Las 5 mejores historias de seguridad móvil de 2019

Las 5 mejores historias de seguridad móvil de 2019

La seguridad móvil sin duda ha visto una buena cantidad de titulares en 2019, lo que llevó a las personas y empresas a darse cuenta de que los dispositivos móviles son otro punto final, como las computadoras portátiles y las computadoras, que necesitan protección. Pensé que sería divertido repasar algunas de esas historias que ayudaron a impulsar la seguridad móvil al frente de las mentes de los CISO y los CIO.

Un par de advertencias. Primero, esta es mi lista, basada en aquellas historias que sentí que tuvieron el mayor impacto en nuestra industria, algo que explicaré a medida que avance en mi lista. Segundo, Deliberadamente no incluí ninguna de las infracciones/ataques/vulnerabilidades/exploits descubiertos por nuestro increíble equipo de investigación, porque no quería que esto fuera en beneficio propio.

Con eso en mente, aquí está mi lista de las cinco principales historias de seguridad móvil de 2019, comenzando con el número cinco:

El número cinco puede sorprender a algunos. El 13 de mayo, The Wall Street Journal informó sobre cómo Apple perdió su intento de poner fin al caso antimonopolio de la aplicación en la Corte Suprema. Según el artículo, “Los consumidores pueden demandar a Apple Inc. por obligarlos a comprar aplicaciones exclusivamente del gigante tecnológico, dictaminó el lunes la Corte Suprema, amenazando con miles de millones de dólares en ingresos con los que la compañía cuenta para compensar la desaceleración de las ventas de iPhone.

“La demanda antimonopolio alega que los consumidores pagan precios inflados porque Apple exige que todo el software del teléfono se venda y compre a través de la App Store de la compañía. Las aplicaciones serían más baratas si los desarrolladores de software pudieran venderlas directamente y evitar a Apple como intermediario, alega la demanda”.

Una consecuencia no deseada del fallo, y la razón por la cual la historia está en la lista, es el probable aumento de malware que llega a los teléfonos con iOS a través de tiendas de aplicaciones de terceros que no examinan las aplicaciones y los desarrolladores tan bien como lo hace Apple. . La gran mayoría del malware de Android proviene de tiendas de terceros (no de la tienda oficial de Google Play), y no hay ninguna razón estructural para creer que esto será diferente en iOS. Lea nuestro blog aquí.

La historia número cuatro estuvo en todas las noticias, en parte debido a las posibles raíces geopolíticas. Según la BBC (y muchos otros puntos de venta), los piratas informáticos pudieron instalar de forma remota software de vigilancia en teléfonos y otros dispositivos utilizando una vulnerabilidad importante en la aplicación de mensajería WhatsApp.

WhatsApp, propiedad de Facebook, dijo que el ataque se dirigió a un «número selecto» de usuarios y fue orquestado por «un actor cibernético avanzado». Se implementó una solución y WhatsApp instó a todos sus 1.500 millones de usuarios a actualizar sus aplicaciones como precaución adicional.

Esta historia está en la lista por una variedad de razones, incluida la gran cantidad de usuarios, la capacidad de explotar la aplicación para lograr capacidades de vigilancia remota y el nivel de atención de los medios que generó. Lea nuestro blog aquí.

La historia número tres apareció en muchos titulares, pero tal vez por las razones equivocadas. Es un titular bastante sorprendente: “‘hackearon el teléfono del jefe de Amazon’, dice el investigador”, sin embargo, para aquellos de nosotros que nos dedicamos a proteger los dispositivos móviles, sabíamos que era solo cuestión de tiempo antes de que un conocido compromiso de un dispositivo se convirtiera en el punto de inflexión proverbial para la conciencia pública sobre la vulnerabilidad de los dispositivos móviles.

Hemos visto millones de amenazas dirigidas a dispositivos móviles. Desde exploits de día cero dirigidos a los sistemas operativos iOS o Android hasta WIFI deficiente, aplicaciones maliciosas y perfiles no autorizados, vemos el impacto de los ataques móviles todos los días. El aparente compromiso del teléfono de Bezos no nos sorprende.

Comprender las fotos en el teléfono acaparó los titulares, hay una pregunta más profunda que hacer: ¿qué más había en el teléfono del CEO de Amazon? ¿Un archivo adjunto con las últimas cifras de previsión? ¿Planes de expansión? Nuestro dispositivo móvil es nuestra computadora más personal, ya que contiene información que probablemente ningún otro dispositivo contenga, pero es el más vulnerable a la exposición a malos actores.

Es por eso que esta historia está en mi lista, no por el chantaje; pero la constatación de que el teléfono de cualquier director general… diablos, el teléfono de cualquier empleado es el hogar de una tonelada de información crítica, competitiva y privada. Lea nuestro blog aquí.

El número dos es la combinación de fallas checkm8 y checkra1n que no se pueden parchear. El 27 de septiembre, un investigador de seguridad conocido como @axi0mX reveló públicamente una vulnerabilidad junto con un exploit funcional llamado checkm8 (léase «jaque mate»). Dado que este exploit aprovecha una vulnerabilidad en BootROM de Apple (código de solo lectura; SecureROM), la parte inicial y crítica en la cadena de arranque seguro, es permanente y no se puede parchear. Checkra1n es un jailbreak que aprovecha la misma vulnerabilidad permanente de BootROM.

La razón por la que esta es la segunda historia de mi lista es por la enorme cantidad de dispositivos afectados. La vulnerabilidad afecta prácticamente a todos los dispositivos basados ​​en iOS, desde el iPhone 5 hasta el iPhone 10. La única forma de mitigar estas amenazas es actualizar los dispositivos a un iPhone XR o más reciente, lo que no es práctico ni posible de inmediato para la mayoría de las personas.

No puse estas amenazas permanentes y generalizadas en el número uno de mi lista porque no se usaban mucho para ataques reales. Son riesgos que probablemente conducirán a ataques, pero el número uno es un ataque que realmente ocurrió durante muchos años. Lea nuestro análisis de checkm8 aquí.

El número uno son los sitios web maliciosos descubiertos por Google Project Zero. en un excelente y análisis profundo del blog, Ian Beer de Project Zero de Google describió cinco cadenas separadas de explotación de iOS que se encontraron en una pequeña colección de sitios web pirateados. El blog dijo originalmente que los sitios pirateados se estaban utilizando en ataques de pozos de agua indiscriminados utilizando iOS 0-days, pero el análisis posterior mostró que, de hecho, se trataba de un ataque de orientación geopolítica que comenzó con el phishing.

Si una víctima simplemente visita uno de los sitios web maliciosos, los atacantes podrían piratear silenciosamente el dispositivo iOS de la víctima al explotar un conjunto de fallas de software no reveladas previamente. Por La historia de Zack Whittaker en TechCrunchlos investigadores encontraron cinco cadenas distintas de exploits que involucran doce fallas de seguridad separadas, siete de las cuales involucran a Safari, el navegador web integrado en los dispositivos iOS.

Es el número uno en mi lista por al menos tres razones. En primer lugar, el phishing móvil se está convirtiendo rápidamente en una de las principales formas de iniciar un exploit de dispositivo móvil. Independientemente de si un usuario renuncia a sus credenciales en un sitio de phishing, se puede generar un exploit aprovechando el navegador que está procesando la página. En segundo lugar, refuerza la realidad de que todas las plataformas son vulnerables, incluido iOS. (Como nota al margen, Apple y Google produjeron más de 1000 parches de seguridad en 2019, la mayoría de los cuales se consideraron críticos… por lo que incluso los proveedores de sistemas operativos saben que las vulnerabilidades existen en grandes cantidades). En tercer lugar, hacer públicos los dos proveedores de sistemas operativos móviles (y enérgicamente) discutir los ataques resultó en una tormenta mediática que realmente llamó la atención sobre la seguridad móvil. Lea nuestro blog aquí.

Mención de Honor

Cada una de estas historias, todas centradas en aplicaciones móviles, ayudaron a destacar la importancia de la seguridad y la privacidad móviles:

La ciudad de Los Ángeles demandó para detener el operador de la aplicación de teléfono móvil de The Weather Channel (TWC) de supuestamente “extraer de forma encubierta los datos privados de los usuarios y vender la información a terceros, incluidos los anunciantes”. La demanda sostiene que “durante años, la TWC ha utilizado engañosamente su aplicación Weather Channel para acumular datos de geolocalización personales y privados de sus usuarios, rastreando detalles minuciosos sobre las ubicaciones de sus usuarios durante el día y la noche, al tiempo que lleva a los usuarios a creer que su los datos solo se utilizarán para proporcionarles «datos, alertas y pronósticos meteorológicos locales personalizados».

Tantos como 25 millones de teléfonos Android fueron atacados con malware que reemplaza las aplicaciones instaladas como WhatsApp con versiones malvadas que muestran anuncios. El malware abusa de las debilidades previamente conocidas en el sistema operativo Android, lo que hace que la actualización a la última versión parcheada del sistema operativo de Google sea una prioridad. La mayoría de las víctimas se encontraban en India, donde se infectaron hasta 15 millones.

Por último, un hacker en Canadá pudo acumular más de $ 2,000 en comidas en diferentes McDonald’s en Montreal a través de la aplicación de McDonald’s. Un desprevenido escritor de tecnología de Toronto se quedó con la factura.

Ultimas palabras

Espero que haya disfrutado de mi lista y mire hacia atrás en 2020. Con el uso móvil y las amenazas aumentando vertiginosamente y los principales eventos mundiales (por ejemplo, elecciones presidenciales de EE. UU., Juegos Olímpicos de verano), 2020 se perfila para hacer que la lista de los próximos años sea aún más interesante… y la necesidad de seguridad móvil avanzada de clase empresarial es aún más crítica para las empresas y las organizaciones gubernamentales.

Deja un comentario