Falla de seguridad en teléfonos Qualcomm

Se ha detectado una vulnerabilidad que está poniendo en riesgo a millones de smartphones Qualcomm con Android.

El fallo de seguridad descubierto por un equipo de seguridad chino y al que se le ha bautizado como «QualPwn», tiene la particularidad de permitir ataques sin que los usuarios tengan que acceder a algún sitio web o abrir archivos. Los atacantes obtienen acceso al módem del equipo sin que los usuarios estén al tanto de ello.

Google ha liberado ya un parche de seguridad con el fin de mitigar la vulnerabilidad, sin embargo no hay un comunicado oficial por parte de ambas compañías.

Si usted cuenta con un móvil de esta marca, debe actualizar su equipo lo antes posible, de lo contrario será vulnerable.


Google recopila datos de menores en YouTube y pagará multa

El gigante tecnológico acordó con el gobierno de los Estados Unidos pagar una multa, de la cual aún no se precisan las cifras, pero que se sabe ascenderá a millones de dólares, debido a que no tomó las medidas adecuadas para evitar que menores de edad no tengan acceso a imágenes inapropiadas en su plataforma YouTube, infringiendo de esta manera las leyes de protección en línea de los menores en ese país. Por otra parte, se denuncia que a través de los datos que recopilaba, Youtube dirigía anuncios publicitarios a los menores con el fin de obtener ganancias económicas.

Este proceso inició desde abril de 2018, cuando grupos en defensa de los derechos de los niños denunciaron ante la FTC que Google recopilaba información personal de menores de 13 años, incluyendo entre otros: números de teléfono, ubicaciones, identificadores de dispositivos; y con ellos rastreaba a los menores sin su consentimiento, invadiendo su privacidad. Google argumenta que la plataforma es solo para mayores de 13 años, sin embargo, los demandantes consideraban que no existen mecanismos de control para aplicar esta política e impedir el acceso de menores la plataforma.

Al momento de esta publicación, la única forma de controlar los contenidos a los que acceden los niños es que los padres utilicen técnicas de filtrado de contenido. Además de YouTube, Google tiene una plataforma orientada exclusivamente a niños llamada YouTube Kids, la cual lanzó en 2015 y está diseñada para mostrar contenido y anuncios apropiados para los menores.

Previendo futuras demandas, Google está considerando trasladar todos los contenidos dirigidos a menores de su plataforma hacia Youtube Kids.

YouTube retira listas de reproducción con nombres lascivos que sexualizaban vídeos de menores

De acuerdo con un informe del organismo catalán Consell de l’Audiovisual de Catalunya(CAC) se detectaron ocho listas de reproducción con vídeos explícitos de menores y nombres obscenos en YouTube. La plataforma, las ha retirado y se le ha instado a adoptar nuevas medidas para evitar que esto suceda.

YouTube señaló que «ningún tipo de contenido que pone en peligro a menores es aceptable en la plataforma y tenemos políticas claras que lo prohíben». La compañía eliminó las listas y canceló las cuentas de los autores. La mayoría de ellos, según YouTube, no viola sus políticas, por lo tanto siguen presentes, muchos con millones de visualizaciones.

Roger Loppacher, presidente del CAC, ha recomendado a los usuarios que extremen la prudencia con los vídeos protagonizados por menores.
«Conviene subrayar el hecho de que en el mismo momento en que se sube un contenido personal o familiar en una plataforma se pierde el control, y la imagen de nuestros hijos o hijas puede terminar, sin saberlo, en una lista de tipo sexual», ha advertido.

Según el CAC, con la retirada de estas listas son ya 108 los contenidos perjudiciales de internet que las plataformas han retirado a instancias del Consell Audiovisual de Catalunya en ámbitos como la pornografía infantil, la anorexia y la bulimia, la violencia machista, la incitación al suicidio, la pedofilia o la homofobia.

«Agent Smith»: malware “disfrazado” como aplicación de Google

¿Se acuerdan del agente Smith? Era el personaje ficticio de la trilogía cinematográfica The Matrix. Pues así han bautizado a un malware que está causando muchos dolores de cabeza. El malware «Agent Smith» aparenta ser una aplicación de Google y aprovechándose de vulnerabilidades conocidas, reemplaza de forma automática las aplicaciones instaladas en los dispositivos Android por versiones con código malicioso sin que el usuario lo note.

Este malware ya ha infectado a más de 25 millones de dispositivos, según la firma de seguridad Check Point. El malware muestra anuncios fraudulentos, pero según Check Point «también podría utilizarse fácilmente para fines mucho más intrusivos y perjudiciales, como el robo de credenciales bancarias y las escuchas clandestinas».

El malware busca aplicaciones conocidas en el dispositivo, como WhatsApp, Opera Mini o Flipkart, y luego reemplaza partes de su código evitando que se actualicen.

El malware se “esconde” dentro de «aplicaciones de fotos, juegos o aplicaciones relacionadas con el sexo que apenas funcionan», señaló Check Point. Después de que un usuario descargue alguna de ellas, el malware se disfrazaría como una aplicación relacionada con Google, con un nombre como «Google Updater», y luego comenzaría el proceso de reemplazo del código.

Check Point señala que «ha trabajado codo con codo con Google y en este momento no queda ninguna aplicación infectada en Play Store».

Cuidado con este malware «disfrazado» de juego

El juego “Scary Granny ZOMBYE Mod: The Horror Game 2019” para Android está robando datos de Google y Facebook de sus usuarios. La aplicación maliciosa intenta desviar datos y dinero de las víctimas hacia ciberdelincuentes. Se recomienda eliminar esta aplicación inmediatamente de tus dispositivos.

Este juego pasó desapercibido para el equipo de revisión de Google Play. Google utiliza un sistema de detección de malware para verificar nuevas aplicaciones que se cargarán a su Play Store, sin embargo esta aplicación evadió la verificación ya que simulaba ser un juego totalmente funcional, sin embargo después de un período de dos días de instalarse, el malware es activado.

La aplicación, aparentemente basada en otro exitoso juego para Android llamado Granny, lanza un ataque de phishing contra el dispositivo de destino, mostrando una notificación que solicita al usuario que actualice sus servicios de seguridad de Google. Cuando el usuario está de acuerdo, presenta una página de inicio de sesión falsa para robar sus credenciales.

Falsa notificación y phishing (Fuente: https://www.bleepingcomputer.com/)

El código de phishing utiliza un navegador integrado en la aplicación para acceder a la cuenta del usuario y descargar sus correos electrónicos y números de teléfono de recuperación, además de códigos de verificación, cookies y tokens (que podrían brindar a los atacantes acceso a aplicaciones de terceros).

Encuentran en Google Play miles de apps piratas que tienen ‘malware’

Según el diario Excelsior, se ha detectado la presencia de más de 2,000 aplicaciones para Android presentes en la tienda oficial Google Play que se hacen pasar por otras ‘apps’ conocidas.

Un estudio realizado durante dos años por la Universidad de Sydney y un grupo de investigadores de ciberseguridad analizó 1.2 millones de aplicaciones de Google Play con el objetivo de determinar cuántas de ellas son «falsificaciones que se hacen pasar por apps populares para intentar confundir a los usuarios».

Se han encontrado un total de 49,608 aplicaciones en Google Play que presentan una «alta semejanza» con el ‘software’ más popular de la plataforma. De estas, 2,040 aplicaciones no solo son réplicas de otras ya existentes, sino que además contienen ‘malware’.

Privacidad. Así subasta Google tus datos online

Con información de El País Retina

Varios países han denunciado a Google y la industria de la publicidad online por vulneración masiva de la privacidad en el proceso de asignación de anuncios en línea. Te explicamos cómo funciona y qué información comparten.

Entras en un buscador, realizas una búsqueda y, en milésimas de segundos, tus datos se envían a miles de terceros, que hacen pujas en tiempo real para enviarte publicidad personalizada. Ocurre a diario y hasta decenas de veces por persona (cada vez que haces clic). Miles de millones de datos de cada usuario online que llegan a sistemas de subasta de anuncios segmentados en tiempo real. Una “profunda fuga masiva de datos”, según las organizaciones que este mes han interpuesto denuncias en España y otros países europeos contra la industria de la publicidad online, especialmente Google.

Les acusan de no cumplir el Reglamento General de Protección de Datos (RGPD). “Siguen utilizando el sistema de subasta en tiempo real para compartir datos personales con terceros, sin conocimiento ni control por parte de los usuarios”, señala Gemma Galdon, presidenta de la Fundación Éticas, dedicada a la realización de estudios y actividades de concienciación sobre cómo impactan las nuevas tecnologías en la sociedad.

Galdon y Diego Fanjul, de Finch Abogados, son quienes han interpuesto la denuncia en la Agencia Española de Protección de Datos, en el marco de la campaña Fix AdTech que busca “hacer que la publicidad en internet sea mejor y más fiable y segura”. Otros colegas han hecho lo propio en Luxemburgo, Bélgica y Países Bajos. Meses atrás lo hicieron Reino Unido, Polonia e Irlanda, que ha anunciado una investigación por presuntas infracciones por parte del negocio de intercambio de publicidad de Google.

“Es muy grave. Hablamos de la mayor vulneración de datos de la historia en términos de volumen”, sostiene Galdon. La experta -también fundadora de Eticas Research and Consulting- explica que estos sistemas recogen información sobre todos los movimientos online de cada usuario para completar su perfil, al que los corredores de datos (data brokers) tienen acceso, en un sistema de pujas, sin que las personas a quienes pertenecen dichos datos tengan ningún tipo de control.

Cómo funciona

Un usuario X -tú, que lees este artículo, por ejemplo- entra a una web cualquiera. Los datos de su perfil online van a parar a un servidor de anuncios. Después llega a un sistema de oferta de espacios publicitarios e impresiones. Y luego a otro de intercambio de anuncios (que conecta los datos de las diferentes demandas que lanzan los anunciantes con los de los espacios publicitarios). Finalmente, una de esas demandas de anuncio segmentado será escogida y se mostrará al usuario que realiza la búsqueda y obtendrá de X nuevos datos para completar la información que ya tiene sobre este.¿Qué información se envía? Tal y como explica uno de los impulsores de Fix AdTech -el director de Política y Relaciones con la Industria del navegador Brave, Johnny Ryan- los datos de cada usuario que reciben esos miles de terceros son:

  1. Tu historial de búsqueda. Lo que ves, miras o escuchas.
  2. Categorías de contenido: cualquier cosa que hayas buscado por cualquier motivo y por sensible o íntima que sea se asocia a tu persona bajo categorías como incesto, abuso de drogas, infertilidad, salud mental, si eres de izquierdas o de derechas…
  3. Tu identificador (ID) pseudónimo único, que oculta tu identidad pero permite que se te reconozca bajo ese ID en siguientes visitas.
  4. Dicho ID asociado al perfil de ti que tienen los compradores de anuncios.
  5. Tu geolocalización.
  6. Una descripción de tu dispositivo.
  7. Tu dirección IP (en algunos casos, dependiendo del sistema pujas el tiempo real usado).

Ryan destaca la posibilidad y alta probabilidad de que los diferentes actores implicados en el proceso de subasta conecten toda la información de la que disponen sobre ti para tener un perfil más completo. Una de las consecuencias es que cada persona online puede ser ampliamente perfilada. Galdon destaca la gravedad de recopilar toda esta información. “Solo con la dirección IP ya tienen un identificador único que pertenece a tu dispositivo y que, por tanto, pueden asociar a tu nombre y apellido”, señala.

La experta insiste en la vulneración del RGPD que esto supone y acusa a industria de la publicidad online de no haber hecho ningún esfuerzo por adaptarse al reglamento. “Es una pena tener que ir a los tribunales para que se adapten a la legislación vigente”, asegura. Entiende que les cueste, ya que es un ataque a su modelo de negocio y les obliga a reinventarse, pero considera que eso no constituye un atenuante.

Más información en El País Retina