Paper.- Dropbox por dentro.

Con tanto paper al final voy a hacer de este blog una biblioteca, pero la verdad es que los papers que os recomiendo son los que me llaman la atención y los que me leo. Además este es cortito y viene con mucho código en Python para poder jugar. 

Hoy toca un paper dedicado exclusivamente a Dropbox y no solo nos cuenta curiosidades como que el cliente está prácticamente programado en python sino que también tratan de romperlo a base de Hijacking, Bypasses e Intercepciones de SSL. Muy recomendable. 

Enlace al Paper: 

• http://0b4af6cdc2f0c5998459-c0245c5c937c5dedcca3f1764ecc9b2f.r43.cf2.rackcdn.com/12058-woot13-kholia.pdf

Sed Buenos y aprended mucho. 

Explotación remota del Dropbox SDK de Android.

Hoy haciendo el trabajo de cada día me he encontrado con la siguiente vulnerabilidad que, aparte de ser de un sistema de almacenamiento conocido como es Dropbox, de estar muy bien explicado y ser obra de gente de IBM, viene con vídeo, paper y exploit.

El problema radica en el mecanismo de autentiación del Dropbox SDK quedando vulnerables todas las aplicación que lo utilicen en las versiones que van de la 1.5.4 a 1.6.1. No hace falta decir que a partir de la versión 1.6.2 ya no es vulnerable. Esta vulnerabilidad permite  conectar aplicaciones de dispositivos móviles con una cuenta de Dropbox controlada por el atacante, sin el conocimiento o la autorización de la víctima.

Si tenéis mucha mas curiosidad os dejo aquí el white-paper con información mucho mas técnica y donde viene el exploit en la ultima página: 

• http://www.slideshare.net/ibmsecurity/remote-exploitation-of-the-dropbox-sdk-for-android

Exploit: 

Fuente: 

• http://seguinfo.blogspot.com.es/2015/03/ibm-descubre-vulnerabilidad-en-dropbox.html

Sed Buenos con esto 0;) 

Facebook.- Nueva Vulnerabilidad Permite el Control De Cuentas

Si hace ya unas semanas hablamos de una [vulnerabilidad en Skype], hoy Nir Goldshlager a "liberado" otra vulnerabilidad al recepto de Skype pero esta vez relacionado con Facebook. Nir ha demostrado como se puede el control de una cuenta de Facebook con aplicaciones, intaladas en la cuenta de la victima, (estamos hablando de aplicaciones de esta red social) de Skype o Dropbox.

"Para esto, un atacante sólo necesita encontrar una vulnerabilidad de redirección URL o un Cross Site Scripting en el dominio del propietario de la aplicación de Facebook, como por ejemplo en Skype Facebook App. Además hay que tener en cuenta que los programas de recompensas no consideran esto como una vulnerabilidad."

Cabe decir que el procedimiento es algo mas complejo y que el equipo de Facebook ya ha sido advertido de este fallo de seguridad y ya a sido solucionado.

Mas información y fuente de la noticia: http://blog.segu-info.com.ar/2013/04/nueva-vulnerabilidad-en-facebook.html#axzz2PWp7KEZ0

Angry State 2.- Entrar En Modo Panico Y Vulnerabilidades En DropBox e Google Drive.

La tira del Angry State de hoy es para mi mismo. Hacia ya tiempo que no utilizaba Dropbox debido a que  Google Drive me parecía mas completo. Pues hace 2 días que me dio por instalar el programa de la caja azul a todos mis dispositivos y justo hoy me encuentro con esta noticia: 

"En la ultima versión de las aplicaciones para móviles de Dropbox y Google Drive se ha corregido un problema de salto de restricciones. Se han visto afectadas tanto las versiones de iOS como Android"

 Para mas información: http://www.laflecha.net/canales/seguridad/noticias/salto-de-restricciones-en-las-versiones-moviles-de-dropbox-y-google-drive/

Al enterarme de esta noticia entre en modo pánico. Sinceramente no me gusta que hurguen en ni información privada. Así que fui raudo y veloz a borrar por completo esas aplicaciones e instalarlas de nuevo de una manera mas sensata. Vamos un protocolo de desinfección que ríete tu del de .Rec

True Story!!

La verdad es que cuando me relaje un poco y lo medite debidamente pienso que me exedí demasiado en mi actutidud frente a ese problema. Por esta manera hoy he querio hacerme esta auto critica xD

PD: Lo de las 500 visitas al blog es verdad. Ayer este pequeño llego a las 500 en 1 mes i poco, Muchas Gracias a todos ! 

25 GB Extras En Dropbox Para Estudiantes

Ya casi todos los estudiantes conocemos esta herramienta para compartir o guardar nuestros archivos en la nube. La verdad es que todos lo utilizamos en época de trabajos y de proyectos. Si no lo usas no sabéis lo bien que va disponer de todos los documentos subidos con solo un doble clic.

Para conseguir los 25 GB extras es tan fácil con poner vuestra dirección de correo de la universidad o instituto (si lo tenéis) en esta pagina https://www.dropbox.com/spacerace . Después recibirás la confirmación a tu cuenta de la universidad. Solo hace falta dale clic a la confirmación para llevarte los primeros 3 GB. Para llegar a los 25 solo tienes que spamearlo entre la gente de tu universidad. De esta manera cada universidad entra en un ranking y se irá añadiendo mas espacio. 

La mala noticia está que estos Gigas Extras solo duraran 2 años, pero es una buena ida para promocionar el uso de esta herramienta que, la verdad, nos está sacando cada dia las castañas del fuego.