• Millones de dispositivos Android y iPhone vulnerables a través de WiFi
El investigador Nitay Artenstein de Exodus Intelligence ha encontrado un bug que afecta a dispositivos de Apple y Android, permite ejecutar código de manera remota en dichos dispositivos y sin interacción del usuario. Bautizado como BroadPwn, le corresponde la identificación CVE-2017-9417, pero aún no se sabe mucho sobre cómo funciona porque su descubridor ha decidido no publicar esa información hasta finales de mes, en BlackHat. Lo poco que se sabe es que afecta a los chips WiFi de Broadcom usados por Apple y Android en sus dispositivos. Los chips afectados son BCM4354, BCM4358 y BCM43549 y podrían ser usados por un atacante para acceder al dispositivo a través de la red WiFi.
http://boosterok.com/blog/broadpwn/
• Nuevos documentos filtrados de la CIA
Wikileaks divulgó en el marco del proyecto Vault 7 un nuevo paquete de documentos secretos de la CIA denominados UCL/Raytheon y que incluyen informes sobre el funcionamiento de algunos programas utilizados por terceros para hacer espionaje de ciertos objetivos. "Los documentos en su mayoría contienen ideas, que prueban el concepto de funcionamiento, y la evaluación de los vectores de ataque de programas malignos, parcialmente basadas en los documentos de acceso público de los investigadores de seguridad y empresas privadas de seguridad informática", dice una nota que acompaña a la filtración. La nueva filtración contiene documentos elaborados por la empresa contratista Raytheon Blackbird Technologies en el marco del proyecto UMBRAGE Component Library (UCL) enviados a la CIA en noviembre de 2014 y septiembre de 2015.
https://wikileaks.org/vault7/#UCL / Raytheon
• Roban 8 millones de dólares en Ethereum con un simple hack
El Ethereum y el Bitcoin, a pesar de estar pasando unos días de cierta inestabilidad (la primera ha llegado a caer hasta 134 dólares por moneda, mientras que el Bitcoin llegó a los 1.800 dólares el pasado 16 de julio), han vuelto a crecer y vuelven a situarse en valores estables. Cuando quedan apenas dos semanas para que el Bitcoin se “separe”, un hacker ha conseguido robar 8 millones de dólares en Ethereum en apenas 3 minutos.
https://www.adslzone.net/2017/07/18/roban-8-millones-de-dolares-en-ethereum-con-un-simple-hack/
• Vulnerabilidad crítica en cámaras Axis y protocolo gSOAP
La empresa Senrio encontró que Axis Communications, uno de los mayores fabricantes de cámaras web de seguridad en todo el mundo, tiene modelos de cámaras vulnerables a desbordamiento de búfer de pila (CVE-2017-9765). La explotación de la vulnerabilidad a la que bautizaron Devil's Ivy, resulta en la ejecución remota de código en gSOAP (Simple Object Access Protocol), una biblioteca de código abierto de terceros. Cuando se explota, permite a un atacante acceder remotamente a un feed de vídeo o denegar al propietario dicho acceso. Dado que estas cámaras están destinadas a asegurar algo, como el lobby de banco, esto podría conducir a la recopilación de información sensible o evitar que un crimen sea observado o registrado. Axis informó a Senri que Devil's Ivy está presente en 249 modelos de cámaras, con la excepción de tres de sus cámaras más antiguas. Una vez que se comprobó que el arreglo de Axis solucionaba la vulnerabilidad, Axis comenzó a liberar rápidamente el firmware parcheado y a impulsar a sus clientes a actualizar.
http://blog.senr.io/blog/devils-ivy-flaw-in-widely-used-third-party-code-impacts-millions
• Reckitt Benckiser habría perdido 117 millones de dólares por el ciber ataque
La compañía recortó sus pronósticos de ventas anuales del 3% al 2% a raíz del ataque cibernético de fines de junio. El desinfectante Dettol fue uno de los productos afectados por el ataque cibernético. La acción de los hackers también causó dificultades en las terminales de carga, las cadenas de información tecnológica y otras piezas de infraestructura en el mundo. Reckitt Benckiser Group recortó sus pronósticos de ventas anuales después del ciber ataque global del mes pasado, en la primera indicación detallada del costo financiero que tuvo una gran compañía debido a ese suceso. El fabricante del refrescante Air Wick y los artículos Dettol espera que las ventas crezcan alrededor de un 2%, en lugar del 3% proyectado por la compañía. http://argentina.pmfarma.com/noticias/12906-reckitt-benckiser-habria-perdido-117-millones-de-dolares...
• Estonia, el país que vota a través de internet, prepara su defensa contra los 'hackers‘
Esta es una lista de comprobación con consideraciones de seguridad para diseñar, probar y liberar aplicaciones seguras de Android. Se basa en el estándar de verificación de seguridad de aplicaciones móviles de OWASP y en la Mobile Security Testing Guide. Se debe seguir los enlaces de cada elemento de la lista de verificación para obtener instrucciones y recomendaciones detalladas.
https://github.com/b-mueller/android_app_security_checklist/blob/master/README.md
