-
añadir a favoritos
Iniciativa de teclado
jueves 21 de septiembre de 2017
Todos conocen la obra de teatro “El servidor de dos patrones” de Carlo Goldoni. ¿Será posible una situación similar en el mundo digital de hoy? Sí, pero con algunos cambios.
Los desarrolladores del teclado SwiftKey desactivaron la función de sincronización en la nube una vez recibidos los mensajes de usuarios que confirmaban haber visto las direcciones de correo electrónico de terceras personas en el texto predictivo. Los usuarios se quejaban de que el teclado, al usar el texto predictivo, les ofrece los números de teléfono y las direcciones de correo electrónico de otras personas, Así mismo, se observaron casos de cambio de configuración de idioma sin autorización del usuario.
El teclado SwiftKey guarda en la nube todo lo que Vd. había tecleado antes. De esta forma, usa esta información para personalizar la función de texto predictivo, al convertirla en autónoma para cada usuario. Pero en este caso resultó que en el sistema de nube SwiftKey fue un error por causa del cual la información de varios usuarios se mezclaba.
Actualmente la empresa confirma que no hay razones para el pánico y este problema no es un problema de seguridad.
https://blog.swiftkey.com/important-information-relating-to-the-status-of-our-sync-services
Un teclado inteligente confundió las preferencias de usuarios. Menos mal que no realizó acciones en vez de los mismos.
I reversed engineered the Logitech dongle DFU process so they can run custom firmware and be used for nRF24L sniffing/injection.
https://twitter.com/marcnewlin/status/756229468851695616
Volvió a programar estos Unifying Dongle cmo sniffers. Y en general, como entiendo, Logitech le permite a un malintencionado enviar las pulsaciones falsificadas a dongle.
Por ejemplo, Vd. se fue al bloquear la pantalla, pero si un dongle (clave hardware) del teclado inalámbrico sigue siendo conectado, ¿un malintencionado puede desbloquear el equipo a distancia y realizar las acciones necesarias?
Además, los teclados inalámbricos permiten supervisar los usuarios:
Un hacker llamado Samy Kamkar creó un dispositivo que sin autorización recaba los datos de teclados inalámbricos de varios productores, incluido Microsoft.
El invento de Kamkar parece un cargador USB ordinario. Basta con ubicarlo en una habitación donde se usan los teclados inalámbricos, y el dispositivo empezará a registrar cada pulsación de teclas.
El dispositivo funciona tanto con batería incrustada como con enchufe: si lo desenchufamos, el indicador rojo se apagará, pero el dispositivo seguirá funcionando.
Un listado de componentes, la instrucción sobre cómo montarlo y los enlaces al software KeySweeper fueron publicados en el blog de Samy Kamkar en GitHub.
https://tjournal.ru/p/keysweeper
http://www.securitylab.ru/news/469775.php
Los teclados inalámbricos de las empresas Hewlett-Packard, Toshiba, Kensington, Insignia, Radio Shack, Anker, General Electric, y EagleTec se someten a la vulnerabilidad que permite a los malintencionados interceptar las pulsaciones de teclas a distancia de 75 metros como máximo.
Resulta que 8 de 12 teclados analizados no cifran los datos enviados.
«Que yo sepa, no es posible actualizar el firmware de estos dispositivos porque todo el software administrativo está en un chip de la placa. Por lo tanto no se puede resolver el problema al activar el cifrado de alguna forma», — dice Marc Newlin.
Anteriormente Marc Newlin, un investigador de Bastille Networks, informó sobre la posibilidad de introducir de forma remota las pulsaciones de teclas para un ratón inalámbrico. El investigador pudo enviar comandos para el ratón que simulaban las pulsaciones de teclas del teclado (no del ratón) a distancia de 225 metros. Y el sistema operativo interpretaba bien estas señales, al ejecutar la función correspondiente o al añadir un carácter en el editor.
El mundo de antivirus recomienda
Lamentamos informar que los productores de los dispositivos aún no se preocupan mucho de la seguridad de usuarios.
Muchos dispositivos IoT inicialmente no suponen posibilidad de actualización, o este procedimiento es muy poco cómodo y práctico. Por ejemplo, en 1,4 millones de coches Fiat Chrysler en el año 2015 fue localizada una vulnerabilidad usada por los malintencionados para hackear los coches por la red inalámbrica. Estos coches deben ser entregados al dealer Fiat Chrysler para la instalación manual de actualizaciones, o el dueño del coche debe instalar las actualizaciones sin ayuda usando la clave USB. Pero es muy probable que estas actualizaciones no serán instaladas en muchos coches porque el proceso de actualización no es cómodo para usuarios que por lo tanto se someten a ciberataques, sobre todo si su coche por lo demás funciona bien.
https://www.internetsociety.org/sites/default/files/report-InternetOfThings-20151221-ru.pdf
Y el antivirus (al igual que otros medios de protección) no podrá hacer nada en caso de no ser instalado por el productor en el dispositivo acatado. Es muy probable que el usuario no podrá instalar el antivirus en dispositivos similares.
Será que deberíamos preguntar a los productores: ¿qué medidas de protección han tomado para protegernos contra los malintencionados y, en caso de detectar una vulnerabilidad, será posible actualizar el firmware del dispositivo para corregirlo? O tendremos que seguir esta recomendación:
La empresa Bastille Networks aconseja a todos los titulares de teclados con esta vulnerabilidad dejar de usarlas y usar un teclado alámbrico o Bluetooth.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 1 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.