PRESENTACION

Compartir

Vulnerabilidades en los clientes de correo electrónico con estándares OpenPGP y S/MIME


Vulnerabilidades en los clientes de correo electrónico con estándares OpenPGP y S/MIME

Publicado en2018

Nivel de peligrosidad: Alto

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, alerta de la publicación de dos vulnerabilidades críticas en los clientes de correoelectrónico que soportan implementaciones OpenPGP y S/MIME.

Vulnerabilidades

Las vulnerabilidades detectadas son las siguientes:

1) CVE-2017-17688 y CVE-2017-17689. Las vulnerabilidades, que han sido comúnmente denominadas como “Efail” (resultado de la unión de las palabras “email” y “fail”), permiten revelar el contenido de los mensajes de correo electrónico cifrados de extremo a extremo con extensiones OpenPGP y S/MIME.

Para que estas vulnerabilidades sean explotables:

1.   El destinatario del mensaje ha de disponer de un cliente de correo vulnerable

2.   Y además el contenido del mensaje ha de utilizar los estándares OpenPGP o S/MIME.

Un atacante puede obtener un mensaje descifrado abusando de esta vulnerabilidad. Para ello debe haber conseguido previamente una copia del mensaje emitido, modificarlo intercalando fragmentos de código HTML con el texto cifrado original y reenviarlo a la víctima, es decir, al que fuera destinatario del mensaje original.

Las vulnerabilidades son explotadas en el momento en el que el cliente de correo electrónico decide aplicar el formato HTML a la totalidad del mensaje, siempre quela visualización de mensajes HTML y la opción de carga de contenido remoto se encuentren habilitadas. De este modo, el cliente de correo electrónico emitirá automáticamente una solicitud web al atacante que le permita descargar el texto descifrado a través de una ruta URL.

Clientes de correo afectados

9Folders, Inc.


Airmail


Apple


eM Client


Evolution


Flipdog Solutions, LLC


GnuPG


Google


GPGTools


IBM Corporation


KMail


MailMate


Microsoft


Mozilla


Outlook


Postbox, Inc.


R2Mail2


Ritlabs, SRL


Roundcube


The Enigmail Project


The Horde Project


Thunderbird


Trojita


Medidas de mitigación

El CCN-CERT recomienda a los usuarios de clientes de correo electrónico vulnerables, dado que aún no se ha publicado actualización de seguridad que solucione las vulnerabilidades, aplicar las siguientes medidas de mitigación:

Deshabilitar la opción de carga de contenido remoto.


Desactivar la visualización de mensajes en formato HTML en el cliente de correo electrónico.


Desactivar el descifrado automático de los mensajes y utilizar una aplicación independiente de descifrado.


Referencias

Certsi


Efail


Electronic Frontier Foundation


Hispasec


Sophos


Telefonia VozIp

https://youtu.be/_Dq7tosmr5M

Por qué los pagos por móvil no son seguros 100%

https://www.20minutos.es/noticia/3318664/0/pagos-movil-no-seguros/

TestM, una aplicación que permite comprobar el estado de los componentes del móvil

 

Tras una veintena de pruebas, TestM ofrece un diagnóstico del estado del móvil.


Entre otras funciones, la 'app' muestra las tiendas de reparación más cercanas.



Los teléfonos móviles se han convertido en uno de los elementos más relevantes de nuestro día a día y su integridad es fundamental. Una pérdida, un robo, un golpe o incluso un pequeño fallo se convierte para muchos usuarios en un auténtico drama.

Esta realidad ha dado pie a la creación de TestM, una app gratuita que permite comprobar el estado de los componentes del teléfono y asegurarse de que todo funciona correctamente.

"Es muy útil a la hora de llevar el teléfono a reparar el poder hacer un test antes de la reparación y otro después para asegurar que el arreglo se ha hecho de forma profesional y ha solucionado el problema sin desconfigurar cualquier otro componente", cuenta uno de los portavoces de la marca.

La aplicación, para Android e iOS plantea un test compuesto por una veintena de pruebas que sirven para verificar el estado de la pantalla táctil, el micrófono, el giroscopio, la brújula, el sensor de luz, la cámara frontal...

Este completo chequeo te permite, entre otras cosas, asegurarte de que el dispositivo esté desbloqueado y listo para ser usado en tu país, obtener y dar garantías a la hora de comprar o vender un móvil de segunda mano, e incluso verificar que no estás comprando un teléfono robado a través de la comprobación IMEI.

Una vez realizado el chequeo, es posible enviar el informe a través de aplicaciones de mensajería instantánea como Whatsapp o Telegram. Además, TestM también tiene una opción que muestra las tiendas de reparación más cercanas.

La app ofrece además información detallada sobre la batería, todos los datos sobre los componentes del móvil y pone a disposición del usuario 

Detectada una aplicación fraudulenta que suplanta a la oficial de Bankia en Google Play

Se ha detectado una app falsa en el mercado oficial de aplicaciones de Google Play. La app fraudulenta, que suplanta a la de Bankia, tiene el objetivo de capturar el usuario y contraseña de la víctima, aparte de tener acceso a ciertos datos almacenados en el móvil y poder realizar ciertas acciones, a través de los permisos que solicita al instalar la aplicación.


Recursos afectados


Todos los usuarios que descarguen la app fraudulenta que suplanta a la oficial de Bankia en Google Play y faciliten sus credenciales de acceso a la misma (usuario y la contraseña).

Solución


Si has descargado la app en tu móvil, has accedido a la misma y facilitado tus datos de sesión, contacta lo antes posible con Bankia para informarles de lo sucedido. Evita ser víctima de fraudes de tipo app fraudulenta siguiendo nuestras recomendaciones:

Instala aplicaciones únicamente de tiendas oficiales (Google Play o App Store). En caso de duda, accede a la web de la empresa y pincha en el enlace a la app. Contrasta información como el desarrollador y los enlaces facilitados.


Antes de instalar una app, comprueba que su valoración y comentarios sean positivos, y revisa que los permisos que solicita no sean excesivos.


Instala las aplicaciones desde el enlace que te facilitan las entidades en sus webs oficiales.


Mantén actualizados tus dispositivos móviles a las últimas versiones tanto de tus sistemas operativos, como de las aplicaciones que tengas instaladas en los mismos.


Recuerda que puedes descargar programas que te ayudarán a reforzar la seguridad de tus dispositivos móviles. Puedes consultar nuestra sección “Herramientas gratuitas”.


Y por último, te recomendamos revisar el estado de seguridad de tu dispositivo con la aplicación CONAN Mobile (disponible en Google Play), que te ayudará mostrándote los posibles riesgos a los que está expuesto tu móvil y te proporcionará algunos consejos para mejorar su seguridad.


En caso de duda, consultar directamente con la empresa o servicio implicado o con terceras partes de confianza como pueden ser las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o la Oficina de Seguridad del Internauta (OSI).


Por otro lado, ten en cuenta SIEMPRE los consejos que facilitan todos los bancos en su sección de seguridad:

Si tienes la app oficial instalada, accede desde la misma y no desde el navegador de tu teléfono móvil.


Es recomendable que establezcas un código de desbloqueo o contraseña para incrementar la seguridad del mismo.


No accedas al servicio de banca online de tu banco desde conexiones no confiables o desde redes wifi públicas. 


Detalles


La app fraudulenta detectada que suplanta la identidad de Bankia en Google Play se llama “Bankia Particulares”

¿Cómo se puede detectar que esta aplicación es falsa?

Para instalarla solicita permisos tales como acceso a todas tus cuentas en el móvil (Correo, mensajería u otras), envío y recepción de SMS, con el cual puedes subscribirte sin saberlo a servicios Premium así como controlar el pago de servicios no contratados a través del NFC del móvil y la instalación de malware en el dispositivo. Estos permisos no son necesarios para una aplicación de una entidad bancaria.


Tiene pocos comentarios, aunque tenga una valoración alta, el contenido de los mismos no parece veraz, sino una trampa para captar la atención de otras personas para que sea instalada.


La fecha de publicación es reciente, pero Bankia no ha anunciado tener ninguna nueva aplicación.


El correo de contacto del desarrollador de la aplicación no existe, así como el dominio utilizado bankiaparticulares.com. Aparte, no existen más aplicaciones publicadas por dicho desarrollador, sin embargo, todas las aplicaciones oficiales de Bankia están bajo el nombre de otro desarrollador.


La imagen de la aplicación contiene el logo de Bankia y la palabra “new”. Esto es una actividad inusual.


El enlace de la política de privacidad enlaza a una página que no tiene nada que ver con Bankia


Desde la web de Bankia no se enlaza a dicha aplicación.


Actualidad Policial del Cuerpo Nacional de Policía

Guardia Civil

Juan M. Medela. Con la tecnología de Blogger.