En un hackatón se acaba de descubrir que Path, la red social móvil que se caracteriza por tener un límite de contactos y un diseño genial, sube todos tus contactos desde el iPhone a sus servidores sin permiso explícito del usuario.

¿Que implica esto? Que alguien tiene en sus servidores los datos tuyos, de tus contactos, sus teléfonos, mails, tu relación con ellos y todo esto sin tu permiso. ¿Que riesgos conlleva esto? Principalmente problemas de privacidad porque datos que un tercero (tus contactos) compartieron con vos, están siendo llevados al servidor de un tercero sin que ellos lo sepan o autoricen… ¿que eso es muy extremo? Puede ser y la realidad es que NADIE SABE que hace Path con esos datos por lo que nadie sabe si están haciendo algo malo, pero tampoco nadie sabe cual es la necesidad de hacerlo.

Link al site del programador

El Cobra TAG es otro de los accesorios para smartphones presentados en Las Vegas en el CES2012 para dar seguridad física frente a robos o pérdida de teléfonos y que parecen ser la nueva moda porque aún sin iniciar el evento, ya se presentaron al menos tres similares.

¿porque me llama la atención más el Cobra que el resto? Por un lado comparten con varios el formato de ser un accesorio liviano para el llavero que tiene la particularidad de conectarse vía bluetooth con el teléfono y sonar si el equipo se “aleja” a una distancia donde el llavero no lo siente cerca… y por otro lado, tiene un botón para apretarlo y hacer que suene el teléfono y lo puedas encontrar ¿entonces que tiene de particular? Realmente no mucho, excepto que… es compatible con Bluetooth 4.0 con lo que el bajo consumo del protocolo implica que lo recargues una vez cada 4 o 5 meses y que ya tiene una App de Android y de iOS que es compatible con el iPhone 4S.

¿Y para que sirve la App? Básicamente para poder encontrar datos de geoposicionamiento del equipo, en caso que no lo encuentres, en la aplicación web de la marca… o vía mail y va a salir a la venta a unos u$s60

Link Oficial: Cobra TAG

Un rumor de C|Net Apple loses another unreleased iPhone está cobrando cada vez más fuerza y es la posibilidad de que un empleado de Apple perdió un prototipo del iPhone 5 en un bar de Tequilas en San Francisco.

Y luego del escándalo con el iPhone 4 perdido justo antes del lanzamiento oficial y la demanda a Gizmodo por comprar propiedad robada esto sería poco menos que una escala más hacia el ridículo.

Para ponerlo claro, si se pierde un iPhone 4 días antes de lanzarlo en un bar alemán donde Gray Powell estuvo con sus amigos tomando y nadie en la empresa aprende de medidas de seguridad con lo paranoicos que son en Cupertino… perder un prototipo real del iPhone 5 merece que despidan a todo el equipo de seguridad y que demanden al ingeniero que se va a un bar de tequila con una pieza invaluable de tecnología.

La nota, un rumor del que no confirman fuentes, indica que Apple ya hizo averiguaciones extraoficiales, que luego se contactó con la policía de San Francisco y que hasta usaron un localizador remoto para ir a buscar a un sospechoso y que aún así no lo encontraron…. pero lo que muestra que esto sería un papelón mayúsculo es el hecho de que los investigadores de Apple volvieron a hablar con el sospechoso ofreciendo plata en efectivo y un acuerdo de confidencialidad para que no sea juzgado.

Repito, la nota es un rumor, pero ¿de nuevo todos a buscar el prototipo?

No creo que nadie dude que el gobierno de los Estados Unidos tiene controles bastante rigurosos cuando se trata de seguridad, así que cuando decimos que la Blackberry Playbook pasó las pruebas necesarias para ser usada por el Gobierno Federal de los Estados Unidos, sabemos que pasó pruebas de seguridad y protección de datos muy estrictas.

De hecho es la primer tablet que consigue la certificación FIPS 140-2, que es una certificación de 4 niveles de criptografía (por ahora solo sabemos que alcanzó el segundo nivel o más): la Playbook está protegida en hardware y software más allá de lo usual, viene con características que nos permiten saber si se intentó accesarla de mala manera y posee candados físicos que hay que romper para hackerla, y sigue funcionando aún bajo ataque para conseguir datos.

El mercado de smartphones y tablets es grande, y raramente alguno de éstos alcanza el nivel de seguridad que se considera “fiable”: La Blackberry Playbook y los smartphones Blackberry son claras excepciones. La Blackberry Playbook es una extensión de sus hermanos móviles: con la app Blackberry Bridge, podemos accesar desde una pantalla más grande a toda la información guardada en el smartphone, de manera segura y dejando los datos en el móvil. La comunicación segura para redes también viene incluida en la Playbook, y asegura al gobierno norteamericano que puede usar apps y recopilar información crítica de manera fiable dentro de sus ambientes de trabajo.

Me parece genial que un equipo que se pueda adquirir en cualquier lugar tenga un estándar tan alto: es difícil conseguir cosas a los precios de la Playbook que nos certifiquen que estamos protegidos tanto en hardware como en software, especialmente con pruebas diseñadas para llevarlas al límite y ver de qué realmente están hechas.

Los desarrolladores de esta tablet deben estar orgullosos ya que es realmente muy difícil crear un producto seguro en materia de información y tecnología; y RIM debe estar contento con lograr esto y poder decir que son una plataforma segura para poder tener un layer de diferenciación difícil de lograr.

Vía | bizblog

Con tantas discusiones sobre la seguridad que hay hoy en día, me parece algo muy curioso -y de más inaceptable-, lo que hace pocos días se descubrió por parte de Personal. Todos sabemos que nuestro navegador envía determinada información a los sitios que visitamos para, en simples términos, poder mostrar la página de la mejor manera posible. Es por eso, por ejemplo, que cuando entramos desde nuestro teléfono -sea Android, iOS, o cualquier otro sistema operativo móvil- accedemos directamente  a la versión móvil, ya que se reconoce el browser desde el que estamos accediendo. También se envían otros datos como la dirección de IP, entre otras cosas. Lo particular acá, es que recientemente se confirmó que Personal, además de toda esta información, tambén envía datos mucho más sensibles, como es el caso de nuestro número de teléfono. 

El problema se descubrió en el foro de Grupo Android, donde dieron una explicación técnica muy sencilla de entender:

Explicación técnica
Cada vez que visitamos un sitio en internet, nuestro navegador envía una serie de información como parte del ‘Request’, como por ejemplo la versión de nuestro navegador, limitada información geográfica, dominio, ISP, lenguaje, zona horaria, etc etc. Todo esto se envía como parte del Request HTTP en lo que se llaman HTTP Headers, que es información que compartimos con los sitios web generalmente para facilitar la navegación (por ejemplo, las páginas pueden detectar que tenemos un Android y renderizar las páginas para que se vean correctamente en nuestro dispositivo).

Resulta que Telecom Personal, por oscuras razones, agrega ciertos HTTP Headers adicionales tras pasar por un ‘Proxy’ que por lo visto usna para la navegación Web 3G. Sabrán lo del proxy si alguna vez vieron errores del tipo “The Request Failed”, con un link a la Home de Personal. O un error que dice algo del “Radius Server”. Bien, entre esas Headers que se agregan, encontramos esta:

HTTP_X_MSISDN -> Acá va nuestro celular, en formato 5411XXXXXXXX.

Cualquier página interesada en ese dato, no tiene más que consultar el valor de este campo y ya tienen el número de celular de quien está visitando la página. Imaginen que estafas servicios como el del 2112 están encantados con esta “funcionalidad”.

Cabe aclarar que esto no sucede si estamos conectados vía Wifi, así como tampoco sucede si usamos un navegador distinto al navegador de serie de nuestra ROM de Personal.

Con esto, no es de extrañar que a alguno les haya pasado de entrar accidentalmente a un link de publicidad, y en cuestión de instantes les llegue un mensaje diciendo que se “suscribieron” a un servicio como el del 2020 y se les cobrará.

Luego de publicarse esto, Fabio hizo un análisis más en profundidad, y nos explicó cómo esto es probablemente una “herencia” que quedó en el proxy de la empresa hace unos 5 o 10 años: En el momento estaba diseñado para ofrecer un mejor servicio, pero con el tiempo quedó obsoleto, y se convirtió en información a la que puede acceder cualquiera.

¿A quienes afecta?

Este problema, entonces, afecta sólamente a los que utilizan Personal como su operadora en un principio, pero no todos los dispositivos. Lo más probable es que si compraron el equipo liberado sin contrato no tengan ningún problema. Tampoco afecta a los que cuenten con teléfonos BlackBerry, ya que el servidor proxy de RIM se ocupa de esto, en vez de Personal. Tampoco creo que están afectados los teléfonos con Android que hayan instalado versiones del Sistema Operativo modificadas.

Para el resto de los dispositivos, lo más seguro es que prueben entrando desde su celular, con el browser incluido a whoer.net/extended, y en la parte de “HTTP Headers” pueden buscar el dato HTTP_X_MSISDN, donde después de estos valores debería estar su número de teléfono. De ser así, vana  tener que aplicar la siguiente solución.

¿Cómo lo puedo solucionar?

Solucionarlo es muy fácil, basta simplemente con usar un navegador alternativo para navegar. En el caso de Android, pueden descargar el Opera Mobile directamente desde el Android Market, o desde el App Store para los amigos de la manzana.

Y no nos podemos ir sin hacerle un importante llamado de atención a Personal para que corrija esto lo antes posible. Si bien tenemos que entender que es un error, no se puede prolongar por mucho más, teniendo en cuenta la invasión a la privacidad que esto significa.

¿Pudieron corroborarlo? ¿A algunos de ustedes les pasa? No olviden de dejar su modelo de teléfono para tener una mejor idea de los afectados en los comentarios!

Vía | Grupo Android y Fabio

Pocas veces hago una reseña de un servicio del que ya hablamos en Celularis pero creo que Blackberry Protect merece una excepción y hace unos días lo liberaron en beta abierta así que si tenés una Blackberry recomiendo que vayas a descargarlo desde este link por lo útil y sencillo que es.

¿Para que sirve Blackberry Connect? El software/servicio de RIM sirve para 3 cosas simples:

• Buscar, localizar, bloquear o borrar de forma remota tu Blackberry si la perdiste
• Hacer Backups completos y restaurar información sin tener que estar dependiendo de tener el backup de tu PC a mano
• Usarlo como sistema para transferir datos completos de una Blackberry a tu nueva Blackberry ;)

Las 3 cosas que están disponibles para usuarios de Blackberry Enterprise Server ahora están disponibles para todos y con una serie de pantallas que lo hacen simple para todos… y digo todos ;)

¿Cual es la ventaja de Blackberry Protect?
La ventaja es simple, usás los servers de Blackberry para almacenar tu información personal de forma segura y son servers con mejor performance que el disco que usás vos para backups, si es que al menos lo hacés… pero tiene algo adicional que pocos se dan cuenta y es su unión con el App World.

Para ponerlo simple con Blackberry Protect uno protege los datos y si uno tiene sus aplicaciones descargadas vía el Blackberry App World tenés un listado de todo lo que descargaste con lo que si cambiás o perdes la Blackberry primero recuperás tus datos, luego vas al App World elegís que apps ya tenías instaladas y con 3 clicks tenés exactamente la misma configuración que tenías antes de perderla o cambiarla ;)

Tips de Blackberry Protect

a) El servicio de borrado remoto es GENIAL :)
b) Si te preocupan los cargos extra, elegí que el backu inicial sólo lo haga vía WIFI y que el otro lo haga una sola vez por semana pero que NO lo haga si estás en Roaming (o itinerancia)
c) Si vas a cambiar de equipo, hace un backups en el momento exacto antes de apagarlo para no perder ningún mensaje… y como medida de paranoico, usá también el backup en la PC.

Ahora.. solo les faltaría crear algo como SOTI Pocket Controller para Mac y yo sería el usuario más feliz del mundo ;)

Galería de fotos de Blackberry Protect

¿Se acuerdan de aquella noticia de que RIM permitirá que Arabia Saudita monitoree BlackBerry Messenger? Bueno, tal parece que a Nokia India le gustó la idea, y este jueves terminó la instalación de algunos servidores que le permitirán a las agencias de seguridad meterse “legalmente” en las cuentas de e-mail de los usuarios y en los mensajes. La agencia de inteligencia doméstica de India le pidió tanto a Nokia como a RIM que desarrollen facilidades legales para intercepción a comienzo de año. Al parecer, RIM tiene hasta Enero del 2011 para seguir los pasos de Nokia, según el Times of India.

La agencia de inteligencia de India demandó acceso, por el miedo a que esos servicios sean usados por terroristas. D. Shivakumar, Vicepresidente de Nokia India, dijo que “buscamos seguir las leyes y regulaciones locales que son requeridas por las autoridades del gobierno”. De todas formas, la empresa le aseguró a sus clientes que su privacidad será protegida.

Vía | The Nokia Blog

De acuerdo a un reporte de investigadores de la Universidad de Pensilvania, las pantallas táctiles en los dispositivos, tales como smartphones pueden presentar un riesgo para nuestra seguridad (archivo en PDF). El grupo se presentó en el USENIX Security Symposium en Washington, D.C. esta semana y dice que las huellas digitales dejadas en un dispositivo pueden ser fácilmente “captadas” y analizadas para atacantes potenciales.

“En primer lugar, las manchas son sorprendentemente resistentes con el tiempo. Segundo, es muy difícil que incidentalmente se oscurezcan o borren las manchas limpiando o colocando el dispositivo en un bolsillo. Tercero y último, recolectar y analizar manchas oleaginosas de residuos puede realizarse con equipo fácilmente disponible, como puede ser una cámara y una computadora” afirmó el grupo.

“La práctica de introducir información sensible via pantallas táctiles necesita un cuidadoso análisis con motivo de nuestros resultados”, dijo un miembro del grupo.

El equipo específicamente encontró que las huellas digitales que quedan en los equipos con Android pueden ser usadas para identificar el código de seguridad usado en los patrones de contraseña del teléfono, de acuerdo a eweek.

Por lo visto sus sujetos de prueba fueron un Nexus One (que pueden ver arriba, con esas hermosas manchas para tratar de capturar el patrón de movimientos) y un HTC G1, y sus declaraciones parecen ciertas. ¡Así que nada de comprar cosas por Paypal en el celular! o al menos no en público ;)

Via | MobileBurn

De acuerdo al Wall Street Journal India y RIM llegaron a un acuerdo para que no se prohiba el uso de Blackberry en ese país como habían amenazado y su declaración oficial es:

“Realmente tratamos de ser tan cooperativos como sea posible con los gobiernos en el espíritu de respaldar las necesidades de seguridad de estado, preservando al mismo tiempo los legítimos derechos de los ciudadanos y las empresas.”… [los carriers] “están autorizados a permitir el acceso al tráfico BlackBerry sólo en el contexto de acceso legal y los requisitos de seguridad nacional que regulen judicialmente el país y sus normas de derecho”.

¿Que implica esto? Que en un estado totalitario o en uno donde la justicia da acceso al monitoreo de datos las operadoras van a dar acceso al tráfico de datos de sus clientes lo que, definitivamente, no es una buena noticia para nosotros como usuarios ni para RIM como empresa porque esta barrera de privacidad lo diferenciaba del resto de las plataformas móviles.

Los teléfonos móviles cada vez se parecen más a ordenadores, cada vez tienen más opciones y más datos personales sobre su propietario. Por ese motivo, cumplir unas normas básicas de seguridad se está convirtiendo en algo imprescindible para evitar posibles disgustos. La firma ESET, especialista en seguridad informática y antivirus, ha publicado un decálogo con algunos hábitos básicos a tener en cuenta para evitar problemas con nuestros teléfonos. Algunos de los puntos son muy obvios, pero no por ello deja de ser interesante recordarlos:

• Activar el acceso a nuestro móvil a través de un código PIN y, si el terminal lo permite, establecer otro código para el desbloqueo.
• Hacer copias de seguridad de los datos de nuestro móvil: agenda, fotos, vídeos, documentos, descargas… para poder recuperarlo todo en caso de perder el móvil o que éste resulte infectado.
• Activar las conexiones por Bluetooth, infrarrojos y WiFi únicamente cuando vayamos a utilizarlas. Además, establecer contraseñas para el acceso a nuestro terminal desde estas conexiones y configurar nuestro móvil como invisible para las conexiones Bluetooth.
• Asegurarnos de que los equipos a los que conectamos nuestro teléfono no están infectados por algún tipo de virus.
• Siguiendo con el punto anterior, no insertar tarjetas de memoria sin haber comprobado previamente que están limpias de virus.
• Descargar aplicaciones exclusivamente de sitios de confianza o de las tiendas oficiales.
• No acceder a los enlaces que nos lleguen vía SMS o MMS.
• Antes de cerrar nuestro navegador, cerrar sesión en aquellos servicios que requieran contraseña.
• Instalar un software antivirus que permita detectar posibles amenazas.
• Conocer y apuntar nuestro código IMEI, que permite a nuestro operador desactivar nuestro terminal en caso de robo. Para conseguir ese código, marcad *#06# en vuestro móvil.

¿Cuántos de estos diez mandamientos cumplís en vuestro día a día?