PUEDEN ESPIAR LO QUE HABLAS EN TU HABITACIÓN A TRAVÉS DE LA BOMBILLA


Un grupo de investigadores israelíes ha hecho realidad una de nuestras peores pesadillas: ha conseguido escuchar conversaciones privadas a través de las vibraciones en simples bombillas colgadas en una habitación, con un ataque de espionaje que han bautizado como “Lamphone” que deja atrás el uso de micrófonos en una habitación o pinchar teléfonos.Para llevar a cabo el ataque, los investigadores utilizan un sensor electro-óptico para analizar la respuesta al sonido de la frecuencia de la bombilla a través de fluctuaciones en la presión del aire que genera las vibraciones. Para ello, sólo necesitan un telescopio, el sensor electro-óptico (que vale unos 400 dólares), un DAC y un portátil. En total, todo cuesta menos de 1.000 euros.
Lamphone: ni en nuestra habitación estamos seguros

Con todo, es posible escuchar lo que se está hablando en esa habitación desde más de 100 metros de distancia gracias a medir los cambios en la luz emitida por la bombilla por las vibraciones del sonido. Gracias a ello, es posible distinguir una conversación e incluso una canción sin tener que hackear nada. Sólo tienes que tener una línea de visión directa.

En la prueba, se pusieron a unos 25 metros de distancia de la bombilla, y pusieron los telescopios delante de un sensor electro-óptico Thorlabs PDA100A2. Posteriormente usaron un conversión analógico a digital (DAC) para convertir las señales eléctricas recogidas por el sensor en información digital. Cuando reproducían música y grabaciones de voz en la sala alejada, el portátil analizaba lo que leía.

El sensor es tan sensible que puede recoger las vibraciones de la bombilla en respuesta al sonido, a pesar de que son de apenas unos pocos cientos de micrones. Tras procesar el sonido para filtrar el ruido, reconstruyeron las grabaciones de sonido con una enorme fidelidad. Tanto es así, que por ejemplo pudieron reproducir un audio de un discurso de Trump de manera tan fiel que el sistema de reconocimiento de Google lo reconoció a la perfección. Lo mismo ocurrió con Clocks, de Coldplay, donde Shazam pudo reconocer la canción. En el siguiente vídeo podemos ver cómo funciona, y en la parte final podemos escuchar las grabaciones captadas por el sistema.

Sigue leyendo

Publicado en Privacidad | Etiquetado , , | Comentarios desactivados en PUEDEN ESPIAR LO QUE HABLAS EN TU HABITACIÓN A TRAVÉS DE LA BOMBILLA

COVIDAPP: MADRID SE DESMARCA Y LANZA UNA APP CONTRA EL CORONAVIRUS DIFERENTE A LA QUE PREPARA EL GOBIERNO

La Comunidad de Madrid ha presentado a última hora de este miércoles coronamadrid.com, una web que permitirá a los posibles contagiados de coronavirus «examinar síntomas para recibir recomendaciones de actuación y descongestionar las líneas de atención telefónica». Además, ha adelantado que la app que realizará ese mismo servicio en dispositivos móviles se lanzará «esta semana».

Covidapp ha sido desarrollada por varias empresas privadas, entre las que se encuentran multinacionales tecnológicas como Google y grandes compañías españolas como Telefónica y Ferrovial. Según ha explicado la Comunidad, las tres empresas que han «liderado» el proyecto han sido Carto, ForceManager y Mendesaltaren. En él también ha colaborado la startup Goggo Network, dirigida por el fundador de Jazztel o Ya.com, Martin Varsavsky. Este fue quien recibió el encargo directo de la presidenta de Madrid, Isabel Díaz Ayuso, de poner en marcha el proyecto, detallan fuentes de la Comunidad.

Según se detalla en la política de protección de datos de Covidapp, la Comunidad podrá compartir esa información personal con sus «proveedores y colaboradores, así como a las empresas que estos subcontraten». En opinión de los técnicos del Gobierno y de varios abogados expertos en privacidad consultados por eldiario.es, este punto permitiría que los datos de los contagiados de coronavirus acaben en manos de las empresas antes citadas y que la Comunidad reconoce como «colaboradoras» del proyecto.

«Falta detalle en ese punto», expone Jorge Morell, del despacho Términos y Condiciones. Jorge García Herrero, de Secuoya, señala que hay otros donde presenta «información deficiente», como en el caso de la «nula concreción respecto al periodo durante el cual se retendrá la información». «Tenemos muchas dudas tanto a nivel de legalidad como de usabilidad (por la petición del número de teléfono) y utilidad (integración con servicios médicos)», declara Gemma Galdón, directora de la Fundación Éticas. «Hay muchas cosas que rechinan», resume Sergio Carrasco, de Fase Consulting.

Sigue leyendo

Publicado en Privacidad | Etiquetado , , | Comentarios desactivados en COVIDAPP: MADRID SE DESMARCA Y LANZA UNA APP CONTRA EL CORONAVIRUS DIFERENTE A LA QUE PREPARA EL GOBIERNO

TIKTOK ES PELIGROSO, HAY MUCHAS PRUEBAS


TikTok, la popular aplicación para compartir videos en las redes sociales, continúa en los titulares debido a las preocupaciones de seguridad cibernética y la tendencia no parece estar disminuyendo. Recientemente, el Ejército y la Armada de los EE.UU. prohibieron su uso en teléfonos del gobierno después de una advertencia del Departamento de Defensa sobre el posible riesgo de información personal. Luego, TikTok confirmó que parcheó múltiples vulnerabilidades que potencialmente exponían cuentas, información de usuarios y videos.

Ahora, un usuario que hizo ingeniería inversa a TikTok revelo las cosas preocupantes que la aplicación realiza en el smartphone a través de su app y aconseja a la gente alejarse de la misma. Literalmente y según indican en la noticia y hilo correspondiente de Reddit, un análisis de la empresa Penetrum, Proofpoint, además de que la propia empresa de ciberseguridad Zimperium realizara un análisis exhaustivo de la propia aplicación, se recogen los siguientes datos y realiza también varias acciones:

  • Información completa del hardware del teléfono.
  • Las aplicaciones instaladas en el mismo.
  • Toda la información sobre las redes a las que esta conectado el terminal (4G y Wifi), direcciones IP, etc.
  • Geolocalización vía GPS y GPS pinging cada 30 segundos.
  • Si el dispositivo está rooteado.
  • Montan un servidor proxy local para la transcodificación de los videos o fotos, pero se puede abusar del mismo fácilmente ya que no pide ningún tipo de autenticación.
  • Permite a la aplicación ser configurada remotamente desde sus servidores.
  • Permite a la propia aplicación descargarse un ZIP remoto, descomprimirlo y ejecutar el binario de dentro del mismo.
  • Cifran las peticiones de analíticas de su app con un algoritmo que cambia con cada actualización para que no se sepa realmente que están haciendo. Además, han añadido un bloqueo de la app para que no se pueda usar si se bloquean las comunicaciones con sus servidores a nivel DNS

Además el propio usuario ha observado que gente sospechosa, a la que se le podrían denominar posibles pederastas, realizando duos con canciones con alto contenido sexual. Estos videos son públicos. TikTok incluye también la funcionalidad de mensajes directos y chat a través de la aplicación, los cuales no son moderados.

En relación con esto, TikTok acaba de publicar su primer «Informe de transparencia» que detalla «solicitudes legales de información del usuario», «solicitudes gubernamentales de eliminación de contenido», «avisos de eliminación de contenido con derechos de autor». Es notable que India, Estados Unidos y Japón fueron los tres principales países, respectivamente, donde se solicitó información del usuario. Estados Unidos fue el país número uno con la solicitud cumplida con el 86% y el país número uno en términos de número de cuentas especificadas en las solicitudes, 255. China no figura en la lista, lo que significa que TikTok no recibió ninguna solicitud de información del usuario en China.

FUente: Segu-Info

Publicado en Tiktok | Etiquetado | Comentarios desactivados en TIKTOK ES PELIGROSO, HAY MUCHAS PRUEBAS

TIKTOK ESPÍA EN SECRETO A MILLONES DE USUARIOS DE IPHONE


Como informó Forbes el 23 de junio, Apple ha solucionado un problema grave en iOS 14, el cual permitía que las aplicaciones pueden acceder secretamente al portapapeles en los dispositivos de los usuarios. La nueva versión advertirá a los usuarios cada vez que una aplicación lea lo último copiado en el portapapeles. Como advertían a principios de este año, esto es más que un riesgo teórico para los usuarios, ya que innumerables aplicaciones ya han sido atrapadas abusando de su privacidad de esta manera.

El problema más grave con esta vulnerabilidad es la funcionalidad universal del portapapeles de Apple, lo que significa que cualquier cosa que se copie en la Mac o iPad puede ser leída por el iPhone, y viceversa. Entonces, si TikTok está activo en el teléfono mientras trabaja, la aplicación básicamente puede leer cualquier cosa y todo lo que copie en otro dispositivo: contraseñas, documentos de trabajo, correos electrónicos confidenciales, información financiera. Cualquier cosa.

No debería sorprender que una de las aplicaciones que husmea es TikTok, de acuerdo a lo reportado por los investigadores de seguridad Talal Haj Bakry y Tommy Mysk. Dadas otras preocupaciones de seguridad planteadas sobre la aplicación, así como las preocupaciones relacionadas a sus orígenes chinos, esto se convirtió en un tema principal. En ese momento, la empresa propietaria de TikTok, Bytedance, dijo que el problema estaba relacionado con el uso de un SDK de publicidad obsoleto de Google que estaba siendo reemplazado.

Bueno, tal vez eso es mentira. Con el lanzamiento de la nueva advertencia del portapapeles en la versión beta de iOS 14, TikTok parece haber sido sorprendido abusando del portapapeles de una manera bastante extraordinaria. Entonces parece que TikTok no detuvo esta práctica invasiva en abril, como prometió.

Según TikTok, el problema ahora «se desencadena por una característica diseñada para identificar comportamientos repetitivos y no deseados y ya han enviado una versión actualizada de la aplicación a la App Store eliminando la característica antispam para eliminar cualquier posible confusión». En otras palabras: «nos han pillado haciendo algo que no deberíamos, hemos sacado una solución».

TikTok también dijo que la plataforma «está comprometida en proteger la privacidad de los usuarios y a ser transparente sobre cómo funciona la aplicación».

Fuente: Segu-info

Publicado en Tiktok | Etiquetado , , | Comentarios desactivados en TIKTOK ESPÍA EN SECRETO A MILLONES DE USUARIOS DE IPHONE

TU IMPRESORA IMPRIME PUNTOS AMARILLOS PARA IDENTIFICARTE


Cuando las impresoras empezaron a popularizarse en los hogares en los años 80, el gobierno de Estados Unidos empezó a preocuparse de que pudieran empezar a imprimirse falsificaciones de dinero y otro tipo de documentos. Por ello, se desarrolló un sistema que estuvo oculto durante 20 años, y todavía sigue presente en la mayoría de impresoras.Este sistema es conocido oficialmente como Machine Identification Code (MIC), aunque comúnmente se le llama “puntos amarillos”. Estos puntos son una marca de agua que las impresoras láser incluyen en los documentos que imprimen. El sistema fue desarrollado por Xerox y Canon a mediados de los años 80, y su existencia fue descubierta en 2004 después de saliera a la luz una noticia de que las autoridades de Países Bajos consiguieran atrapar a unos falsificadores de dinero que habían usado impresoras Canon a través de “una función oculta en las impresoras láser a color”.

Posteriormente, la Electronic Frontier Foundation (EFF) pidió al público muestras de impresiones para encontrar patrones en el código y posteriormente descodificarlo. Así fue como consiguieron determinar qué significaban esos puntos amarillos que son sólo visibles con una luz intensa sobre el papel (si es ultravioleta mejor) y usando una lupa. Si no tienes una lupa, puedes imprimir un documento y luego escanear una pequeña parte de él a la mayor resolución que puedas. Posteriormente, se puede aumentar el canal de color amarillo para resaltar esos puntos.

La elección del amarillo no fue hecha a la ligera, ya que ese color fue elegido porque se mimetiza muy bien con el blanco y es difícil verlo a simple vista. Los puntos tienen el diámetro de 0,1 mm y están separados entre sí por 1 mm. Las matrices de puntos se repiten varias veces por todo el papel, y en un folio A4 se repiten hasta más de 100 veces dependiendo del modelo.

La EFF publicó una lista en 2015 que luego actualizó en 2017 (y que no ha vuelto ha actualizar) con los modelos que habían detectado que utilizaban la técnica de los puntos amarillos. Según los documentos que habían analizado, todos los principales fabricantes de impresoras láser a color llegaron a un acuerdo con el gobierno para introducir esta tecnología de seguimiento.

Sigue leyendo

Publicado en Hardware | Etiquetado , , , | Comentarios desactivados en TU IMPRESORA IMPRIME PUNTOS AMARILLOS PARA IDENTIFICARTE

GOOGLE INDEXA TELEFONOS DE WHATSAPP


Bleeping Computer reportó como los enlaces de invitación a grupos privados de apps de mensajería como Telegram o Whatsapp eran visibles en Google, permitiendo a cualquiera unirse a esos grupos.El investigador de seguridad Athul Jayaram remarcó una incidencia con los enlaces de Whatsapp con dominio wa.me, que «filtraban» números de teléfono en Google. El dominio wa.me es propiedad de Whatsapp y se usa para hostear enlaces de chat directo tras clicar en ellos, permitiendo así empezar una conversación con alguien sin tener su número de teléfono guardado en la agenda de contactos del teléfono.
Como dijo Jayaram y confirmó BleepingComputer, no hay ningún robots.txt en el dominio wa.me o api.whatsapp.com que les diga a los robots de los buscadores de dominio que no deben indexar los números de teléfono de ese sitio web. Como resultado, los enlaces que empiezan por wa.me son indexados por Google y otros buscadores, y aparecen en sus resultados de busqueda.El investigador afirma que habría entre 29.000 y 300.000 números de teléfono filtrados en Google en texto plano. Aunque el investigador menciona Estados Unidos, Reino Unido o India como principales países afectados, también hay otros muchos afectados, entre los que se encuentra España. Cuando se clican estos links, nos redirige a api.whatsapp.com permitiendo así a un usuario «continuar el chat» con el usuario de Whatsapp.

Esto puede ser un fallo potencial de la privacidad de la propia aplicación, especialmente si los spammers pueden obtener números legitimos de usuarios de Whatsapp que sean indexados por Google y hablarte directamente en Whatsapp, ya que no se considera una vulnerabilidad por parte de Facebook.
También hay que recordar, que hay miles de sitios web en Google que tienen un directorio de números legítimos, tengan una cuenta de Whatsapp/Telegram o no, y que están publicados en Internet.

Sigue leyendo

Publicado en Google, Whatsapp | Etiquetado , , | Comentarios desactivados en GOOGLE INDEXA TELEFONOS DE WHATSAPP

DESCUBREN FALLOS DE PRIVACIDAD EN FABRICANTES DE CAMARAS DE SEGURIDAD


Un estudio analiza algunas de las principales cámaras de seguridad del mercado y han descubierto fallos importantes que afectan a la privacidad.
En este caso se trata de un informe que ha realizado Blake Janes, un estudiante de informática en la Universidad de Florida. Ha detectado que diferentes marcas de cámaras de seguridad tienen fallos que ponen en riesgo la privacidad de los usuarios. Se trata de fallos en el diseño y también vulnerabilidades que afecta al acceso de la cámara.En muchos sistemas de cámaras que ha analizado este estudiante de informática junto a sus compañeros no funciona correctamente el mecanismo para eliminar cuentas de usuario. Esto podría permitir que posibles atacantes explotaran el fallo para poder acceder a la cámara de forma indefinida, grabar audio o vídeo sin hacer notar su presencia y, en definitiva, poner en riesgo la privacidad de los usuarios.
¿Qué significa esto? Por ejemplo podría ocurrir que en una vivienda o centro de trabajo haya varios usuarios con acceso a esa cámara, a la cual pueden acceder desde su móvil. Si por algún motivo quieren que una persona ya no tenga acceso a esa cámara, en realidad no eliminarían por completo el usuario y seguirían teniendo acceso a la cámara, a poder grabar audio o vídeo.

El equipo descubrió que esto sucede en gran medida porque las decisiones sobre si otorgar acceso se realizan en la nube y no localmente, ya sea en la cámara o en los teléfonos inteligentes involucrados. Los fabricantes prefieren este enfoque porque permite que las cámaras transmitan datos de una manera que no es necesario que cada cámara se conecte a cada teléfono inteligente directamente.
Además, los fabricantes diseñaron sus sistemas para que los usuarios no tuvieran que responder repetidamente a las solicitudes de acceso, lo que podría ser molesto y llevarlos a desactivar ese control de seguridad.

Sigue leyendo

Publicado en Privacidad | Etiquetado | Comentarios desactivados en DESCUBREN FALLOS DE PRIVACIDAD EN FABRICANTES DE CAMARAS DE SEGURIDAD

APPLE SIGUE ESPIANDOTE CON SIRI A PESAR DE PROMETER CAMBIOS


Hace casi un año surgió una enorme polémica relacionada con la privacidad de los usuarios, donde se desveló que Alexa, el Asistente de Google y Siri guardaban las grabaciones de voz para «mejorar los sistemas de detección». Esos audios eran escuchados y transcritos por trabajadores, suponiendo una gravísima vulneración de privacidad. Apple pidió perdón y dijo que iba a suspender el programa temporalmente, dando opción a los usuarios para elegir si daban su consentimiento para que se escuchasen sus interacciones con el asistente de voz. Sin embargo, parece que no ha cambiado nada.Así lo ha afirmado Thomas Le Bonniec en una carta a las autoridades de protección de datos de la UE. Fue él quien hace 9 meses, y de manera anónima, destapó el caso de las escuchas por parte del asistente de voz de Apple, ya que él era uno de los trabajadores encargado de escuchar los audios en inglés y en francés.

Estos audios son clave para mejorar la detección de sonido de los asistentes de voz, donde son los propios trabajadores los que ayudan a mejorar el sistema de redes neuronales. Cuando Siri escucha algo que no entiende y el dictado por voz no funciona bien, envía el audio a los trabajadores para que le ayuden a entenderlo.
Le Bonniec afirma que en su paso de dos meses por la empresa Globe Technical Services, pudo asistir a la violación masiva de la privacidad de millones de personas, lo cual va en contra de una empresa que es una de las que más respeta la privacidad de los usuarios. Cuando se destapó todo, Apple dijo que iba a revisar sus políticas y sus prácticas, y que se disculpaba por no haber “cumplido sus altos estándares”. Sin embargo, Bonniec afirma que no ha cambiado nada, según le han informado varias fuentes.

Le Bonniec escuchaba cientos de grabaciones al día de todo tipo de dispositivos de Apple (iPhone, Apple Watch o iPad). Muchas de estas grabaciones se realizaban sin activación de Siri voluntaria por parte del usuario, sino por error. En esas grabaciones había todo tipo de datos, incluyendo nombres, direcciones, conversaciones privadas, etc. Él afirma que escuchó a personas hablar de cosas como cáncer, religión, sexualidad, pornografía, política, relaciones o drogas.

Sigue leyendo

Publicado en Apple | Etiquetado , , | Comentarios desactivados en APPLE SIGUE ESPIANDOTE CON SIRI A PESAR DE PROMETER CAMBIOS

GOOGLE ESTA ENVIANDO MENSAJES DE TEXTO SIN DECIRTELO.


Las usuarias de Android informaron que sus teléfonos enviaron mensajes de texto por su cuenta en los últimos meses. Como si eso no fuera suficientemente espeluznante, esos mensajes fueron enviados a Google. La buena noticia es que esto no es spam o un intento de phishing.Basado en varias capturas de pantalla, el mensaje incluye un enlace acortado y un código aleatorio. También dice: «Google está re-verificando el teléfono de este dispositivo». Los usuarios de androides de la India comunicaron principalmente el mensaje, pero los de los Estados Unidos y varios países de Europa también observaron la misma incidencia.Google no indica explícitamente por qué re-verifica tu número de teléfono. La empresa menciona cosas como la verificación en dos pasos, las videollamadas, la recuperación de cuentas y los mensajes. Teniendo eso en cuenta, tiene sentido que Google vuelva a verificar tu número de teléfono. Sin embargo, la gente se mantuvo en la oscuridad como resultado y estaba muy preocupada de que algo raro estuviera pasando.

Fuente: Android Authority

Publicado en Google | Etiquetado , | Comentarios desactivados en GOOGLE ESTA ENVIANDO MENSAJES DE TEXTO SIN DECIRTELO.

ACUSAN A XIAOMI DE ESPIAR CON SUS MÓVILES Y ENVIAR LOS DATOS A CHINA


Forbes se hace eco de una reciente investigación que coloca a Xiaomi en el ojo del huracán. En una información exclusiva de este medio se hace referencia a que los smartphones de la compañía china estarían enviando demasiados datos. Los datos estarían siendo enviados a Alibaba, empresa responsable de los servidores alquilados por el fabricante de móviles y matriz del famoso Aliexpress. Un portavoz de Xiaomi se ha apresurado en desmentir toda la información publicada por este analista de seguridad, eso sí, las dudas siguen estando presentes.
¿Te espía tu móvil Xiaomi?La investigación de seguridad sobre los datos recopilados por los móviles de Xiaomi concluye que se envían las búsquedas realizadas o las páginas visitadas, da igual que se utilizara el buscador de Google o DuckDuckGo que prioriza el anonimato. Este rastreo del usuario se estaría realizando incluso con la navegación en modo “incógnito”.

Por si eso fuera poco, este medio también apunta a que se enviarían las carpetas abiertas y otro tipo de ajustes. Toda la información estaría siendo “empaquetada” y enviada a través de servidores en Singapur y Rusia, pese a que todo nos hacía pensar que los servidores de la compañía estaban registrados en Beijing.

La investigación no termina ahí y se habla de que los navegadores Mi Browser Pro y Mint Browser también recopilan datos privados de los usuarios. Entre las dos aplicaciones tienen más de 15 millones de descargas según las estadísticas oficiales de Google Play Store. Se cree que todo esto afecta a muchos modelos de Xiaomi, incluyendo Xiaomi Mi 10, Xiaomi Redmi K20 y Xiaomi Mi MIX 3, además del Redmi Note 8.

Finalmente, la investigación también hace referencia a la falta de cifrado en los datos enviados a los servidores remotos. Pese a que todo tendría que estar cifrado, el investigador de seguridad tardó sólo unos pocos segundos en descifrar los datos que estaba preparando su móvil para ser enviados.
Xiaomi lo niega todo

Sigue leyendo

Publicado en Móviles, Privacidad | Etiquetado , | Comentarios desactivados en ACUSAN A XIAOMI DE ESPIAR CON SUS MÓVILES Y ENVIAR LOS DATOS A CHINA