Monthly Archives: May 2020

Thunderspy: una serie de ataques contra equipos con Thunderbolt

Posted on by

Hace poco se dio a conocer información sobre siete vulnerabilidades que afectan a equipos con Thunderbolt, estas vulnerabilidades conocidas fueron catalogadas como “Thunderspy” y con ellas un atacante puede hacer uso para eludir todos los componentes principales garantiza la seguridad Thunderbolt.

En función de los problemas identificados, se proponen nueve escenarios de ataque que se implementan si el atacante tiene acceso local al sistema mediante la conexión de un dispositivo malicioso o la manipulación del firmware del equipo.

Los escenarios de ataque incluyen la capacidad de crear identificadores para dispositivos Thunderbolt arbitrarios, clonar dispositivos autorizados, acceso aleatorio a la memoria del sistema a través de DMA y anular la configuración del nivel de seguridad, incluida la desactivación completa de todos los mecanismos de protección, bloquear la instalación de actualizaciones de firmware y traducir la interfaz al modo Thunderbolt en sistemas limitados al reenvío a través de USB o DisplayPort.

Sobre Thunderbolt

Para quienes desconocen de Thunderbolt, deben saber que esta es una interfaz universal que sirve para conectar periféricos que combina las interfaces PCIe (PCI Express) y DisplayPort en un solo cable. Thunderbolt fue desarrollado por Intel y Apple y se usa en muchas computadoras portátiles y PC modernas.

Los dispositivos Thunderbolt basados ​​en PCIe cuentan con I/O de acceso directo a memoria, lo que representa una amenaza de ataques DMA para leer y escribir toda la memoria del sistema o capturar datos de dispositivos cifrados. Para evitar tales ataques, Thunderbolt propuso el concepto de “Niveles de seguridad”, que permite el uso de dispositivos solo autorizados por el usuario y utiliza la autenticación criptográfica de las conexiones para proteger contra el fraude de identidad.

Sobre Thunderspy

De las vulnerabilidades identificadas, estas hacen posible el poder evitar dicho enlace y conectar un dispositivo malicioso bajo la apariencia de uno autorizado. Además, es posible modificar el firmware y transferir SPI Flash al modo de solo lectura, que se puede utilizar para desactivar completamente los niveles de seguridad y evitar actualizaciones de firmware (se han preparado las utilidades tcfp y spiblock para tales manipulaciones).

  • El uso de esquemas de verificación de firmware inadecuados.
  • Usar un esquema de autenticación de dispositivo débil.
  • Descargar metadatos de un dispositivo no autenticado.
  • Existencia de mecanismos para garantizar la compatibilidad con versiones anteriores, permitiendo el uso de ataques de reversión en tecnologías vulnerables.
  • Usar parámetros de configuración de un controlador no autenticado.
  • Defectos de interfaz para SPI Flash.
  • Falta de protección en el nivel de Boot Camp.

La vulnerabilidad aparece en todos los dispositivos equipados con Thunderbolt 1 y 2 (basado en Mini DisplayPort) y Thunderbolt 3 (basado en USB-C).

Todavía no está claro si aparecen problemas en dispositivos con USB 4 y Thunderbolt 4, ya que estas tecnologías solo se anuncian y no hay forma de verificar su implementación.

Las vulnerabilidades no pueden ser reparadas por el software y requieren el procesamiento de componentes de hardware. Al mismo tiempo, para algunos dispositivos nuevos, es posible bloquear parte de los problemas relacionados con DMA utilizando el mecanismo de protección DMA Kernel, cuyo soporte se ha introducido desde 2019 (se ha admitido en el kernel de Linux desde la versión 5.0, puede verificar la inclusión a través de /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection“).

Finalmente, para poder probar todos aquellos dispositivos en los que se tenga duda si son susceptibles a estas vulnerabilidades, se propuso un script llamado “Spycheck Python”, que requiere ejecutarse como root para acceder a la tabla DMI, ACPI DMAR y WMI.

Como medidas para proteger los sistemas vulnerables, se recomienda que no se deje el sistema desatendido, encendido o en modo de espera, además de que no conecte otros dispositivos Thunderbolt, no se deje ni transfiera sus dispositivos a extraños y además se brinde protección física para sus dispositivos.

Además de que si no hay necesidad de usar Thunderbolt en el equipo, se recomienda deshabilitar el controlador Thunderbolt en UEFI o BIOS (aun que se menciona que se puede provocar la inoperancia de los puertos USB y DisplayPort si estos se implementan a través del controlador Thunderbolt).

Fuente: https://blogs.intel.com

from Linux Adictos https://ift.tt/2LnkO2A
via IFTTT

Sony solo vendió 400.000 Xperia durante los 3 primeros meses de 2020, el número más bajo de toda su historia

Posted on by

El mercado de la telefonía móvil está en crisis. No solo por la culpa de COVID-19 sino también por otros motivos, como por ejemplos los cada vez mayores precios de los smartphones. Durante el pasado mes de febrero las ventas han caído un 13,9% si las comparamos con el mismo mes del año pasado y esto evidentemente está afectando mucho más a unas marcas que a otras.

Mientras que Samsung, Apple y Xiaomi consiguen colocar sus dispositivos entre lo más vendido de 2020, otras firmas míticas no están teniendo tanta suerte. Es el caso de Sony que ve como sus números no son los deseados y es que en lo que llevamos de año, la firma japonesa ha logrado las ventas más bajas de toda su historia.

Las ventas de los smartphones Sony no consiguen arrancar, ¿culpa del COVID-19?

Sony Xperia 5 trasera

Es curioso que una marca con tanto renombre como Sony, líder en sectores como televisores, cámaras o servicios de entretenimiento como consolas, no consiga obtener las mismas ventas en el mercado de los smartphones. A pesar de que no hay duda de que sus dispositivos cuentan con una gran calidad, hay algo que hace que los consumidores no logren apostar por la firma japonesa.

Hace unos días el presidente de la división móvil de Sony reconoció que la compañía estaba en proceso de transformación, de importantes cambios organizativos. Eso sí, todo ello sin perder la esencia original de la compañía tal y como se ha demostrado con los nuevos terminales presentados hace apenas unos meses.

A pesar de todo ello, los números son los que son y sinceramente no son nada buenos. Tal y como leemos en Phone Arena, Sony ha hecho público que tan solo ha vendido unas 400.000 unidades de móviles en solo tres meses, de enero a marzo de 2020. El informe de la compañía es preocupante ya que representa los números más bajos en la historia de la firma japonesa.

Lo cierto es que Sony tampoco venía de hacer números tan malos. Nada que ver con los de otras firmas pero parecía que la compañía estaba remontando el vuelo poco a poco. Más de 3 millones de unidades vendidas durante el pasado año fiscal. Tampoco algo tan mal para una firma que muchos daban por muerta. Sin embargo el COVID-19 ha perjudicado los planes de la compañía que se lo juega todo a una carta, a que sus nuevos Xperia 10 II y Xperia 1 II se vendan más que decentemente.

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada Sony solo vendió 400.000 Xperia durante los 3 primeros meses de 2020, el número más bajo de toda su historia se publicó primero en Andro4all.

from Andro4all https://ift.tt/2T1ARHr
via IFTTT

Qué puede aprender Android del nuevo iPhone SE

Posted on by

Apple decidió presentar el iPhone SE 2020 hace poco, y este terminal se rige por el mismo concepto que el anterior iPhone SE: un diseño de un iPhone de hace años, con el procesador más nuevo de Apple y con el resto de hardware equilibrado, pero sin alardes. Y todo ello por menos de 500 euros. El iPhone más barato que puedes comprar ahora mismo en la tienda oficial.

Como sabemos ya a estas alturas, Apple no es una compañía que reaccione a los cambios del mercado rápidamente, pero, a cambio, todo lo que hace, lo hace tras haberlo pensado mucho. Y lo cierto es que si Apple decide lanzar un terminal de estas características al mercado, es por algo. Y hoy te vamos a enseñar qué es lo que el mundo Android puede aprender de este iPhone SE 2020.

iPhone SE

¿Qué puede aprender Android del iPhone SE 2020?

Si hay algo que este iPhone SE 2020 está despertando, son opiniones de todo tipo. Hay personas que, por una parte, afirman que este Apple A13 y su precio para ser un iPhone lo convierten en una mejor opción que un móvil Android del mismo precio. Mientras otros decimos que, en pleno 2020, un diseño de este estilo no tiene sentido ninguno. Aún no sabemos si alguien tiene razón o no, pero lo que está claro es que Apple va a venderlos como churros, y tiene su explicación. Fabricantes Android, tomad nota.

iPhone SE 2020
Especificaciones
Dimensiones 138,4 x 67,3 x 7,3 mm
148 gramos
Pantalla IPS LCD de 4,7 pulgadas HD (1.334 por 750 píxeles) True Tone
Procesador Apple A13 Bionic
RAM 3 GB
Sistema operativo iOS 13
Almacenamiento 64/128/265 GB
Cámaras Trasera: de 12 MP Apertura de ƒ/1,8, Zoom digital hasta x5, Modo Retrato con efecto bokeh avanzado y Control de Profundidad
Frontal: de 7 MP y apertura de ƒ/2,2
Batería Carga rápida de 18W, carga inalámbrica Qi
Otros TouchID, carga inalámbrica Qi, protección IP67

Gama alta + precio inferior a 500 euros = éxito

Quién nos iba a decir que en pleno 2020, Xiaomi y OnePlus lanzarían sus buques insignia a un precio bastante alto, y que Apple sería la que lanzara un dispositivo de lo más potente por menos de 500 euros. 2020 está siendo un año de locos, aunque esperamos que la segunda mitad sea mejor que la primera.

Si hay algo que hemos visto estos pasados años es que la fórmula de lanzar un terminal de gama alta a un precio contenido, le ha funcionado muy bien a muchos fabricantes, como, sin ir más lejos, Apple, que consiguió que el iPhone XR fuera el terminal más vendido del mundo en 2019.

Y, dejando las cosas claras, no hace falta que el dispositivo tenga la mejor pantalla QHD, ni el mejor sistema de audio del mercado. Apple supo escoger bien los componentes y la nomenclatura de este terminal, que no se llamó “iPhone XS Lite”, y que no incluía ningún indicativo en su nombre de que fuera un terminal inferior a sus otros dos hermanos de generación, aunque, de hecho, este fuera el caso.

note10

En este sentido, los fabricantes Android deberían aprender que, si recortan en algunos aspectos del terminal, reutilizan componentes de años pasados y escogen el mejor procesador que tengan a su alcance, todo ello bajando el precio, es muy posible que la jugada les vaya a salir tan bien como, previsiblemente, le va a salir a Apple.

Si el hardware es bueno, los usuarios podemos asumir algunos sacrificios

En línea con lo que estaba comentando en el apartado anterior, cuando compramos un móvil por 500 euros, muchos usuarios sabemos que este no nos va a ofrecer lo mismo que uno de mil euros. Y no pasa nada, es algo que se puede entender perfectamente. Al fin y al cabo, esto va de costes y márgenes de beneficios.

Y en este caso, el iPhone SE tiene varios aspectos que hacen que merezca la pena para muchos usuarios asumir compromisos. En primer lugar, tiene iOS, y el software de Apple es todo un tirón si tienes más productos del mismo ecosistema. Además de eso, el procesador que lleva en su interior, el Apple A13, es lo mejor que tiene Apple ahora mismo. Y esto puede hacer que algunos usuarios pasen por alto el tema del diseño, y si no, tiempo al tiempo. Además, el diseño del iPhone SE –el del iPhone 8, vaya– es bastante más equilibrado que el de otros terminales Android con marcos que pudiéramos poner de ejemplo, como el del Pixel 2.

Fotografia con Pixel 4

Pero ahora, imagina a Google lanzando un teléfono que va a recibir actualizaciones durante 5 años al mismo nivel que los buques insignia, con una sola cámara con la calidad que atesora Google en este sentido, y con un Snapdragon 865 por 500 euros. Personalmente, sería mi próximo móvil. Y me da igual no tener gran angular o telefoto, e incluso contar con unos marcos como los del Pixel 2 XL –más marcos no, por favor–, al fin y al cabo, sería un precio de derribo. Y es posible que el Pixel 4A cumpla muchos de esos requisitos, pero no parece que Google vaya a apostar por el Snapdragon 865. Echamos de menos el Nexus 5, y con razón.

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada Qué puede aprender Android del nuevo iPhone SE se publicó primero en Andro4all.

from Andro4all https://ift.tt/2WTpLWb
via IFTTT

Seguridad en aplicaciones Android. Al menos 4000 podrían filtrar datos

Posted on by

Cuando Apple anunció que sus dispositivos móviles usarían una tienda de aplicaciones como forma de instalar software, muchos creyeron que de esa forma se terminaba con gran parte de los problemas de seguridad informática. Google adoptó el mismo modelo para Android y Microsoft lo llevó al escritorio en Windows 8.

En realidad, la idea de Steve Jobs no era nueva. Las tiendas de aplicaciones no son otra cosa que los gestores de paquetes que los usuarios de Linux veníamos usando hace años. Y, tampoco es que haya servido demasiado.

Hace unos días, se publicó el informe de un grupo de investigadores que analizó 515,735 aplicaciones de Google Play, algo así como el 18% de las oferta disponible. De esas, al menos 4.282 aplicaciones tenían problemas de seguridad que permitiría filtrar información sensible. Si la extrapolación fuera válida, un total de 24000 aplicaciones presentarían el mismo problema.

Todas las fallas tienen un origen común; una plataforma propiedad de Google llamado Firebase. Pero, parece no ser culpa de Google si no errores de configuración por parte de los desarrolladores.

Firebase es una plataforma móvil que ayuda a los usuarios a desarrollar aplicaciones de forma rápida y segura. Ofrece una base de datos en tiempo real alojada en la nube que permite un fácil almacenamiento y sincronización de datos entre los usuarios.
Entre otras cosas, la plataforma facilita a los desarrolladores herramientas para:

  • Autenticación.
  • Alojamiento.
  • Almacenamiento en la nube.
  • Bases de datos en tiempo real.
  • Analítica.
  • Mensajes.
  • Integración de avisos.
  • Aprendizaje automático.

Se estima que Firebase es utilizado por un 30 por ciento de todas las aplicaciones de Google Play Store, lo que lo convierte en la solución de almacenamiento más popular para las aplicaciones de Android.

Seguridad en aplicaciones Android. El problema en números

El 4,8% de las aplicaciones para móviles que utilizan Google Firebase para almacenar los datos de los usuarios no están debidamente protegidas, lo que permite a cualquier persona acceder a las bases de datos que contienen la información personal de los usuarios, a los tokens de acceso y a otros datos sin necesidad de una contraseña o de cualquier otro tipo de autenticación.

Aunque el estudio se enfocó las aplicaciones para Android en Google Play Store, hay que tener en cuenta que Firebase es una herramienta multiplataforma que se utiliza en varios sistemas operativos y plataformas. Estas configuraciones erróneas probablemente afecten a muchas más aplicaciones más allá de Android.

Las aplicaciones con problemas de seguridad identificadas por los investigadores se instalaron al menos 4.220 millones de veces por los usuarios de Android. Se sabe que un teléfono inteligente tiene instalada entre 60 y 90 aplicaciones, lo que implica que cada uno de nosotros tiene una alta posibilidad de tener al menos una aplicación vulnerable.

Para tener una muestra de la magnitud de las exposiciones, tenemos estos datos:

  • +7000000 de cuentas de correo electrónico.
  • +4400000 de nombres de usuario.
  • +1000000 de contraseñas.
  • +5300000 de números de teléfonos.
  • +18300000 de nombres completos de los usuarios.
  • +6800000 de mensajes de chat.
  • +6200000 datos de GPS.
  • +156000 direcciones IP.
  • +560000 direcciones de calle.

De las 155.066 aplicaciones analizadas, 11.730 tenían bases de datos expuestas públicamente. 9.014 de ellas incluso incluían permisos de escritura, que permitirían a un atacante añadir, modificar o eliminar datos del servidor, además de verlos y descargarlos.

  • Estas vulnerabilidades permitirían a delincuentes informáticos.
  • Inyectar datos en una aplicación.
  • Usar las aplicaciones para prácticas de phishing.
  • Difundir el malware.
  • Corromper la base de datos de la aplicación.

Para hacerle las cosas más fáciles a los delincuentes, esas bases de datos se pueden encontrar en los buscadores

En diciembre pasado, un investigador de seguridad descubrió que las bases de datos expuestas de Google Firebase se podían hallaar en motores de búsqueda operado por otras empresas.

Alex “Ghostlulz” Thomas, investigador de seguridad independiente y ex analista de la empresa consultora de seguridad cibernética Bishop Fox, publicó en diciembre una entrada en su blog en el que demostraba cómo las bases de datos de Firebird mál configuradas, podían encontrarse y descargarse. Solo basta con añadir .json al final de la url para poder verlas.

Como usuarios podemos tomar algunas medidas para protegernos:

  • No reutilizar la misma contraseña en varias cuentas. Se recomienda usar un administrador de contraseñas para generar y almacenar contraseñas aleatorias fuertes.
  • Usar sólo aplicaciones confiables con un alto número de revisiones e instalaciones.
  • No compartir información personal sensible como direcciones, fotos de identificación del gobierno, números de seguro social, etc.

from Linux Adictos https://ift.tt/3fJmjWN
via IFTTT

¿Tú móvil tiene agujero en pantalla? Necesitas esta app

Posted on by

Las pantallas perforadas en móviles están de moda. Un rasgo que hasta hace no demasiado parecía exclusivo de los móviles más caros del mercado, es ahora un elemento de diseño que se extiende entre una buena parte de los terminales lanzados a lo largo de 2020, incluyendo aquellos más baratos.

Dejando a un lado debates sobre si el agujero en pantalla es mejor que otras alternativas, y viceversa, lo cierto es que la gran mayoría de fabricantes no parecen sacar partido de este añadido estético. Afortunadamente, existen herramientas de terceros que ofrecen la posibilidad de dar una utilidad real a este orificio.

Es el caso de Energy Ring, una vieja conocida en el mundillo de la personalización Android, que recientemente ha recibido una de las mayores actualizaciones de su historia, para convertirse en una app aún más útil, e imprescindible para todos aquellos que cuentan con un terminal con pantalla agujereada.

Energy Ring ahora funciona con aún más teléfonos con agujero en pantala

Agujero en pantalla con Energy Ring

Aquellos que aún no conozcan la aplicación, deben saber que Energy Ring es una herramienta que permite configurar un anillo indicador del nivel de batería alrededor del agujero en pantalla de nuestros teléfonos. Si bien en un inicio la app era compatible únicamente con unos pocos modelos de smartphone, gracias a su última actualización funciona con la gran mayoría de móviles que incorporan algún tipo de orificio en su pantalla. En la página de la app en Play Store, se especifican los siguientes modelos como móviles compatibles:

  • Samsung Galaxy A5, A71, S10 Lite, Z Flip, M40
  • OnePlus 8, OnePlus 8 Pro
  • Motorola Edge, Edge +, One Action, One Vision
  • OPPO Find X2 Pro
  • Vivo iQOO 3 5G
  • Xiaomi Mi 10, Mi 10 Pro, Redmi Note 9S
  • Huawei Honor 20, Honor View 20, P40 Lite, P40 Pro
  • Realme 6, Realme 6 Pro

En caso de tener alguno de los dispositivos que forman la lista anterior –también existen versiones de la app específicas para los Galaxy S20, Galaxy Note10 y Galaxy S10–, ya no tienes excusa para no sacar más partido al agujero en pantalla de tu terminal. En nuestro caso, hemos podido probarla tanto en un OnePlus 8 Pro como en un Samsung Galaxy Z Flip, y en ambos casos el funcionamiento ha sido el esperado.

Pese a la simplicidad de la aplicación, Energy Ring es muy personalizable, y entre sus opciones se incluyen la posibilidad de cambiar el grosor del anillo que rodea las cámaras, así como la opción de modificar los colores del anillo dependiendo del nivel de batería restante.

Más allá de eso, su creador afirma que la app apenas afecta al consumo de batería del dispositivo, dado que el anillo queda configurado de modo que solo se activa en aquellos momentos en los que el nivel de batería cambia*, y una vez aplicados los cambios necesarios, la app vuelve a “dormir”. Además, cuando la pantalla está apagada, el consumo de energía por parte de Energy Ring es básicamente inexistente.

La app se puede descargar totalmente gratis en Google Play, aunque existe una versión Pro que permite configurar determinados aspectos de la apariencia del anillo, como la posibilidad de añadir un color degradado. En cualquier caso, la versión gratuita será más que suficiente para la mayoría.

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada ¿Tú móvil tiene agujero en pantalla? Necesitas esta app se publicó primero en Andro4all.

from Andro4all https://ift.tt/2Z2x9RM
via IFTTT