encuentre conectado a la misma red que la víctima y este capturando el tráfico, de esta manera al contar con la información transmitida podrá capturar el token y utilizarlo para realizar el secuestro de la sesión. Este ataque presenta similitudes al que ejecutaba Firesheep, ese controversial plug-in para Firefox que realizaba el secuestro de las cookies de sesión de sitios que no se conectaban a través de HTTPS.

Android cuenta con diferentes versiones de sus sistema operativo y muchas de ellas se encuentran expuestos a esta vulnerabilidad y solo aquellos que cuenten con versiones posteriores a la 2.3.4 contarán con una comunicación cifrada al acceder a la sincronización de sus contactos o el calendario. Todas las otras versiones del sistema operativo efectúan la comunicación sin ningún tipo de seguridad lo que aumenta la posibilidad del robo de información.

En el siguiente gráfico se puede observar cómo se distribuye la utilización de Android entre sus usuarios y así entender un poco más cuantos podrían ver sus datos expuestos a causa de esta vulnerabilidad:

Los hackers están aprovechando la página de búsqueda de imágenes de Google para distribuir código malicioso, según varios expertos en seguridad.

La página de búsqueda de imágenes de Google está siendo utilizada por los hackers para distribuir malware, de acuerdo con varios investigadores, según los cuales, miles de sites se habrían visto comprometidos por una inyección de código que redirige al usuario a falsas aplicaciones antivirus. Bojan Zdrnja, investigador del Internet Storm Center, explica que los atacantes están atacando principalmente sites de Wordpress e inyectando código PHP que genera páginas con imágenes basadas en contenido muy buscado. Google indexa posteriormente estas páginas y las imágenes se muestran como resultado de su búsqueda de imágenes.

Aquellos usuarios que buscan imágenes pueden ser redirigidos fácilmente a esos sites de antivirus falsos gracias a que Google muestra las imágenes, explica Zdrnja en su blog. Al menos 5.000 páginas se habrían visto comprometidas y Google podría haber servido hasta 15 millones de impactos mensuales de estas páginas maliciosas.

El investigador en seguridad Denis Sinegubko afirma que, en cerca del 90% de las búsquedas de imágenes comprometidas, los resultados de sitios maliciosos aparecen en la primera página. Sinegubko está desarrollando un complemento para Firefox que alerte a los usuarios de estos enlaces.

Por su parte, Google, que dice ser consciente del problema, está en proceso de mejorar la detección de imágenes que derivan en estas páginas maliciosas, si bien no desvelará sus planes por miedo a que los ciberdelincuentes se ajusten a sus métodos para evitar sus mecanismos de defensa.

Desde hace un tiempo, Google ya cuenta con herramientas para proteger a sus usuarios en la parte de búsqueda: en diciembre del pasado año, añadió alertas de posibles sitios hackeados y su navegador Chrome bloquea potenciales descargas peligrosas. Sin embargo, hasta ahora la búsqueda de imágenes de Google estaba desprotegida.

fuente: csospain.es

Google ha publicado una actualización de su navegador Chrome que corrige hasta 19 vulnerabilidades. 16 de importancia alta y tres calificadas de media.

Supone un total de 14.000 dólares que Google pagará a los investigadores que las han reportado de acuerdo a su programa de recompensas. Un programa que ya ha rebasado los 100.000 dólares desde su comienzo.

Google publica esta actualización una semana antes del popular concurso Pwn2Own. Donde se premia a aquellos investigadores que presenten una vulnerabilidad inédita que permita la ejecución de código arbitrario en los navegadores más populares.

Este año Google ha apostado 20.000 dólares, desafiando a aquel que pretenda demostrar un fallo crítico en Chrome, si la vulnerabilidad se presenta en el primero de los tres días que dura el concurso.

Cabe destacar que ninguna de las vulnerabilidades tiene la máxima gravedad, la denominada como importancia "crítica" que conlleva la mayor recompensa.

Apple también ha corregido más de 50 vulnerabilidades en Webkit de iTunes, y se espera que lo haga en Safari también justo antes del concurso Pwn2Own.

fuente: laflecha.net

Miles de usuarios de Gmail se están llevando un mal rato este lunes cuando al entrar en sus cuentas para revisar los nuevos correos, ¡ven que el buzón está vacío!

Se trata de un error en Gmail que ha causado problemas a unos 150 mil usuarios, según las informaciones oficiales. Las causas de la avería, que afectó a un 0,08 % del total de usuarios del servicio, aún están por determinarse según aseguran desde Google.

En el foro de Google algunas de las víctimas del fallo comentan que cuando intentaron entrar a sus cuentas les apareció un mensaje de bienvenida, como si fuese la primera vez que utilizaban el servicio… Además tenían el buzón vacío y no tenían ningún contacto, ya que las cuentas afectadas se “resetearon”.

Si estás entre los afectados cuéntanos la experiencia, y si no, recuerda aún estás a tiempo de hacer una copia de tus mensajes… Cabe recordar que hace 2 meses, a Hotmail le ocurrió algo similar.

El próximo mes de marzo se llevará a cabo en Canadá el Pwn2Own 2011, un concurso anual en el que expertos en seguridad se disputan valiosos premios por violar la seguridad de sistemas operativos y los navegadores más populares.

Para esta nueva edición, además de las grandes sumas de dinero y equipos que ofrecen los patrocinadores a todos los ganadores, Google ha anunciado que premiará con 20.000 dólares a aquellos que puedan hackear su navegador web.

Lo interesante de este premio es que el único navegador web que no ha podido ser hackeado en las últimas ediciones del Pwn2Own ha sido precisamente Chrome. Mientras que Safari, Internet Explorer y Safari suelen “caer” durante el primer día, el software de Google se caracteriza por mantenerse de pie hasta el final del evento.

Se ha dicho que la razón de ello es la falta de interés de los hackers en Chrome, pero con este gran incentivo por parte de Google se acabará cualquier pretexto.

El Pwn2own 2011 tendrá lugar en Vancouver, Canadá del 9 al 11 de marzo. Además de navegadores, los competidores también tendrán como objetivo derribar la seguridad de plataformas móviles (Android, Windows 7, BlackBerry y iOS).

fuente: opensecurity

The developers of Google developed an advanced opt-in security feature called 2-step verification that makes your Google Account significantly more secure by helping to verify that you're the real owner of your account. Now it's time to offer the same advanced protection to all of our users.

2-step verification requires two independent factors for authentication, much like you might see on your banking website: your password, plus a code obtained using your phone. Over the next few days, you'll see a new link on your Account Settings page that looks like this:



Take your time to carefully set up 2-step verification. A user-friendly set-up wizard will guide you through the process, including setting up a backup phone and creating backup codes in case you lose access to your primary phone. Once you enable 2-step verification, you'll see an extra page that prompts you for a code when you sign in to your account. After entering your password, Google will call you with the code, send you an SMS message or give you the choice to generate the code for yourself using a mobile application on your Android, BlackBerry or iPhone device. The choice is up to you. When you enter this code after correctly submitting your password we'll have a pretty good idea that the person signing in is actually you.

It's an extra step, but it's one that significantly improves the security of your Google Account because it requires the powerful combination of both something you know—your username and password—and something that only you should have—your phone. A hacker would need access to both of these factors to gain access to your account. If you like, you can always choose a "Remember verification for this computer for 30 days" option, and you won't need to re-enter a code for another 30 days. You can also set up one-time application-specific passwords to sign in to your account from non-browser based applications that are designed to only ask for a password, and cannot prompt for the code.

To learn more about 2-step verification and get started, visit our Help Center. And for more about staying safe online, see our ongoing security blog series or visit http://www.staysafeonline.org/. Be safe!

fuente: googleblog.blogspot.com

Xuxian Jiang, profesor de la Universidad Estatal de Carolina del Norte y experto en seguridad informática ha descubierto la forma de explotar un agujero de seguridad para conseguir hacerse con información personal, que afecta a los usuarios del sistema operativo móvil de Google.

Jiang asegura que el error se encuentra en la última versión de Android 2.3 o Gingerbread y que no es demasiado difícil de explotar, ya que sólo se precisan conocimientos de Javascript y Android.

El investigador afirma que ya han llevado a cabo una prueba de concepto con un teléfono Nexus S y han comprobado que es posible aprovechar esta vulnerabilidad para robar información personal del usuario propietario del teléfono. Esta vulnerabilidad permite el acceso a parte de los datos almacenados en la SD


Para que el ataque sea efectivo es necesario que el usuario haga click en un enlace malicioso y a partir de ahí el atacante podría obtener acceso al dispositivo y cargar las aplicaciones alojadas en el sistema o parte de la información almacenada en una tarjeta SD en a un servidor remoto.

Desde Google aseguran que ya se han puesto en contacto con este investigador para desarrollar una solución a este fallo de seguridad que estaría disponible en la próxima actualización de Android Gingerbread.

Esta vulnerabilidad es muy similar a la descubierta el pasado mes de noviembre por el investigador de seguridad Thomas Cannon, que también alertó de un agujero de seguridad en el navegador de Android que podía ser utilizado por los ciberdelincuentes para acceder a información personal de la tarjeta SD.

fuente: eweekeurope.es

El US-CERT Cyber Security bulletin contiene un resumen de las nuevas vulnerabilidades que han sido registradas por el Instituto Nacional de Estándares y Tecnología (NIST) y por la Base de Datos Nacional de la vulnerabilidad (NVD) durante la semana pasada. El NVD está patrocinado por el Departamento Homeland Security (DHS) de la División Nacional de Seguridad Cibernética (NCSD) / y el Equipo de Preparación de Emergencia Informática de los Estados Unidos (US-CERT).

Las vulnerabilidades se basan en el estandar CVE y están organizadas de acuerdo a la gravedad, determinada por la puntuación de la vulnerabilidad del sistema común (CVSS) . La división de alta, media y baja gravedad se corresponden con los siguientes resultados:

    * HIGH (Alto) – Las vulnerabilidades serán etiquetados de alta gravedad si tienen un CVSS base de puntuación de 7,0 – 10,0
    * MEDIUM (Media) – Las vulnerabilidades serán etiquetados Medio gravedad si tienen un CVSS base de puntuación de 4,0 – 6,9
    * LOW (Mínima) – Las vulnerabilidades serán etiquetados de baja gravedad si tienen un CVSS base de puntuación de 0,0 – 3,9

Algunas de las vulnerabilidades que aparecen en el resumen han sido reportadas con anterioridad en este blog.

VER Vulnerability Summary for the Week of January 17, 2011

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: us-cert.org

Google Chrome is prone to multiple vulnerabilities.

Attackers may exploit these issues to execute arbitrary code in the context of the browser or cause denial-of-service conditions; other attacks are also possible.

Chrome versions 8.x prior to 8.0.552.237 are vulnerable.

REFERENSE

fuente: securityfocus.com

El desarrollador nnk@google.com publicó un post en el blog de Google, donde señala que el problema de Android que hace que los mensajes de texto sean enviados a destinatarios equivocados ha sido resuelto mediante un parche disponible a partir del 5 de enero.

Google ha sido objeto de críticas por no haber dado prioridad a las primeras notificaciones sobre el error. Sin embargo, después que este fue comentado en sitios como Engadget la noche de año nuevo, el tema fue reconsiderado y clasificado de vulnerabilidad crítica.

Google debió dedicar algunos días para reproducir el error, que se presenta con una frecuencia extremadamente baja.

El citado desarrollador agrega que un error adicional, planteado en otros foros, también ha sido solucionado.

El desarrollador escribe que cuando un usuario hace clic en la aplicación de mensajes, ocasionalmente ocurre que un mensaje distinto al deseado es presentado por el software. Esto ocurriría si el usuario hace clic en el mensaje antes que toda la aplicación haya sido cargada. El problema ha sido solucionado con un parche. Hasta que el parche haya sido distribuido, Google recomienda a los usuarios esperar que la aplicación completa se haya cargado antes de hacer clic en el mensaje que se desea ver.

El desarrollador agrega que Google no ha concluido oficialmente su investigación sobre el tema, por lo que el equipo de Android continúa estudiando formas alternativas de solucionar el problema de raíz.

La disponibilidad con que el parche sea puesto a disposición de los usuarios dependerá de los procedimientos de cada operador telefónico. Google informa que no es necesario esperar la próxima versión de Android.

fuente: diarioti.com

Google ha empezado a notificar a los usuarios de su motor de búsquedas sobre sites que pudieran haber sido comprometidos por los hackers.

Aquellos que utilicen el motor de búsquedas de Google verán una advertencia sobre aquellos sites que Google crea que puedan haber sido hackeados, lo que les dará la opción de no entrar, conseguir más información de Google o continuar.

Google establecer que un site ha sido hackeado teniendo en cuenta ciertos signos que detecta automáticamente y que llevará a la compañía a contactar con el director web de esas páginas web para alertarles en caso de que no conozcan el problema potencial.

Google dejará de mostrar la alerta cuando verifique que el problema se ha solucionado.

La compañía realizará las mismas comprobaciones de los sites que crea que infectan con malware a los usuarios.

Precisamente la semana pasada los cibercriminales infectaron la red de publicidad online de Google y Microsoft, colocando anuncios en ella que redirigían a los usuarios que pinchaban sobre ellos a sites que infectaban con malware sus ordenadores. AL menos es lo que anunció la empresa de seguridad Armorize.

fuente: itespresso.es

La increíble cantidad de información continuamente filtrada en Internet, y por lo tanto accesible desde Google, es de gran utilidad a los pentesters (y delincuentes) de todo el mundo. Johnny Long de Hackers for Charity comenzó hace tiempo Google Hacking Database (GHDB) para servir de repositorio a términos de búsqueda comunes, llamados Google-Dorks y que exponen información confidencial, vulnerabilidades, contraseñas, y mucho más.

Como Johnny está en una misión en Uganda, amablemente ha permitido a Exploit-DB resuciar GHDB y esto permitirá proporcionar información lo más actualizada posible y nuevos Dorks.

fuente: seguinfo

Ha sido descubierta una nueva vulnerabilidad de seguridad en el navegador web de Android que permite a los atacantes tener acceso a archivos personales. Todas las versiones del sistema operativo se ven afectadas, y la vulnerabilidad puede ser aprovechada al momento de visitar una página web maliciosa.

Aunque el fallo no puede ser utilizado para tener acceso a carpetas del sistema, permite al atacante acceder a cualquier dato guardado en la memoria del teléfono. Para poder explotarlo es necesario conocer la la ruta del directorio al que se quiere acceder, y aunque esto pudiera ser un obstáculo, puede ser relativamente fácil tener acceso a directorios de fotografías o de aplicaciones en específico.

La vulnerabilidad ha sido descubierta por el investigador Thomas Cannon, quien ha publicado un vídeo para demostrarla. Google ha comunicado que ya está investigando el problema, pero de momento se desconoce si será solucionado en Android 2.3, la nueva actualización que se espera vea la luz en próximos días.

Por ahora, para protegerse de este fallo es recomendable desactivar Javascript en el navegador de Android o bien, utilizar un navegador distinto como Opera

fuente: opensecurity.es

La última mejora en Google, “Instant Preview”, permitirá ver imágenes previas de nuestras búsquedas junto al texto de los enlaces antes de seleccionar ninguna de ellas.

Es decir, que al lanzar una búsqueda, podremos ir viendo la vista previa de las páginas que se ofrecen como resultados con sólo situar el ratón encima de la lupa que aparece junto a ellas y antes de optar por entrar en alguna.

Además, estas imágenes que se muestran no son simplemente capturas de pantalla de la home de cada web, sino que en muchos casos están modificadas para destacar con un recuadro naranja el lugar donde se encuentran las palabras que andamos buscando.

Según Google, usando Instant Preview se tiene “un 5% más de posibilidades de estar satisfecho con el resultado que elijan de entre todos los posibles”, tal y como explica el blog de la compañía su product manager, Raj Krishnan.

El nuevo servicio de Google se irá extendiendo en los próximos días a más de 40 idiomas, entre ellos el español. Nosotros lo hemos probado buscando nuestra página, podéis probarlo aquí porque aún no está disponible en Google España ¿Os convence la novedad de Google?

Blog oficial de Google


fuente: google.com

Google retiró de Android Market, el portal de aplicaciones para el sistema operativo móvil Android, una aplicación que permitía espiar los teléfonos de otras personas.

La aplicación "Secret SMS Replicator" pertenece a la desarrolladora DLP y estuvo entre las aplicaciones del servicio de Android aproximadamente durante 18 horas, informó Europa Press.

El funcionamiento de la misma requiere introducir el programa en el terminal de otra persona y, a partir de ahí, la aplicación facilita el acceso a la información que posee, incluyendo copias de todos los mensajes recibidos y enviados desde el teléfono sometido a espionaje.

Los desarrolladores destacan que una de las principales cualidades de dicha aplicación es que es invisible y no se detecta su uso.

Según el portal Silicon Republic, Android Market decidió el retiro alegando que entraba en conflicto con las normas de privacidad de la compañía.

Los creadores se plantearon crear una versión para iPhone, pero descartaron la idea ya que pensaban que no pasaría las pruebas de la firma.

La aplicación cuenta con un grupo en Facebook y se puede adquirir por medio de otros portales de aplicaciones no oficiales, informó Europa Press.

fuente: blog.segu-info.com.ar

El popular sistema operativo para dispositivos móviles de Google, Android, tieneal menos 88 defectos de “alto riesgo”. Al menos es lo que asegura un informe publicado en Financial Times.

El estudio realizado por la empresa Coverity, que entre otras cosas se dedica al estudio de códigos de programación, ha identificado múltiples errores de programación que podrían ser explotados por los hackers para acceder al correo electrónicos y otros datos críticos de los dispositivos de los usuarios.

Aunque los investigadores de Coverity encontraron los defectos durante una disección exhaustiva de un HTC Droid Incredible, la compañía insiste en que “es probable” que otros terminales basados en Android compartan los mismos errores de programación.

Entre los fallos identificados destacar accesos a memoria inadecuados y corruptos, causas potenciales de vulnerabilidades de seguridad, pérdida de datos y ruptura general del sistema.

Andy Chou, co-fundador de Coverity aseguró al Financial Times que planea hacer públicos los detalles de los errores descubiertos dentro de dos meses, dando tiempo a Google a solucionarlos. “Intentamos seguir el modelo de una fuente de información responsable”, asegura el directivo.

fuente: itespresso.es

Tras el éxito de su programa que recompensaba a quienes encontraran fallos de seguridad en su navegador Chrome, Google anuncia ahora que pagarán dinero en efectivo a quien encuentre errores de seguridad en sus páginas web.

Por el momento Google asegura que el programa es “experimental”, pero que dará a los investigadores nuevos incentivos para informar sobre fallos directamente al equipo de seguridad de Google.

La idea que hay detrás de este programa es que Google pueda tener la oportunidad de resolver posibles vulnerabilidades antes de que los hackers puedan aprovecharlas. Esto supone que los investigadores de seguridad deben informar secretamente de los fallos a Google antes de hacer públicos sus resultados; a cambio consiguen recompensas en metálico de entre 500 y 3.133 dólares, dependiendo de la severidad del fallo.

Google ya ha pagado por 50 fallos descubiertos en Chrome desde que lanzara un programa similar en enero de este año. La compañía no paga por descubrir fallos en todos sus productos, ya que no hay premios por encontrar vulnerabilidades en Android o Picasa, por ejemplo.

A la hora de buscar fallos, los investigadores de seguridad deben experimentar con los propios servidores de Google, lo que representa un riesgo, son sólo de ámbito legal, sino que puede generar problemas y hacer caer los servicios de Google mientras se realizan las investigaciones.

fuente: itespresso.es