Kaspersky VPN – Descubierto bug que afecta a millones de usuarios

La versión 1.4.0.216 de Kaspersky VPN presenta una fuga de DNS que podría revelar información sobre las páginas visitadas por los usuarios.

El bug se encontraba en el servicio VPN ofrecido por Kaspersky, también conocido como “Secure Connection” y que según Kaspersky cuenta con más de un millón de usuarios en todo el mundo.

En Android, Kaspersky VPN – Secure Connection tiene más de 1.000.000 de descargas

Cuando un usuario se conecta a una VPN, todo el tráfico pasa a través de un túnel cifrado al servidor VPN, por lo que al servidor de destino le llega la dirección IP de dicho servidor.

Funcionamiento VPN

El problema surge cuando Kaspersky VPN no redirige las consultas al servidor DNS cifradas, por lo que el servidor DNS podría registrar los sitios web que visitan los usuarios e incluso vincularlos a su dirección IP.

Este bug fue descubierto por el analista de seguridad Dhiraj Mishra, en su blog indica los pasos a seguir para reproducir el problema:

  1. Visitar IPleak.net
  2. Conectarse a cualquier servidor virtual utilizando Kaspersky VPN.
  3. Una vez conectado, volver a visitar IPleak.net. Se podrá observar que la dirección DNS no ha cambiado.
 
Kaspersky a solucionado este fallo en la versión 1.4.0.453. Se recomienda actualizar a la última versión disponible.
Más información:
 
A bug that affects million users – Kaspersky VPN | Dhiraj Mishra
https://www.inputzero.io/2018/08/kaspersky-vpn-leaks-dns-address.html

El cifrado Speck gana presencia en el kernel Linux

Speck es un algoritmo de cifrado ligero, especialmente diseñado para dispositivos IoT, con baja capacidad de cómputo y creado por la NSA, la Agencia de Seguridad Nacional de Estados Unidos.

 


Esta tecnología, que fue aceptada por una petición de Google para dar soporte de cifrado al nuevo sistema operativo Android Go en la versión 4.17 del kernel Linux, ha aumentado su presencia en el kernel de Linux debido a la inclusión de Speck128 y Speck256 como algoritmos compatibles en FSCRYPT.

Speck al igual que Simon, fueron publicadas en 2013 como dos tipos cifrados diseñados para sistemas ligeros. Speck es un cifrado add-rotate-xor (ARX) diseñado para ser lo más ligero posible, mientras que su algoritmo hermano, Simon, se ha optimizado para implementaciones de hardware.
 
El hecho de que ambas tecnologías de cifrado hayan sido desarrolladas por la NSA y que hayan sido rechazadas por la Organización Internacional de Estándares (ISO), han rodeado a esta decisión de una latente desconfianza por parte de la comunidad.
Si tiramos de antecedentes, esta desconfianza está sustentada por hechos como las filtraciones sobre que el software de cifrado Truecrypt estaba ‘backdoreado’ por la NSA. Caso que finalmente por medio de dos auditorias quedó descartado, excepto por los más escépticos que vieron en el abandono de sus desarrolladores un argumento a favor de sus convicciones.
Más información:
Auditoría Truecrypt:
https://www.pcworld.com/article/2905995/truecrypt-audit-shows-no-sign-of-nsa-backdoors-just-some-minor-glitches.html

Man-in-the-Disk: el nuevo ataque que ha dejado a millones de teléfonos Android vulnerables

El ataque aprovecha la forma en la que las apps utilizan el sistema de almacenamiento externo para dar como resultado una inyección de código.

Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.

Conceptos base:

Es bien conocido que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y externo.

Google, insta a los desarrolladores a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el ‘sandbox’ integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones usaban almacenamiento externo sin protección al que cualquier aplicación instalada en el mismo dispositivo puede acceder.

Explicación del ataque:

Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de la actualización legítimo de la aplicación se puede reemplazar por uno malicioso.

Demostraciones:

 
Entre las aplicaciones que han probado se encuentran: Google Translate, Yandex Translate, Google Voice Typing, Lg World, … entre otras.

Los investigadores recalcan que solo han probado una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más signifitcativo.