sábado, 14 de junio de 2014

Ataques a dispositivos móviles

“Los bancos no pueden limpiar los smartphones de sus clientes y no tienen ningún control sobre este tipo de troyanos. [...]Incluso la protección de aplicaciones bancarias móviles y el fortalecer los procesos de autenticación para los usuarios no protege de una situación semejante”. Son palabras de Avivah Litan, vicepresidente de Gartner, a raíz del descubrimiento de una nueva la versión del troyano Svpeng.
Las declaraciones ponen en entredicho la seguridad de uno de los métodos hasta ahora más fiables para consultar las operaciones bancarias. Svpeng es un troyano bancario con funciones de ransomware, aparecido por primera vez en Rusia, y que parece haber mutado para atacar a usuarios de bancos americanos e ingleses como USAA, Citigroup, American Express, Wells Fargo, Bank of America, TD Bank, JPMorgan Chase, BB&T and Regions Bank.

Continuamos con un ataque, esta vez mezcla de ingeniería social y mala gestión de los permisos administrativos internos, que ha sufrido AT&T por parte de uno de sus proveedores locales. Dicho proveedor accedió a los datos de los usuarios de AT&T, pudiendo liberar con ellos los dispositivos, en principio con el fin de revenderlos. Se calcula que hay alrededor de 500 clientes afectados, aunque podrían ser muchos más, y sigue adelante la investigación para dar con los verdaderos causantes del ataque.

Google Play se actualiza, y entre sus nuevas funcionalidades, está el hecho de mejorar sustancialmente la legibilidad de los permisos de cada aplicación, agrupándolos en varias categorías. Pero no podía ser todo tan bonito, y es que con el cambio, la información que recibe el usuario de cada actualización de permisos depende únicamente de si se han solicitado permisos en nuevas categorías, fomentando una posible explotación del producto que permita escalar en permisos sin que el usuario se de cuenta.

Y acompañamos el artículo con un vídeo de una de las muchas charlas de la reciente conferencia UPM TASSI, en la que un Raúl Siles nos habla de las posibles protecciones en dispositivos móviles. Podéis encontrar el resto de vídeos con todas las ponencias en el enlace al artículo de Sbd.

Y si has llegado hasta el final, recuerda que puedes votar y comentar nuestros posts, o seguir nuestro día a día en Twitter y en otros perfiles sociales, cuyos enlaces tienes a la derecha, en la barra lateral del blog.

0 comentarios:

Publicar un comentario