• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Linux APT

Un investigador de seguridad ha revelado un fallo crítico de ejecución remota de código en Linux APTcuya explotación podría haberse mitigado si el administrador de descargar de software estuviera utilizando estrictamente HTTPS para comunicarse de forma segura.

La vulnerabilidad llega en un momento que los expertos en ciberseguridad están sugiriendo a los desarrolladores de software que solo confíen en la verificación de paquetes basados ​​en firmas. 

Descubierta por Max Justicz, la vulnerabilidad etiquetada como CVE-2019-3462 reside en el administrador APT, un sistema de gestión de paquetes creado por el proyecto Debian que facilita la instalación de software y es utilizada ampliamente por distribuciones GNU/Linux derivadas como Ubuntu y otras.

Según Justicz, las versiones vulnerables de APT no manejan correctamente ciertos parámetros durante las redirecciones HTTP, lo que permitiría a un atacante remoto utilizar ataques man-in-the-middle para inyectar contenido malicioso y engañar al sistema para que instale paquetes alterados.

Los redireccionamientos HTTP al usar apt-get command ayudan a las máquinas Linux a solicitar paquetes de un servidor espejo adecuado cuando otros no están disponibles. Si el primer servidor falla, devuelve una respuesta con la ubicación del siguiente servidor desde donde el cliente debe solicitar el paquete.

El investigador ha demostrado en vídeo como un atacante que intercepta el tráfico HTTP entre la utilidad APT y un servidor espejo, o simplemente un espejo malicioso, podría ejecutar un código arbitrario en el sistema de destino con el nivel más alto de privilegios, root.

A juicio de The Hacker News, el caso muestra que más allá de debates lo ideal sería utilizar todas las capas de seguridad disponibles y con éste en particular, la verificación basada en firmas y también HTTPS para proteger la integridad de los paquetes de software.

Los desarrolladores de APT ya han publicado la versión 1.4.9 que aborda el problema y distribuciones como Debian y Ubuntu han lazado parches de seguridad, por lo que se remienda a los usuarios de Linux la actualización de sus sistemas lo antes posible. 

por Juan Ranchal Tue, 22 Jan 2019 23:43:35 +0000

Allianz Risk Barometer 2019

Con la llegada del nuevo año Allianz ha presentado su barómetro anual sobre los principales riesgos que las empresas aportan a nivel mundial. Dividido por sectores y países, permite obtener una radiografía muy precisa de cuáles son las amenazas que quitan horas de sueño a los profesionales.

En el caso de España este año la novedad más importante es el ascenso del nivel de riesgo que comportan los ciberincidentes hasta la segunda posición.

Allianz Risk Barometer 2019 Spain

Esto confirma la tendencia de los últimos años y es posible que la entrada en vigor del nuevo Reglamento General de Protección de Datos (GDPR) tenga parte de culpa de este aumento de la sensibilidad hacia este tipo de problemas.

Resulta también interesante comprobar cómo la entrada de nuevas tecnologías es percibida como un nuevo vector de riesgo por los expertos.

A nivel global, es reseñable que los ciberincidentes pasan a ocupar el lugar número uno como causa más temida de interrupción de negocio.

Como hechos más destacables de este aumento de la relevancia de los ciberincidentes el estudio señala el incremento de los ciberataques, que se duplicaron en 2017 hasta contabilizar 160.000, aunque fuentes como el Online Trust Alliance indican que el número real podría estar más cercano a los 350.000. Otros motivos de dicho aumento serían el aumento de los costes de los ataques y nuevos cambios en la regulación, como la entrada en vigor del mencionado GDPR.

El informe de este año, el octavo que realiza Allianz, incluye respuestas de 2.415 profesionales de más de 86 países distintos, incluyendo consultores de seguridad, directores y expertos en gestión del riesgo. Los encuestados fueron consultados en octubre y noviembre del 2018 y las respuestas correspondieron en un 50% a gran empresa, un 21% a mediana y un 28% a pequeña empresa.

por Redacción Muy Seguridad Tue, 22 Jan 2019 12:50:16 +0000

Phishing Mercadona

El phishing sigue siendo una de las principales amenazas de ciberseguridad para usuarios y empresas. Presente desde hace años como una lacra del correo electrónico, el uso masivo de las redes sociales y la mensajería instantánea ha abierto otros grandes medios de distribución de este malware. Y no debemos caer en la trampa que plantean este tipo de ataques.

Las fuerzas de seguridad españolas han alertado de dos grandes campaña de phishing al arrancar 2019. Como de costumbre, los cibercriminales conocidos como phishers se hacen pasar por empresas de confianza enviando una supuesta comunicación oficial. Las últimas conocidas utilizan el cebo de BBVA o Mercadona.

Se trata de otra más de las incontables estafas que se propagan por redes sociales, apps de mensajería o correos electrónicos. En España y en todo el mundo. En el caso de Mercadona ofreciendo un “bono de compra de 100 euros” de la empresa de alimentación para celebrar su 50 aniversario.

amenaza del phising

Todo es falso, ni Mercadona celebra aniversario ni regala bonos de compra, pero como tiene más de cinco millones de clientes en toda España y su cuota de mercado supera el 25% la cadena es fuente repetida para ataques de phishing.

Los ciberdelicuentes incluyen un enlace en el falso bono que solicita contraseñas y cuentas bancarias, su verdadero objetivo. Incomprensiblemente, todavía seguimos cayendo en estos burdos timos que utilizan un tipo bien conocido de ingeniería social con ataques de suplantación de identidad o phishing, palabra inglesa que alude a que los usuarios “muerdan el anzuelo”.

Las campañas que utilizan BBVA o PayPal tienen el mismo objetivo, pero con otro enfoque, solicitando accesos por motivos de seguridad u otros con enlaces falsos que buscan desplumar al personal tras hacerse con sus cuentas y contraseñas.

Los cibercriminales se apoyan la mayoría de las veces en la suplantación de servicios populares para llevar a cabo estos ataques ya que ello les da mayores posibilidades de hacerse con datos comprometedores como vimos hace poco con Netflix.

Cómo combatir la amenaza del phishing

El phishing es cada vez más sofisticado y difícil de detectar. De hecho, hay casos que solo podrán ser detectados por los usuarios más atentos, ya que las imitaciones empiezan a estar realmente conseguidas. Sin embargo, la gran mayoría son detectables prestando la necesaria atención con unos consejos generales como:

  • Utiliza el sentido común con esas promociones que “regalan” cualquier cosa. Desconfía siempre.
  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • Ninguna empresa nos va a solicitar nuestros datos por correo electrónico.
  • Especialmente las compañías financieras. Nunca te pedirán datos importantes.
  • Desconfía de cualquier correo que te redireccione a otras páginas web.
  • Entra siempre por una URL oficial protegida y segura con HTTPS. Asegúrate que tenga el certificado correspondiente.
  • Cuidado especial con las URLs acortadas, suele ser un mecanismo que utilizan los estafadores para enmascarar los links maliciosos.
  • Si recibes un mensaje de tu banco y tienes dudas busca asistencia a través de su página web, oficina física o páginas oficiales.
  • Sospecha de las redacciones con faltas gramaticales, son producto de las traducciones automáticas y son todas falsas.
  • Nunca compartas tus contraseñas con nadie a través de ningún medio de Internet.
  • No descargues ningún archivo adjunto de este tipo de mensajes, incluso de conocidos. Es probable que incluya un troyano bancario.
  • Si usas una app móvil, descarga siempre de sitios oficiales.
  • Valora el uso de extensiones para tu navegador como Password Alert.
  • Aumenta tu seguridad en general: contraseñas fuertes; software actualizado; navegación por sitios web de confianza….

En definitiva, prudencia y sentido común porque la amenaza del phishing es patente y los ataques de suplantación de identidad son cada vez más sofisticados. Y rentables. No se lo pongamos en bandeja.

por Juan Ranchal Sun, 20 Jan 2019 23:02:53 +0000

fuga de datos

El investigador de seguridad y fundador del sitio web de infracciones Have I Been Pwned, ha revelado una base de datos que incluye 773 millones de cuentas de correo electrónico y 21 millones de contraseñas únicas robadas, que a buen seguro se han estado utilizando en ataques informáticos automatizados de relleno de credenciales.

Es la segunda mayor fuga de datos de la historia después de la de Yahoo! con casi 3.000 millones de cuentas afectadas, aunque hay que concretar que se trata de una compilación de otras bases de datos más pequeñas ya filtradas, según explica Troy Hunt.

Denominada como ‘Colection #1’ por su descubridor, la compilación estaba formada por un conjunto de 12.000 archivos con un tamaño total de 87 Gbytes y casi 2.700 mil millones de registros, sumando 1.160 millones de combinaciones únicas entre las direcciones de correo y las contraseñas, lo que significa que la lista cubre a las mismas personas varias veces, pero en muchos casos con contraseñas diferentes.

La base de datos fue encontrada en el servicio de almacenamiento de archivos MEGA y aunque ya ha sido borrada sigue distribuyéndose en las redes de intercambio de archivos. El único ‘consuelo’ es que la filtración es limitada no habiéndose filtrado información confidencial como datos de tarjetas de crédito o similares.

Puedes comprobar si estás afectado por éste u otros casos de fuga de datos en el sitio web Have I Been Pwned. Tanto si estás afectado como si no, la filtración es un recordatorio de la necesidad de guardar a buen recaudo nuestros datos y seguir las reglas elementales para la creación de contraseñas:

  • No usar palabras típicas o números comunes
  • Combinar mayúsculas y minúsculas
  • Combinar números con letras
  • Añadir caracteres especiales
  • Alargar el término con el mayor número de dígitos
  • No utilizar la misma contraseña en todos los sitios
  • Especialmente, usar contraseñas específicas para banca y sitios de compra on-line
  • Mantener la contraseña a salvo de cualquier tercero
  • Valorar el uso de gestores de contraseñas
  • Reforzar el uso de contraseñas con otros sistemas, doble autenticación o sistemas biométricos
por Juan Ranchal Thu, 17 Jan 2019 23:02:32 +0000

Pwn2Own 2019

Pwn2Own 2019, próxima edición del concurso de hacking que se celebra anualmente en la conferencia de seguridad CanSecWest, ofrecerá los mayores premios de su historia incluido un flamente Tesla Model 3 para quien sea capaz de hackearlo.

Es lo más noticiable aunque no es la recompensa de mayor valor de este concurso que ha evolucionado en la última década desde premios de unos pocos miles de dólares por explotación a millones de dólares en efectivo. El concurso es mucho más que un registro anual sobre el estado de los navegadores y la seguridad del sistema operativo. También es una guía para los investigadores a medida que agregamos nuevas categorías y aumentamos los premios en efectivo”, destacan desde el concurso. 

Este año la gran novedad es la categoría de “automoción” con la adición del Model 3 de Tesla, el vehículo más vendido de su clase en Estados Unidos para el que se ofrecerá seis puntos de investigación con premios que van desde 30.000 a 300.000 dólares dependiendo de una variedad de factores incluido el exploit utilizado.

Pwn2Own 2019

Pwn2Own 2019 – Virtualización

Los automóviles no son lo único que ofrecerán grandes recompensas este año. Microsoft regresa como socio en esta edición y encabeza la categoría de virtualización con un premio de 250.000 dólares para quien consiga una escalada de privilegios en el cliente Hyper-V.

VMware también regresa como patrocinador al concurdo y este año ofrecerá VMware ESXi junto a VMware Workstation como objetivo con premios de 150.000 y 70,000 dólares, respectivamente. Oracle VirtualBox completa esta categoría con un premio de 35,000 dólares.

Categoría importante esta de la virtualización, un recurso tecnológico muy valioso cada vez más importante en computación crítica, aplicaciones profesionales y también a nivel del cliente. Las últimas dos ediciones del concurso las soluciones han sido hackeadas.

Pwn2Own 2019

Pwn2Own 2019 – Navegadores

Una categoría tradicional en el concurso que sigue siendo una de las más interesantes porque es usada a diario por cualquier tipo de usuario y da acceso a Internet, sus servicios… y también el malware que lo acompaña, mucho y de alto impacto.

Con el reciente anuncio de que Microsoft se está moviendo a un motor basado en Chromium, los exploits en Google Chrome ganan en importancia y en recompensas con premios de 80.000 dólares. La misma cantidad hay asignada para exploits de Edge. Firefox tiene asignado la mitad.

También ofrecerán premios por una explotación específica para Edge con una aplicación de Windows Defender (WDAG) y otro si escapan de la máquina virtual y ejecutan el código en el sistema operativo host.

Pwn2Own 2019

Las aplicaciones empresariales también regresan con objetivos como Adobe Reader y varios componentes de Office, incluido Outlook, con un premio de 100.000 dólares. En servidores, una explotación exitosa del Microsoft Windows RDP tendrá uno delos mayores premios con 150.000 dólares.

Como en otras ediciones, también se coronará al ‘Maestro de Pwn’ para la persona o equipo que acumule más puntos. Pwn2Own 2019 se celebrará del 20 al 22 de marzo en Vancouver y lo seguiremos como se merece, el principal concurso de hacking anual y un evento muy importante para la industria y consumidores al encontrar vulnerabilidades de manera controlada antes que sean explotadas por los ciberdelincuentes.

por Juan Ranchal Tue, 15 Jan 2019 23:02:13 +0000

VPN

VPN es una tecnología de red que permite extender de forma segura una red local sobre una red pública como Internet. Entre las ventajas de las redes privadas virtuales podemos citar el bajo coste y la facilidad de uso; la integridad, confidencialidad y seguridad de datos, y la facilidad para establecer comunicaciones entres usuarios o equipos distantes.

Estas redes privadas virtuales son muy útiles para varias aplicaciones, como conectar distintas sucursales de una empresa; realizar accesos de soporte técnico; para un profesional que requiera conectar de forma segura y remota con una computadora de su oficina desde cualquier lugar geográfico o un usuario que necesite acceder a su equipo doméstico remotamente, utilizando la infraestructura de Internet.

Entre las ventajas de una VPN pueden citarse el bajo coste y la facilidad de uso; la integridad, confidencialidad y seguridad de datos, y la facilidad para establecer comunicaciones entres usuarios o equipos distantes.

Aunque existen varias arquitecturas de redes privadas virtuales (acceso remoto; punto a punto; tunneling y over LAN) actualmente la más usada es la primera, con usuarios o proveedores conectándose a la empresa desde sitios remotos utilizando Internet como vínculo de acceso, logrando un nivel de acceso similar al que ofrece la red local de una empresa u hogar.

Cómo crear y usar una VPN en Windows 10

Microsoft ha facilitado la creación, configuración y utilización de las VPN en su último sistema operativo Windows 10. Para realizar estas una conexiones, sea propiedad de la empresa donde trabajamos o de una conexión personalizada propia, necesitaremos conocer previamente:

  • La dirección IP del servidor VPN – Proveedor de servicios VPN
  • El nombre de la conexión y los datos de la cuenta de VPN (nombre de usuario y contraseña)
  • Cualquier configuración técnica que puedas necesitar para establecer con éxito una conexión segura

Conociendo estos datos, conectar una VPN en Windows 10 es sencillo siguiendo estos pasos:

  • Inicia sesión en Windows 10 con una cuenta de administrador
  • Accede a la herramienta de Configuración del sistema – Red e Internet

VPN1

  • Agrega una conexión VPN:

VPN1_2

  • Introduce la información necesaria para la creación de la VPN. Proveedor (Windows integrado en el ejemplo) nombre de la conexión (VPN en Windows 10 en el ejemplo), servidor o dirección IP, tipo de VPN (PPTP es la más utilizada ) y el tipo de inicio de sesión, generalmente con nombre de usuario y contraseña.

VPN1_3

  • Opcionalmente, puedes acceder a la configuración avanzada para administrar otras configuraciones relacionadas con la VPN, como la configuración del proxy, detección automática o entrada manual.
  • Una vez creada, solo nos resta acceder a las conexiones disponibles en el equipo y ahí veremos la VPN recién creada a la que podemos acceder como hacemos con una red Wi-Fi:

VPN1_4

Como vemos, es sencillo crear y utilizar estas conexiones virtuales punto a punto que permiten extensiones seguras de la red local sobre una red pública como Internet.

por Juan Ranchal Sun, 13 Jan 2019 23:02:58 +0000

Google DNS

El gigante de Internet ha anunciado una importante actualización para Google DNS, el servicio público de servidores de nombres de dominio que a partir de ahora incluirá el protocolo DNS sobre TLS para mejorar la seguridad y privacidad para el tráfico DNS entre los usuarios y sus resolutores. 

DNS es un importante protocolo de Internet utilizado por computadoras, servicios o cualquier recurso conectado a redes. Tiene varios usos, pero el principal es el de resolver la IP de la página web o servicio que utilicemos, asignando nombres a direcciones IP. Un ejemplo práctico es la dirección IP del portal web principal de Google (216.58.210.163). La mayoría de la gente llega a este equipo especificando www.google.com y no la dirección IP. Las ventajas son obvias, además de ser más fácil de recordar, el nombre es más fiable ya que la dirección numérica podría cambiar.

Los servidores DNS son los equipos dedicados a manejar este protocolo. Actúan como medio de intercomunicación entre el usuario y las páginas web que vayamos visitando y cuentan con bases de datos enormes en las que están registradas las relaciones entre dominios y sus respectivas direcciones IP. Google ofrece un servicio público para ello (8.8.8.8 y 8.8.4.4) que se ha convertido en el más usado del mercado en sus ocho años de servicio.

Casi todas las actividades en Internet comienzan con una consulta de DNS y dado que las consultas se envían en texto a través de UDP o TCP sin cifrado, la información puede revelar los sitios web que visita un individuo y es vulnerable a los ataques de suplantación de identidad.

Para solucionar este problema, Google DNS soportará el protocolo DNS sobre TLS, lo que significa que las consultas y respuestas de DNS se comunicarán a través de conexiones TCP cifradas con TLS, (la misma tecnología que protege las conexiones web HTTPS) mejorando la seguridad y privacidad.

Google no es el primero en ofrecer DNS sobre TLS. El año pasado, Cloudflare, la reconocida compañía de seguridad también lanzó su nuevo “1.1.1.1”, que admite tanto DNS sobre TLS como DNS-sobre-HTTPS para garantizar la máxima privacidad.

La función ya está disponible para dispositivos que ejecuten la última versión del sistema operativo móvil Android 9 Pie. Simplemente sitúa “dns.google” como el servidor DNS privado en la configuración de redes del terminal. Suponemos la función se ampliará a otros sistemas.

Más información | AnuncioDocumentación

por Juan Ranchal Thu, 10 Jan 2019 23:02:03 +0000

hackeo a políticos alemanes

Un estudiante alemán de 20 años ha sido detenido por el hackeo a políticos alemanes, periodistas y celebridades del mes de diciembre, uno de los peores sucesos de este tipo sucedidos en el país.

El joven ha admitido el robo de datos y su publicación en Internet. Según la fiscalía alemana, “dice que actuó solo al obtener ilegalmente información y publicarla”. Hasta el momento no hay indicios de que otras personas o grupos hayan estado involucrados, aunque se está analizando un portátil, almacenamiento externo y otro equipamiento informático requisado.

El joven dijo “estar molesto por las declaraciones públicas hechas por políticos, periodistas y personalidades públicas” para explicar el robo de datos. Aunque la información adquirida ilegalmente pertenecía a legisladores de todos los partidos del Parlamento alemán con excepción del ultraderechista Alternativa para Alemania, no se ha encontrado “prueba concreta alguna de una motivación política particular”, comentan las autoridades.

Sin antecedentes penales y sin especiales conocimientos en computación o ciberseguridad, no se ha detallado como el acusado pudo robar datos personales de 1.000 personas públicas, incluida la canciller Angela Merkel y políticos de todos los partidos excepto el mencionado de ultraderecha.

Conocido en Twitter como “G0d”, publicó en el sitio de microblogging datos personales y financieros, números de teléfono, chats privados y cartas, algunos datos de tarjetas de crédito, direcciones y copias de los documentos de identidad de las víctimas. De ser hallado culpable podría ser condenado a tres años de cárcel.

En una de las violaciones de datos más grandes de la historia del país, especialmente por la relevancia de las personas afectadas, todavía se está en proceso de eliminar los datos expuestos en Internet. Aunque la investigación no se ha cerrado, no hay indicios de que se haya divulgado información que se considere políticamente explosiva o que incremente los riesgos de seguridad.

La ministra de Justicia, la socialdemócrata Katarina Barley, calificó el robo de datos como un “ataque a nuestra democracia y sus instituciones”. Al tiempo, el impopular ministro de Interior, Horst Seehofer, ha sido criticado por la tardanza en avisar a las personas afectadas en un caso que ha levantado una gran polvareda en Alemania.

por Juan Ranchal Wed, 09 Jan 2019 09:34:16 +0000

USB Type-C mejorará la seguridad

USB Type-C mejorará la seguridad con un programa de autenticación de cableado, cargadores y accesorios que trabajen sobre la versión más avanzada del puerto de interconexión de periféricos.

Estrenado en 2016, el avance de USB Type-C ha sido imparable en todo tipo de dispositivos electrónicos y se espera se convierta en el gran estándar y único, una vez que vayan llegando al mercado nuevos equipos. Sus ventajas son amplias y conocidas, desde su conector reversible funcionando en cualquier posición, la carga de energía escalable, un enorme aumento de rendimiento y la posibilidad de soportar otros protocolos moviendo datos desde soportes nativos Thunderbolt 3, DisplayPort 1.2 o HDMI 2.

Una de las características presentadas en el lanzamiento del nuevo puerto, pero que faltaba por implementar, era el USB Type-C Authentication, cuyo lanzamiento anunció la semana pasada la organización promotora del estándar USB Implementers Forum. 

La característica está destinada a mejorar la seguridad virtual y física. La primera contra el malware que utiliza el puerto USB como medio de ataque, permitiendo a los fabricantes su implementación para que los puertos solo trabajen con dispositivos como pendrives, certificados. USB-IF ha seleccionado a la compañía de seguridad DigiCert para administrar los servicios de PKI y de autoridad de certificación para el programa. 

El nuevo protocolo también refuerza la seguridad física, evitando el riesgo de temperatura y/o voltaje de algunos cargadores o cableados baratos que en el pasado han “frito” literalmente las baterías o los mismos dispositivos.

Autenticación para cableado USB Type-C

El programa de autenticación para cableado USB Type-C no es de obligado cumplimiento, sino que se trata de una capa de seguridad agregada opcional que podrán implementar los fabricantes que lo deseen y usarlo los usuarios que así lo estimen. Entre las características incluidas podemos señalar:

  • Un protocolo estándar para la autenticación de cargadores, dispositivos, cables y fuentes de alimentación USB Type-C certificados. 
  • Soporte para la autenticación a través de un bus de datos USB o canales de comunicación de entrega de alimentación USB. 
  • Seguridad de 128 bits para todos los métodos criptográficos utilizados. 
  • La especificación cumple los métodos de cifrado aceptados internacionalmente para el formato de certificados, firma digital, hash y generación de números aleatorios. 

El uso de este programa requiere nuevos cableados y cargadores y la certificación correspondiente por los fabricantes en el conector de los equipos. Es opcional, como decíamos, aunque suponemos terminará siendo “obligatorio” en ámbitos profesionales y corporativos.

por Juan Ranchal Sun, 06 Jan 2019 23:02:47 +0000

Secuestro de Chromecast

Miles de Chromecast fueron secuestrados por dos hackers conocidos como Giraffe y J3ws3r, para alertar a los usuarios de la posibilidad de recibir ataques hijacking aprovechando vulnerabilidades de seguridad del dispositivo y los enrutadores a los que se conecta.

El bug, denominado CastHack, explota vulnerabilidades en el conjunto de protocolos de comunicación UPnP, que permiten a periféricos en red, como computadoras personales, impresoras, streamers, pasarelas de Internet, puntos de acceso Wi-Fi o dispositivos móviles, descubrir de manera transparente la presencia de otros dispositivos en la red y establecer servicios de red de comunicación, compartición de datos y entretenimiento. 

Los hackers secuestraron los streamers de Google y le obligaron a mostrar un aviso emergente en el smart tv conectado, advirtiendo al usuario que su enrutador estaba mal configurado y con ello expuestos a ataques aprovechando las vulnerabilidades en los protocolos de Universal Plug and Play.

Secuestro de Chromecast

“Hemos recibido informes de usuarios que han tenido un video no autorizado reproducido en sus televisores a través de un dispositivo Chromecast… Esto no es un problema específico de Chromecast, sino que es el resultado de la configuración del enrutador que hace que los dispositivos inteligentes, incluidos los streamers sean accesibles públicamente”, ha explicado un portavoz de Google a TechCrunch.

Por un lado, eso es cierto, porque el mismo tipo de vulnerabilidad fue utilizada para secuestrar impresoras. Sin embargo, la explicación de Google no aborda el problema subyacente: se puede engañar al Chromecast para que un atacante no autenticado pueda secuestrar un flujo de medios y mostrar en el televisor del hogar el contenido que quiera. Además, la firma de consultoría de seguridad Bishop Fox, ya descubrió un secuestro de Chromecast en 2014, poco después del lanzamiento del streamer. 

Los hackers han comentado que deshabilitar el UPnP debería solucionar el problema, pero esto ha sido discutido por algunos expertos.

por Juan Ranchal Thu, 03 Jan 2019 23:02:19 +0000