WhatsApp: descubren cómo descargar y guardar fotos y audios de visualización única
Además: Telegram empieza a hacer cambios para ajustarse a la ley, Apple prepara su propio "recall", data breach en Fortinet y Ford quiere escuchar a los pasajeros para ofrecer ads.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
6>13
sept
⚡ TL;DR
Un researcher encontró esta semana una forma de bypassear los mensajes de visualización única de WhatsApp para verlos más de una vez e incluso descargarlos. Los “view once”, fotos o audios de única vez son un formato de mensajes que, una vez vistos, se autoeliminan (función que copiada de Telegram).El investigador encontró casos de explotación in the wild, lo informó a Meta e hizo full disclosure en su blog para mostrar cómo se puede puentear esta restricción.
El caso es interesante porque deja ver qué hace Meta con esos mensajes, cómo los maneja en sus servidores y por cuánto tiempo los retiene una vez que fueron vistos (en un escenario donde, desde el vamos, no se entiende por qué los retiene una vez que fueron vistos).
A nivel local, entró en vigencia en Argentina la normativa que prohíbe que el cliente pierda de vista la tarjeta de crédito o débito a la hora de pagar en un comercio (una pésima práctica que recién se empezó a abandonar este año con la nueva ley), para reducir el margen de las ciberestafas por copia de datos de tarjeta.
Hubo pocas novedades, más allá de alguna que otra publicación de presuntas filtraciones en foros de compraventa de datos -que reporto cada vez menos por la similitud en los casos-, pero se publicó una nota interesante de la colega Dolores Oliveira donde destaca qué proyectos de inteligencia artificial se están discutiendo en el Congreso en Argentina. A nivel regional, NIC Chile sufrió un ciberataque que dio de baja al ente regulador de dominios y aparecieron nuevas muestras del bancario troyano Mekotio operando en Sudamérica.
A nivel global, el tema desinformación en las elecciones de EE.UU. sigue mandando la agenda de medios en el país del norte: esta semana, el Washington Post publicó un reporte sobre posteos falsos de Elon Musk y la influencia en el electorado (justo la semana en la que Donald Trump dijo que los migrantes “comen perros” en el estado de Ohio).
Además, la NCA (UK) arrestó esta semana a un joven de 17 años sospechado de haber sido el autor del ciberataque al sistema de transporte de Londres. En julio de este año ya había ocurrido un arresto, también de un joven de 17 años, por el caso del ciberataque contra la cadena hotelera MGM por parte del grupo Scattered Spider: algunos analistas no descartaban que se tratara de la misma persona, que podría haber sido liberada tras la primera detención.
Dejo algunas investigaciones interesantes que crucé: a principios de la semana, el investigador Thomas Roccia (Microsoft) publicó los slides de su charla en DEF CON 32 sobre el backdoor XZ, quizás el caso infosec más icónico en lo que va de 2024. El researcher Jeff Sims publicó en Medium tres herramientas de Gen IA ofensivas para red teamers. SentinelOne publicó un reporte sobre infostealers en macOS.
Y dos perlitas que vienen por las nomenclaturas: encontraron un nuevo ataque side channel en RAM, que bautizaron RAMBO, y un malware que apunta a Linux: Hadooken.
Dark News #101
Leer este correo te va a llevar 12 minutos.
El VII Congreso de Ingeniería IEEE ARGENCON 2024 tendrá un track de Ciberseguridad y Ciberdefensa que reunirá a profesionales de seguridad. Entre sus actividades, destaca la reunión de CERTS “Gestión de Incidentes en Contextos Diversos: Perspectivas de CERT de CABA, NQN, UNLP y Nacional”. Para ver la agenda completa del track, clic en el banner.
📲 WhatsApp: los mensajes “view once” se pueden bypassear, ver más de una vez y descargar
Un researcher descubrió que hay una forma de bypassear la restricción de los contenidos “view-once” de WhatsApp. Es decir: mensajes, fotos, audios que se envían con el objetivo de ser autodestruidos una vez que se abrieron, pueden ser accedidos más allá de esta limitación. Incluso, se pueden guardar los contenidos.
El investigador Tal Be’ery, de ZenGo, publicó en su sitio en Medium:
Descubrimos que Meta implementa esta función de forma negligente, lo que permite a un usuario malicioso guardar y distribuir fácilmente una copia digital exacta de un mensaje de visualización única. Habíamos dado a conocer responsablemente nuestros hallazgos a Meta, pero cuando nos dimos cuenta de que el problema ya estaba siendo explotado in the wild, decidimos hacerlo público para proteger la privacidad de los usuarios de WhatsApp.
El reporte a Meta se hizo el 26 de agosto, cuenta en su blog. Entre los principales problemas que detectó el researcher en el sistema de “view once” están los siguientes puntos:
Se envían a todos los dispositivos del receptor, incluidos aquellos que no están configurados para mostrarlos, como las aplicaciones web que pueden ser modificadas fácilmente, por ejemplo, mediante extensiones de navegador.
Son técnicamente iguales a los mensajes “normales”, solo con una flag que indica "ver una vez". Los atacantes solo necesitan cambiar este flag a "false" para convertir el mensaje en uno normal, que puede descargarse, reenviarse y compartirse.
Dada su URL, el medio view once puede ser descargado por cualquier cliente, sin necesidad de autenticación.
Algunas versiones de los mensajes de “view once” incluyen una vista previa de baja calidad del contenido, que puede ser vista sin necesidad de descargar el archivo completo.
Los “view once” no se eliminan inmediatamente del servidor de WhatsApp después de ser descargados; permanecen accesibles durante un plazo de dos semanas.
Además, publicó un video que publicó se puede ver cómo funciona este bug:
WhatsApp es una de las aplicaciones de mensajería más usadas, con más de 2.7 mil millones de usuarios. En el mundo de habla hispana tiene mucha presencia: en Argentina y Colombia, por ejemplo, el uso es de más del 90%. La función de ver “una vez” fue introducida en 2021 y funciona de manera tal de que sólo pueda verse en un dispositivo móvil y no en una versión de escritorio (para evitar screenshots, fotos o capturas). Cuando se usa esta función, las capturas de pantalla se bloquean.
Be’ery, el researcher que publicó este bug, viene trabajando sobre la revisión de las prácticas de seguridad de WhatsApp. En enero de este año publicó un trabajo donde mostraba cómo se podía inferir si una cuenta de la app estaba siendo usada en un equipo de escritorio o laptop.
🔧 Pavel Durov: el CEO de Telegram habló después de su detención
El fundador y CEO de Telegram, Pavel Durov, prometió mejorar los “esfuerzos” para combatir el cibercrimen que circula en la aplicación. Luego de haber sido detenido y liberado en Francia, posteó en la app de mensajería y se refirió a su arresto como un “enfoque equivocado“ de las fuerzas del orden. Se refería a los motivos que llevaron a su detención, que fue oficialmente por “complicidad en la difusión de material de abuso sexual infantil”.
La aplicación realizó varios cambios desde el viernes pasado. En primer lugar, modificó la redacción en su página de FAQ, al remover una de las respuestas sobre moderación de contenidos en la app.
Específicamente, el cambio fue en una sección titulada “Hay contenido ilegal en Telegram. ¿Cómo lo quito?”. A partir del 5 de septiembre, la respuesta de Telegram a la pregunta decía: “Todos los chats y grupos de chats de Telegram son privados entre sus participantes. No procesamos ninguna solicitud relacionada con ellos”, lo cual dejaba la puerta abierta al contenido ilegal.
Durante el viernes pasado, este mensaje cambió: “Todas las aplicaciones de Telegram tienen botones de ‘Denunciar’ que permiten señalar contenido ilegal para nuestros moderadores, en tan solo unos taps”, acompañado de las instrucciones sobre cómo denunciar mensajes.
Otra función que desapareció fue la de “People nearby”, o gente cerca, que siempre estuvo en la mira por ser utilizada por actores maliciosos:
Hemos eliminado la función Gente Cerca, que era utilizada por menos del 0,1% de los usuarios de Telegram, pero tenía problemas con bots y estafadores. Mientras que el 99,999% de los usuarios de Telegram no tienen nada que ver con el crimen, el 0,001% involucrado en actividades ilícitas crea una mala imagen para toda la plataforma, poniendo en riesgo los intereses de nuestros casi mil millones de usuarios.
A primera hora de la tarde del jueves, Durov emitió su primera declaración pública desde su detención, prometiendo moderar más los contenidos en la plataforma, un notable cambio de tono después de que la empresa dijera inicialmente que no tenía “nada que ocultar”.
El abrupto aumento del número de usuarios de Telegram a 950M causó dificultades de crecimiento que facilitaron a los criminales abusar de nuestra plataforma. Por eso me propuse como objetivo personal asegurarme de que mejoramos significativamente las cosas en este sentido. Ya hemos comenzado ese proceso internamente, y compartiré más detalles sobre nuestro progreso con ustedes muy pronto.
Esta semana, Estados Unidos comunicó el arresto de dos sospechos de conducir un canal de Telegram llamado “Terrorgram”, un lugar de encuentro para supremacistas blancos que ordenaban asesinatos, ataques físicos y crímenes de odio.
Y 404 reportó que varios foros underground empezaron a desactivarse y migraron a otras plataformas como Signal por temor a que Telegram colabore dando información a las autoridades.
🚗 Ford presenta una patente para escuchar conversaciones en los autos y ofrecer avisos
Una patente presentada por Ford apunta a grabar conversaciones a bordo de un vehículo para ofrecer avisos publicitarios basados en las charlas de los que están a bordo. La tecnología, llamada “in-vehicle advertisement presentation”, registrará la velocidad del auto, cuántos pasajeros viajan y hasta sobre qué tipo de superficie se está manejando, todo con el objetivo de customizar la experiencia de los avisos.
La novedad más grande es que el sistema podría extraer datos de “señales de audio dentro del vehículo y/o datos históricos del usuario, seleccionando una serie de anuncios para presentarlos al usuario durante el viaje”, según expresa la solicitud de la patente.
Mediante el seguimiento del diálogo entre los ocupantes del vehículo, el sistema va a determinar cuándo ofrecer anuncios sonoros en lugar de visuales.
“Estos sistemas y métodos ofrecen las máximas posibilidades de monetización basada en la publicidad, pueden utilizar el conocimiento de la predicción del destino del vehículo para dar anuncios más relevantes, por ejemplo, si un usuario va a hacer compras”, agrega la patente, que también podría recolectar información de terceras partes.
A su vez, el proyecto no especifica de qué manera va a proteger la información recolectada.
🔓 Fortinet confirma un data breach: 440GB de información comprometidos
Fortinet, una de las empresas de ciberseguridad más grandes del mundo, confirmó un data breach luego de que un threat actor afirmara haber robado 440 GB de archivos del servidor Microsoft SharePoint de la empresa.
El atacante publicó en un foro de hacking que había robado 440 GB de datos de la instancia Azure SharePoint de Fortinet y compartió las credenciales de un supuesto bucket S3, donde se guardan los datos robados para que otros atacantes puedan bajarlos.
“Fortibitch” -ese es el nombre del atacante- aseguró que trató de extorsionar a la empresa para que pagara un rescate y así evitar que se publicara la información, pero la compañía se habría negado a pagar.
La empresa, que vende principalmente firewalls y VPN pero también tiene EDR y SIEM, no especificó a cuántos clientes afectó el breach, pero sí aseguró que la información interna fue accedida mediante "un archivo compartido en cloud de un third party”.
🔄 Apple presentó su propio “Recall”: ahora también grabará todo lo que hace el usuario
Apple introdujo una función llamada “Semantic Search” durante la presentación del nuevo iPhone 16: “Si necesitás encontrar un detalle importante pero no recordás dónde, Siri va a usar tu índice semántico personal para localizar rápidamente la información que buscás”, explicó Greg Jozwiak, vicepresidente senior de marketing mundial de Apple.
Fue durante un breve segmento sobre IA en Glowtime -así se llamó el evento de presentación del nuevo iPhone-. Y si bien esto fue todo lo que dijo Apple (no agregó más precisiones), sería demasiado similar a Windows Recall, la criticada función del sistema operativo de Microsoft que registra todo lo que hace el usuario.
Semantic Search buscaría, entre todas las aplicaciones que están instaladas en iOS, información para mostrarle al usuario luego de una búsqueda.
En un principio, la información quedaría alojada y se buscaría dentro de un dispositivo, y no en cloud, lo cual grantizaría una capa más de privacidad ante un eventual acceso no autorizado a un dispositivo.
🚫 Australia va a prohibir las redes sociales a menores
Australia tiene pensado prohibir el uso de las redes sociales a poblaciones infantiles. La idea detrás de la iniciativa apunta a que plataformas como Instagram, TikTok y Twitter están “afectando negativamente a la salud física y mental de los jóvenes”.
El primer ministro australiano, Anthony Albanese, dijo el martes que el Gobierno va a activar una prueba de verificación de la edad en los próximos meses, antes de la introducción de la legislación para hacer cumplir una prohibición. Albanese declaró que su gobierno, del Partido Laborista, de centro-izquierda, está considerando una edad mínima de entre 14 y 16 años.
“Los padres están ‘muy preocupados’ por el uso que hacen sus hijos de las redes sociales. Los padres quieren que sus hijos dejen sus teléfonos y se dediquen al fútbol. Yo también”, declaró Albanese a la Australian Broadcasting Corporation.
Incluso el líder de la oposición, Peter Dutton, jefe del Partido Liberal de centro-derecha, también se mostró en sintonía con este proyecto para prohibir las redes sociales a los menores de 16 años.
En diciembre de 2023, Amnistía Internacional presentó un reporte sobre el impacto de TikTok en distintos países del mundo: como contexto, en este enlace se puede leer el reporte sobre los efectos de la red social en Argentina.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
🔗 Más info
Kaspersky detectó un nuevo APT llamado Librarian Ghouls que ataca al sector industrial ruso
El FBI dice que en EE.UU. se perdieron cerca de 5.6 mil millones de dólares ante criptoestafas
WordPress requerirá 2FA obligatorio desde el 1 de octubre
Microsoft arregló un bug en el explorador de Windows 11 y parcheó parches para 79 fallas
Avis, la rentadora de autos, sufrió un data breach
AWS agrega una opción para bajarse de las funciones de IA
Un ciberataque hizo que cerraran todas las escuelas del distrito de Seattle
Firefox extiende su soporte a versiones viejas de Windows 7
Akira Ransomware estaría detrás de la explotación del firewall SonicWall