Falla de seguridad en iPhone expone información del usuario

El iPhone no deja de estar en las noticias, el día de hoy (27 de agosto) en Gizmodo hay un post con video incluído que detalla lo sencillo que resulta para cualquiera tener acceso a la información privada del usuario (contactos, e-mails, SMS), incluso si el iPhone ésta protegido con un password. El problema se presenta para aquellos usuarios que han actualizado a la última versión del iPhone 2.0.2, que arreglaba algunos problemas, pero ha introducido esta tremenda vulnerabilidad.

La forma de "hackear" el iPhone es muy sencilla, no requiere chips, ni complicados procedimientos, aquí la explicación del procedimiento:

  1. Entre en el modo de "desbloqueo" (unlocked), aquí les preguntará por el password.
  2. En lugar de introducir un password hay que precionar "Llamada de emergencia" (Emergency Call).
  3. Cuándo aparece el dial para hacer la llamada de emergencia (911 en USA), se hace doble click en Home.
  4. El teléfono cambia a la lista de contactos del usuario desde donde se pueden hacer llamadas a cualquier contacto, acceder al historial de llamadas, chequear el voicemail del usuario y hasta leer los SMS.

Cómo si lo anterior no fuera suficientemente malo, aquí algo peor, si se presiona la flecha azul al costado de los nombres de los contactos, esto da acceso total a información privada en las entradas de favoritos, desde alli ya todo es posible:

  • Si se hace click en una dirección de correo, se accede a la aplicación de correo electrónico desde donde se pueden leer todos los correos enviados y recibidos por el usuario.
  • Si hay un URL en la información de contacto, o en un e-mail, y se hace doble click sobre ella, automáticamente esto abre Safari y se tiene acceso total a Internet.
  • Si se hace click en "send a message" en la lista de contactos, esto da full acceso al gestor de SMS, para leer mensajes enviados e incluso enviar nuevos.

Ojalá que este importante problema de seguridad que afecta a la mayoría de usuarios de iPhone, exponiendo su información privada a cualquiera que tenga acceso al teléfono, se resolverá lo antes posible. Hasta entonces, puede evitar cualquier posible violación haciendo lo siguiente:

  • En el home (Inicio) del iPhone, vaya a Settings (Configuración).
  • Haga click en General.
  • Haga click en botón de Home (Inicio).
  • Haga click en cualquier boton ya sea "Home" o "iPod".

Y pensar que hay gente que ha gastado $200 sólo en adquirir el bicho éste y además se ha amarrado en un contrato de dos años con una tarifa mínima de $30 al mes (al menos ese es el caso de AT&T, aquí en USA), para que usarlo sea equivalente a una tortura. Así que hay dos opciones, una es que  los usuarios del iPhone son masoquistas, o la otra es que creen cualquier cosa que les dicen. Pero como decía mi abuelita "cuando hay plata, jeringa no mata", después de haber gastado $200 en el iPhone y haberlo presentado en sociedad, ¿quién va ha aceptar que metió la pata?




Nota: El video es cortesía de Gizmodo.

Publicado el por volkan68 0

Grave falla en el diseño del protocolo BGP podría colapsar Internet

Aunque no se ha hecho mucha propaganda sobre el asunto, la falla de diseño del protocolo BGP explotada por Alex Pilosov y Anton Kapela, que permite escuchar todo el tráfico de una red bajo la modalidad de man in the middle y que fuera motivo de su disertación en el último Defcon de Las Vegas, poco a poco comienza ha conocerse a través de los medios, al menos de los medios espacializados, porque justo el día de hoy (27 de agosto) he visto que Kim Zetter ha blogueado sobre el tema en los blogs de la revista Wired.

El asunto había pasado más o menos desapercibido hasta hace poco, eclipsado por el más publicitado problema con el protocolo DNS que fuera expuesto en el mismo evento por Dan Kaminsky y al cual le dedicáramos el post "Toda la verdad sobre la vulnerabilidad de los DNS". Pero como dice Peiter Zatko, éste problema con el protocolo BGP es mucho más grave que el de los DNS y tiene la capacidad de colapsar toda Internet en menos de 30 minutos si es convenientemente explotado. Pero antes de que la desesperación cunda, y los profetas del desastre comiencen a comentar sin saber de que se trata dedicare unas líneas de éste post a explicar cuál es el problema, por qué es un problema y bajo que condiciones puede aprovecharce esta devilidad del protocolo BGP.

En primer lugar hay que entender que el protocolo BGP está diseñado para permitir el ruteo de una "red" sobre multiples enlaces, así si uno de los enlaces cae el tráfico puede ser re-enrutado por otro, para ello la "red" que se re-enruta debe poseer un ANS (Autonomous System Number), que es asignado por IANA, el protocolo BGP confía en que todo router que forma parte de este anillo de super-routers de proveedores de Internet, es confiable y enviará la información correcta sobre los enlaces y las redes asociadas a los mismos. Por diseño del protocolo se supone que todos los routers que usan el protocolo BGP diran la verdad. En el experimento conducido por Alex y Anton, lo que se hizo fue introducir una ruta falsa (haciendo un spoofing del IP real del router dueño de la red que se pretende secuestrar, creado una paquete BGP manipulado) y forzar a que todo el tráfico fuera re-enrutado a través del data center de Alex en New York, en el cuál la empresa donde trabajo tiene hosteado sus racks (dicho sea de paso conozco a Alex Pilosov personalmente). Ésto fue posible por dos cosas, primero el hecho de que Alex tiene acceso a un router BGP reconocido por todos los proveedores Internet, y segundo a que cuenta con bastante ancho de banda para que la nueva ruta no sea más costosa en términos de tiempo y sólo añada un salto más a la ruta original. Osea que cualquier aprendiz de brujo que crea que puede colapsar Internet desde su línea ADSL es tan fantacioso como aquel adolescente que creía que era cierto que desde un Altair 8800 se podía iniciar la tercera guerra mundial así como en la película "Juegos de Guerra". El protocolo tiene una falla sí, pero es explotable sólo desde un router que pertenezca a un proveedor de Internet importante.

En teoría un terrorista que tuviera acceso a uno de estos routers principales, podría enviar información de rutas ciclicas, que colapsarian el tráfico porque enviarian los paquetes a un loop sin fin entre una pareja o trio de routers, claro sólo hasta que se reinicie el router que esta confundiendo a los demás. Es sólo un ataque que teóricamente es posible, pero dado a que los routers BGP en Internet son sólo unos miles, es relativamente fácil detectar al culpable.

Es por ello que si quiere estar seguro de que la información que esta transmitiendo por Internet esta segura, y Alex no la está escuchando , use protocolos de encriptación como SSL, así si alguién esta escuchando el tráfico sus claves e información personal no viajara en texto claro. Así que concluyendo aunque la falla de diseño del protocolo lo expone a un ataque que podría afectar a millones de usuarios, éste ataque sólo puede realizarce desde un lugar específico, el cuál puede ser custodiado.

Publicado el por volkan68 0

Demandan a Apple por prácticas monopólicas

Al parecer éste es el mes de Apple, aparece hasta en la sopa. Ahora el protagonista de la noticia es la empresa fabricante de clones de Mac con sede en el estado de Florida, Psystar. Los equipos clónicos de Mac producidos por Psystar lógicamente se comercializan a un precio más barato. Como consecuencia de ésta temeraria acción por parte de Psystar, Apple ha iniciado una demanda por infringir las patentes sobre sus productos, pero Psystar lejos de asustarce y hacer mutis, ha contra demandado a Apple alegando prácticas monopólicas, según se puede leer en Cnet News.

Opino que o el abogado de Psystar es un genio y ha hecho una brillante argumentación alegando prácticas monopólicas para frenar la competencia por parte de Apple, o es un completo idiota, pues el OS de Apple es un producto protegido con una licencia, según la cuál sólo puede ser ejecutado sobre el hardware de Apple. Cualquiera puede o no estar de acuerdo con éste tipo de acuerdo de licencia, pero si alguien compro una copia del OS X y lo usa, es porque esta aceptando las condiciones impuestas por Apple para tal fin. Desde esa perspectiva, aunque OS X puede correr en un PC común y corriente, el sistema operativo de Apple no puede ser usado porque infringe los términos del acuerdo de licencia. No he leído la argumentación del abogado de Psystar que esta contra-demandando a Apple argumentando prácticas monopólicas, pero creo que o esta enfocando el asunto desde un punto que yo no puedo ver, o anda más perdido que Marco buscando a su mamá.

Aquellos que vivieron en la época de la aparición del GEM de Digital Research, recordaran que Apple inició un juicio contra Digital Research por haber copiado el look-and-feel de su sistema operativo y gano el juicio. Con lo cual estableció un presedente jurídico, y ha sido por ello que nadie puede crear un desktop 100% looks-like Mac OS, aunque desarrolle el código de forma completamente diferente porque se expone a una demanda por parte de Apple. Ahora Rudy Pedraza, propietario de Psystar, no sólo esta vendiendo clónicos de Mac, sino que alega que está ayudando a difundir el sistema operativo de Apple a través de su "open hardware", yo creo que el Sr. Pedraza ha perdido el contacto con la realidad.

Lo único que podría salvar a Psystar es que la misma Apple abandone el juicio, pero veo eso poco probable, por el contrario supongo que Apple usará Psystar como un ejemplo para escarmentar a cualquiera que se atreva a trarar de robar su mercado.

Publicado el por volkan68 0

El crecimiento de Apple se esta deteniendo

El día de hoy ha aparecido un post en Silicon Alley Insider, sobre el hecho de que las explosivas ventas de Apple estan comenzando a desacelerarce, de acuerdo a los estimados de 3 de 4 especialistas las ventas de Apple creceran mucho menos que el trimestre anterior, para ser extactos éstos son los datos que nos provee Silicon Alley:

  • Gene Munster, analista de Piper Jaffray, dice que el consenso en la calle actualmente es que Apple va a vender 2,65 millones de Macs este trimestre, lo que representa un 22% de crecimiento anualizado.
  • De acuerdo a las extrapolaciones preliminares de Münster para el mes de Julio sobre las ventas al por menor de NPD Group indica que Apple venderá 2,7 millones a 2,9 millones de Macs este trimestre. El punto medio – 2,8 millones de Macs – representa el 29% de crecimiento anualizado.
  • El analista Mark Abramsky de RBC dice que un estudio sugiere que Apple venderá 3,04 millones de Macs este trimestre, lo que representa un crecimiento anualizado de 41%.

En comparación, Apple vendió 2,496 millones de Macs el último trimestre, lo que representó un 41% de crecimiento anualizado. Por lo tanto, ambos las extrapolaciones de Münster del NPD y el actual consenso de la calle apunta ha que el crecimiento se ralentizó, mientras que el estimado realizado por RBC  apuntaría a un resultado plano, 41% de crecimeinto anualizado. (Ver gráfico actualizado).

¿Qué podría acelerar el crecimiento de las ventas de Apple para el último trimestre del año? Tal vez algun nuevo MacBook, que Steve Jobs se saque de la manga para mostrarlo el próximo mes. Sobre todo si el nuevo producto viene una etiqueta de precio rebajado. Conforme la crisis crediticia se vaya agudizando, Apple comenzará a mostrar peores resultados, y ésta no sería la primera vez para la compañía de la manzana, ya que durante la crisis de 1987 Apple fue una de las compañías que más sufrió con la recesión de esa época, tanto que estuvo a punto de quebrar.

Como ya comenté anteriormente en éste blog cuándo todos aclamaban el hecho de que Apple vale más que Google, Apple como toda empresa orientada al segmento de más alto poder adquisitivo se verá afectada por la actual crisis económica mucho después que Google, pero dado a la estructura empresarial de Google, éste último se recuperará más rápido y volverá a su ritmo de crecimeinto mucho antes que Apple, si es que se recupera luego de que la recesión se apodere de todos los segmentos del mercado en el 2009. Recordemos que la última vez le tomo a Jobs 10 años volver a ser el CEO de Apple, a lo mejor la vida ya no le alcance para repetir el plato, especialmente si son ciertos todos los rumores sobre su salud.

Publicado el por volkan68 0

Diseño del primer teléfono Android filtrado

El día de hoy (26 de agosto) he visto como en dos portales dedicados a seguir el avance de la tecnología Android, AndroidGuys y AndroidCommunity los dibujos de lo que sería el G1, el teléfono producido por HTC que vendería T•Mobile a fin de año y que soportaría la tecnología Android, así que se acabo el misterio sobre como sera el futuro teléfono.

El diseño me hace recordar bastante al Sidekick, el hecho de que sea T•Mobile la que lo comercializará puede haber sido una de las razones que hayan influido en el diseño del dispositivo. Pero una clara diferencia con el iPhone contra el cuál competirá directamente es la presencia de un teclado QWERTY completo.

Incluyo aquí la imagen que se ha filtrado a los medios del futuro G1, si desean verlo a tamaño completo sólo hagan click sobre la imagen.

Android G1

UPDATE: John Biggs, de TechCrunch opina que veremos el G1 en un mes en las tiendas.

Publicado el por volkan68 0