El error de Facebook de iOS retrató secretamente a los usuarios. TI, toma nota.

El error de Facebook de iOS retrató secretamente a los usuarios. TI, toma nota.

El error de Facebook de iOS retrató secretamente a los usuarios. TI, toma nota.

Informes de noticias publicados la semana pasada, más tarde confirmados por un tweet ejecutivo de Facebook, que la aplicación de Facebook iOS registra a los usuarios sin previo aviso, debería actuar como un administrador crítico para las empresas corporativas de TI y seguridad de que los dispositivos móviles son tan riesgosos como lo eran . Y un error completamente diferente que los cybert han plantado presenta problemas aún más aterradores con las cámaras espía de Android.

Sobre el tema de iOS  , un tweet de Guy Rosen , Vicepresidente de Honestidad en Facebook (Continúa y agrega la broma de que Facebook tiene un Vicepresidente de Integridad; esto es una oportunidad demasiado fácil para mí), dijo: “Recientemente encontramos una aplicación para iOS que era Comenzó incorrectamente. Cuando reparamos el v246 la semana pasada, accidentalmente reparamos un error en el que la aplicación cambia parcialmente a la pantalla de la cámara cuando se escucha una foto. No tenemos evidencia de fotos / videos subidos. Aqui

Lo siento si no acepté de inmediato que la foto fuera un error o que Facebook no tuviera una pantalla para descargar fotos / videos. Cuando se trata de cambios en su privacidad y las intenciones reales detrás de ellos, no es muy grande. Echa un vistazo a esta  historia de Reuters a principios de mes,  citando documentos judiciales que dicen que “Facebook comenzó a restringir el acceso de los desarrolladores de aplicaciones a la información del usuario a partir de 2012 para eludir a los competidores potenciales al presentar cambio para el público en general a favor de la privacidad del consumidor “. Y, por supuesto, ¿quién puede olvidar  Cambridge Analytica ?

En este caso, sin embargo, la intención es irrelevante. Esta situación es solo un recordatorio de lo que pueden hacer las aplicaciones si nadie presta atención.

Esto está de  acuerdo con un resumen bien elaborado de  The Next Web  (TNW) : “El problema se debe a un error que muestra la entrada de la cámara en un pequeño bloque en el lado izquierdo de la pantalla cuando abre la imagen en la aplicación y la arrastra hacia abajo.

Todo comenzó cuando un usuario de iOS Facebaook llamado Joshua Maddux tuiteó sobre su aterrador descubrimiento. “En el material que compartió, se puede ver cómo su cámara está trabajando activamente en segundo plano mientras se desplaza por su alimentación”.

Parece que la aplicación FB para Android no realiza la misma actividad de video, o si está en Android, es mejor ocultar su comportamiento secreto. Si la situación es que esto solo ocurre en iOS, esto sugiere que realmente solo puede ser un accidente. De lo contrario, ¿por qué FB no lo haría para ambas versiones de su aplicación?

En cuanto a la vulnerabilidad de iOS, tenga en cuenta que Rosen no dijo que el problema se solucionó o incluso se prometió cuando se solucionó, parece depender de una versión específica de iOS. Del informe de TNW: “Maddux agrega que encontró el mismo problema en cinco iPhones con iOS 13.2.2 pero no pudo replicarlo en iOS 12.” Observo que el iPhone que ejecuta iOS 12 no ve la cámara, no dicen que no se usa “, dijo. Los hallazgos están en línea con los negocios de [TNW]. [Aunque] los iPhones de iOS 13.2.2 realmente muestran 13.1.3 También notamos que el problema solo ocurre si le das a la aplicación de Facebook acceso a la cámara, si no, parece que la aplicación de Facebook está intentando acceder a ella, pero iOS está bloqueando el negocio “.

¿Qué tan raramente sucede que la seguridad de iOS vaya y ayude, pero parece?

Sin embargo, desde una perspectiva de seguridad y cumplimiento es impactante. Independientemente de la intención de Facebook, la situación permitirá que la videocámara de su teléfono o tableta cobre vida en cualquier momento y comience a capturar lo que está en la pantalla y dónde están sus dedos. ¿Qué pasa si el empleado está trabajando en una nota de pedido muy sensible en este momento? El problema obvio es, ¿qué sucede si Facebook se descompone y este segmento de video se encuentra en el mercado negro para que los ladrones lo compren? ¿Le gustaría tratar de explicar  esto a  CISO, al CEO o al gobierno?

Peor aún, ¿qué pasa si no se trata de una violación de seguridad de Facebook? ¿Qué pasa si el ladrón olía a comunicación mientras llevaba a un empleado de su teléfono a Facebook? Esperamos que la seguridad de Facebook sea bastante sólida, pero la situación permitirá capturar datos a lo largo de la ruta.

Escenario 2: ¿Qué sucede si le roban su dispositivo móvil? Digamos que un empleado creó el documento correctamente en un servidor empresarial al que se puede acceder a través de una buena VPN. Al capturar información mientras se escribe video, se omiten todos los mecanismos de seguridad. El ladrón ahora puede usar este video, que proporciona fotos de la nota. 

¿Qué pasa si un empleado descarga un virus que comparte todo en el teléfono con un ladrón? Los datos se han ido de nuevo.

Debe haber una manera para que el teléfono emita una alarma cada vez que la aplicación intente usarla, y una forma de apagarla antes de que ocurra. Para entonces, CISO probablemente no duerma bien.

El problema de Android es muy diferente a usar tu teléfono de una manera muy traviesa. Investigadores de seguridad  de CheckMarx publicaron un informe  que mostró cómo los atacantes pueden pasar por alto  todos los  mecanismos de seguridad y para apoderarse de la cámara.

“Después de revisar una aplicación detallada de Google Camera, nuestro equipo descubrió que al manipular ciertas acciones e intenciones, un atacante podía controlar una aplicación para tomar fotos y / o grabar videos a través de una aplicación deshonesta que no estaba autorizada. También descubrimos que algunos escenarios de ataque permiten derechos de grabación al darles acceso a videos e imágenes grabados, así como a metadatos GPS integrados en imágenes para encontrar al usuario tomando una foto o video y analizando la información EXIF ​​adecuada rmatsiya. “Por lo tanto, nuestros investigadores decidió por medio de fraude en la solicitud puede forzar la aplicación de la cámara para tomar fotos y grabar video, incluso cuando el teléfono está bloqueado o la pantalla está apagada.

El informe analiza los detalles del enfoque de ataque.

“Se sabe que las aplicaciones de cámara de Android tienden a almacenar sus fotos y videos en una tarjeta SD. Las fotos y videos son datos confidenciales del usuario, las aplicaciones deben ser utilizadas por derechos especiales. Derechos de  grabación . Desafortunadamente, los derechos de grabación son muy altos. de ancho, y estos permisos dan acceso a  toda la tarjeta SD . Esta es una gran cantidad de aplicaciones que tienen un uso legítimo y requieren acceso a este almacenamiento pero no tienen ningún interés particular en fotos o videos, de hecho, es uno de los permisos más solicitados yoEsto significa que una aplicación fraudulenta puede tomar fotos y / o videos sin acceso especial a una cámara y solo necesita derechos de almacenamiento para ir un paso más allá y recuperar fotos y videos después de tomarlos. Además, si la ubicación está habilitada en la aplicación de la cámara, la aplicación deshonesta también tiene una forma de llegar a la posición GPS actual del teléfono y del usuario, “el informe dice”. Por supuesto, el video también contiene audio. Fue interesante demostrar que el video se puede iniciar durante una llamada de voz. Pudimos grabar fácilmente la voz del destinatario durante la llamada y también pudimos grabar la voz de la persona que llama.

Y sí, los detalles adicionales lo hacen aún más aterrador: “Cuando un cliente inicia una aplicación, generalmente establece una conexión continua con el servidor C&C y espera los comandos e instrucciones del atacante que usa la consola del servidor C&C desde cualquier lugar. Incluso cerrar la aplicación lo hace

En resumen, estos dos casos ilustran los magníficos agujeros en la seguridad y la privacidad en la mayoría de los teléfonos inteligentes de hoy. Si TI posee estos teléfonos o si los dispositivos son BYOD (propiedad de los empleados) no importa aquí. Cualquier  producto creado en el dispositivo puede ser robado fácilmente. Y dado que la parte de rápido crecimiento de toda la información comercial se está moviendo a dispositivos móviles, esto debe corregirse y corregirse ayer.

Si Google y Apple no lo arreglan, dado que es poco probable que afecten las ventas, ya que tanto iOS como Android tienen esas aperturas, Google y Apple no tienen mucho incentivo financiero para actuar rápidamente, CISO debería considerar la acción directa. La única ruta viable puede ser crear aplicaciones domésticas (o convencer a un gran ISV para que lo haga para todos), lo que establece sus propios límites.

Leave a Reply

Your email address will not be published. Required fields are marked *