tag:blogger.com,1999:blog-5399811056563385935.post2273097856932686024..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Ekoparty 2012 - Crónica del Día 2 - #ekoparty2012Yago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger12125tag:blogger.com,1999:blog-5399811056563385935.post-15215190711692416152012-09-29T20:26:11.000+02:002012-09-29T20:26:11.000+02:00Yo tambien he probado con el iframe y se marca per...Yo tambien he probado con el iframe y se marca pero no se ejecuta solo. De todas maneras con el chrome y con opera ni llegaba a ejecutar el "tel:", lo tienen bloqueado por defecto.Camaronnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-77555845168093160302012-09-29T10:17:01.481+02:002012-09-29T10:17:01.481+02:00Pues, hay un video de 30 minutos de duración, que ...Pues, hay un video de 30 minutos de duración, que está bastante bien grabado por una asistente. No lo he querido enlazar aún al no estar completo. Tengo fe que la organización de Ekoparty, este año publique los videos antes de lo habitual :DLorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-17988627433936712012-09-29T10:16:00.191+02:002012-09-29T10:16:00.191+02:00Muchas gracias Tito!Muchas gracias Tito!Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-65532260999475219022012-09-26T14:44:24.993+02:002012-09-26T14:44:24.993+02:00He probado a acceder a una página creada por mi co...He probado a acceder a una página creada por mi con el código malicioso <br />poniendo un teléfono cualquiera, y he de decir que el teléfono no llama <br />automáticamente, no se si estaré haciendo algo mal. Pero lo único que <br />hace es poner el número en el teléfono, listo para llamar pero sin <br />iniciar la llamada.<br />Alguien ha conseguido que le realice la llamada automáticamente. De todas formas muy interesante la información.<br />SaludosDoLpHiNnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-29746258692217522382012-09-26T13:38:12.503+02:002012-09-26T13:38:12.503+02:00Lorenzo, hay alguna posibilidad de ver tu charla e...Lorenzo, hay alguna posibilidad de ver tu charla en video? Gracias.Marcos Gimenonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-52819620311988960252012-09-25T22:40:26.362+02:002012-09-25T22:40:26.362+02:00Lorenzo, EXCELENTE tu charla estuvo genial! espero...Lorenzo, EXCELENTE tu charla estuvo genial! espero que puedas continuar con el control de Skynet!<br />Sobre la charla de Ravi, excelente la explicación.<br /><br /><br /><br />Un Abrazo!Titonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-65932879640875756572012-09-25T19:47:56.532+02:002012-09-25T19:47:56.532+02:00Gracias por las noticias!!! muy interesantes!!!sin...Gracias por las noticias!!! muy interesantes!!!sin duda alguna muy buena la web.... Saludos.Elbueneddnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-79796501837147961632012-09-25T12:20:18.067+02:002012-09-25T12:20:18.067+02:00Gracias por la crónica ;)Gracias por la crónica ;)DeToponoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-17948400650121619462012-09-25T11:37:08.412+02:002012-09-25T11:37:08.412+02:00Paco, en el caso de los Samsung NO es necesaria la...Paco, en el caso de los Samsung NO es necesaria la aceptación de nada. Vía SMS con WAP, por defecto, se ejecuta... <br />No es que mande Android al RIP, pero para mí tener un Teléfono móvil que la SIM queda inservible, es quedarse sin teléfono (vamos, que ni puedes recibir ni emitir llamadas) Efectivamente la SIM cuesta 6 euros, pero si te hacen llegar el enlace con veneno desde diferentes métodos, igual hasta caes en más de uno. Que puedes seguir hablando por Viber y recibir mensajes por whatsapp, pues sí, pero que la funcionalidad principal de un teléfono móvil, es seguir hablando por teléfono, con esta vulnerabilidad, el dispositivo pasa a ser RIP. <br /><br /><br />Que además tienes un Samsung Galaxy, pues además te quedas con el dispositivo de fábrica, porque precisamente estos dispositivos tienen un código USSD que al ejecutarlo hace el Reset Factory Defaults.<br />Evidentemente se puede arreglar con una actualización: SI... y si aún no está, estará! como sucede con cualquier vulnerabilidad subsanable por un fabricante. Incluso, Ravi decía que la auto-ejecución por defecto cuando llega por SMS, puede hacerse deshabilitando el "Service Loading"... y efectivamente ahí, tienes que hacer click en un enlace malicioso que ejecute el USSD de bloqueo de SIM por poner el PUK mal 10 veces (y el reset to factory si además es un Samsung) <br />Ravi también indicó que Google había sido notificado convenientemente sobre ello.Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-75103913739558164612012-09-25T10:44:36.811+02:002012-09-25T10:44:36.811+02:00Supongo que esta es la entrada está relacionada co...Supongo que esta es la entrada está relacionada con el RIP a android. Ciertamente es una vulnerabilidad bastante grave, pero que según veo requiere la aceptación del usuario para la ejecución de susodichos códigos. Como comentas, probablemente enviando un bono masivo, muchos caerían en la trampa de permitir la ejecución.<br /><br /><br />Sin embargo, he de decir que no es una vulnerabilidad que vaya a mandar a Android al RIP, ni algo que no pueda arreglarse con una actualización. Tampoco es lo que se comentaba en el post anterior de que te deje el telefono como un pisapapeles...al fin y al cabo una sim cuesta 6€.<br /><br /><br />En resumidas cuentas, pese a que, efectivamente es una vulnerabilidad grave, considero que se vendió con demasiado entusiasmo para lo que al final resultó ser. Si iOS no murió con las vulnerabilidades a través de la simple descarga de un pdf, intuyo que esto también se podrá subsanar.<br /><br /><br />Por otro lado, y en la línea de lo que comentaban otros en el post anterior, considero que esto debiera ser informado con anterioridad a la divulgación, por razones obvias. Ahora la veda esta abierta a que alguien lo utilice para el mal hasta que finalmente se subsane.PacoRamireznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-67900457287579551292012-09-25T09:23:52.242+02:002012-09-25T09:23:52.242+02:00Hola Alejandro!
para mí fue un placer desvirtualiz...Hola Alejandro!<br />para mí fue un placer desvirtualizarte. Menos mal que el barco pudo partir ;D <br />A Skynet lo tengo controlado, aunque si un día aparece un mensajero del futuro con un arma para protegerme, ya tendré claro por qué es jejeje<br /><br /><br />Muchas gracias por el video! Nos vemos en la siguiente. Un abrazo Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-51669649717524608872012-09-25T09:13:01.574+02:002012-09-25T09:13:01.574+02:00Hola Lorenzo, tu charla estuvo muy buena! La verda...Hola Lorenzo, tu charla estuvo muy buena! La verdad es que has montado la casa que todo geek o hacker quiere tener jaja, espero que Skynet no se revele un día de estos y te deje afuera xD <br /><br /><br />Sobre la charla de Ravi, muy buena la explicación... durante las demos que realizó grabé un video, lo dejo para los que quieran verlo: www.youtube.com/watch?v=Q2-0B04HPhsAlejandro Eguíahttp://twitter.com/spamloconoreply@blogger.com