¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

[MÓDEM MUSICAL]

PATO.  Hola a todos.

Bienvenido de nuevo al Podcast de Naked Security.

Doug todavía está fuera esta semana, así que somos yo, Duck y mi buen amigo Chester Wisniewski otra vez.

Hola Chet.

CHET.  ¡Oye, pato!

PATO.  ¡Dijiste que volverías y has vuelto!

Nada adverso, o ninguna catástrofe importante de malware, lo ha desviado del paso.

Entonces, comencemos directamente con la historia de apertura de esta semana, que es interesante y, en cierto modo, compleja de explicar...

…porque el diablo está en los detalles, y los detalles son difíciles de encontrar.

Y solo leeré el título de Naked Security: Peligrosos errores de día 0 para teléfonos Android revelados: repárelos o resuélvalos ahora.

Esto tiene que ver con una cosa llamada "la banda base".

Peligrosos errores de día 0 para teléfonos Android revelados: ¡repárelos o resuélvalos ahora!

CHET.  Bueno, estos chips de banda base en su teléfono móvil en realidad ejecutan su propio pequeño sistema operativo...

…para su módem 5G, para que hable con las torres celulares, tal vez el receptor GPS, para recibir su información de ubicación.

PATO.  Tengo entendido que la banda base ni siquiera incluye Wi-Fi y Bluetooth.

Esos son manejados por diferentes partes del System-on-Chip [SoC] porque existen regulaciones mucho más estrictas sobre transmisiones de radio y disponibilidad de teléfonos y cosas para la red móvil que las que existen para cosas como Wi-Fi y Bluetooth.

CHET.  Sí, la regulación de esto es bastante estricta, probablemente por razones de seguridad, ¿no?

GSM es una especificación del Instituto Europeo de Normas de Telecomunicaciones, y asumo que las prueban de manera muy estricta para verificar que estén en la frecuencia correcta precisa, en la cantidad de energía precisa y correcta, y que no están diseñadas de tal manera que podría conectar y denegar el servicio de la red, o interferir con la capacidad de hacer llamadas de emergencia, o todo ese tipo de cosas.

Así que no es como un chip básico del que 20 compañías diferentes en China están sacando versiones de 30 centavos.

Solo hay (hasta donde yo sé) dos fabricantes que los fabrican: Samsung y Qualcomm.

Así que es muy difícil hacerlos.

Quiero decir, Intel trató de entrar en el negocio de la banda base de los módems hace unos años, gastó miles de millones de dólares y terminó yéndose porque no podía hacerlo.

PATO.  Entonces, la banda base, llamémosla chip, aunque es parte de un chip más grande, que describí en el artículo como System-on-Chip... puedes considerarlo como un "circuito integrado integrado".

Es como una placa base muy, muy pequeña, en un paquete de un solo chip.

Y luego está esta parte que es, si se quiere, un chip dentro de un chip.

La idea es que se supone que funciona independientemente de, por ejemplo, Android o iOS si tienes un iPhone.

Eso significa que si tiene un error en su firmware de banda base al que se puede acceder desde Internet, un ladrón podría interferir con la parte de comunicaciones de la red móvil de su teléfono, incluso si no pueden ir más allá y tomar el control de Android. o sus aplicaciones.

E imagino que si están en medio de su negocio de red, eso significa que probablemente puedan espiar sus datos, espiar sus llamadas, meterse con sus llamadas, tal vez bloquear sus llamadas, tal vez leer todos sus SMS.

Entonces, tener un error en la parte del módem de banda base de su chip...

…no solo es independiente de cualquier error en Android, ni siquiera va necesariamente con el modelo de teléfono que compraste, ¿verdad?

Porque podría depender de qué versión de chip se instaló en ese dispositivo, o en qué mercado se vendió, o en qué fábrica se fabricó.

CHET.  Sí, absolutamente.

Quiero decir, ciertamente ha habido muchos teléfonos en el pasado donde, dependiendo de todos los factores que acabas de mencionar, obtendrías exactamente los mismos dispositivos con diferentes módems en ellos.

Tal vez en los Estados Unidos... usan una frecuencia diferente para 5G que la que usamos aquí en Canadá, por lo que podría haberle facilitado obtener una marca de chip en lugar de otra marca de chip.

Pero cuando lo compras en la tienda, sigue siendo solo un “Pixel 7”, o un “Samsung S21”, o como se llame en la lata.

Realmente no sabes lo que hay ahí.

No hay manera de que usted, antes de tiempo, diga: "Oh, solo estoy comprando un teléfono que tiene una versión Qualcomm Snapdragon del chip del módem".

Quiero decir, no es algo que realmente puedas hacer...

PATO.  Google buscó errores en esta parte de los dispositivos de "banda base".

Presumiblemente, eligieron el componente de chip de módem Samsung Exynos porque resulta que es el que usan en sus últimos y mejores teléfonos Pixel... en el Pixel 6 y Pixel 7.

Pero también cubre una gran cantidad de otros dispositivos: de Samsung, Vivo e incluso algunos automóviles.

Y parece que tropezaron con 18 vulnerabilidades.

Pero cuatro de ellos, decidieron, eran tan graves que a pesar de que han pasado 90 días desde que los encontraron y los revelaron, y por lo tanto están en una posición en la que normalmente "caerían un día 0" si hubiera No había un parche disponible, decidieron suprimirlo.

De hecho, anularon su propia política de drop-an-0-day.

CHET.  Y, milagrosamente, impacta uno de sus dispositivos.

Que casualidad Pato...

PATO.  Tengo entendido que la serie Pixel 6 y la serie Pixel 7 tienen este firmware defectuoso.

Y aunque Google dijo con orgullo: "Oh, hemos creado parches para los dispositivos Pixel afectados"...

…en el momento en que anunciaron esto, cuando terminaron los 90 días, aunque *tenían* parches para Pixel 6es, en realidad aún no los habían hecho *disponibles*, ¿verdad?

Entonces, aunque normalmente es el 6 (o el 5) de marzo cuando salen sus actualizaciones mensuales, de alguna manera no lograron obtener actualizaciones para la serie Pixel 6 hasta, ¿qué fue, el 20?

CHET.  Bueno, tengo un Pixel 5, Duck, que no está afectado y, sin embargo, no recibí mis actualizaciones hasta el día 20.

Así que parece haber atascado las obras en Mountain View, hasta el punto en que todo, incluso si se arregló, simplemente se quedó estacionado en el estante.

PATO.  En este caso, parece ser lo que llamaron "ejecución remota de código de Internet a banda base".

En otras palabras, alguien que tiene acceso a Internet podría de alguna manera hacer ping a tu teléfono sin comprometer la parte de Android, o engañarte para que descargues una aplicación maliciosa, podría implantar algún tipo de malware en tu teléfono, y casi tendrías no hay forma de saberlo.

Entonces, ¿qué hacer, Chester?

CHET.  Bueno, por supuesto, la respuesta es: ¡Parche!

Por supuesto, hay muy poco aparte de eso, pero puede haber algunas configuraciones en su dispositivo.

Parece que el más preocupante de los 18 errores que se descubrieron afecta lo que se llama Voice over LTE o Voice over Wi-Fi.

Si piensa en cómo se comunica su teléfono, por lo general (en los viejos tiempos) usaba una forma completamente diferente de enviar su voz, comprimida a través de la red inalámbrica para una llamada telefónica, que para, por ejemplo, enviarle un mensaje de texto o permitiéndole acceder a los datos.

Y el error parece estar en la forma más moderna de hacer las cosas, que consiste en tratar todo como datos.

Usted hace que sus llamadas telefónicas de voz se paqueticen en paquetes IP: Voz sobre IP, por así decirlo, utilizando la parte de *datos* de la red, y no la parte de voz designada de la red.

Entonces, si su teléfono tiene una opción que dice "Activar llamadas Wi-Fi" o "Usar VoLTE" (que es Voz sobre LTE), es posible que pueda desactivar estas opciones si aún no ha recibido un parche de su fabricante.

PATO.  Es complicado, pero definitivamente es una cuestión de "observar este espacio".

Entonces, pasemos a la siguiente historia, Chester.

[RISAS] Se trata de su tema favorito, que es, por supuesto, la criptomoneda.

Se trata de una empresa que fabrica cajeros automáticos de Bitcoin que son administrados por un servidor que permite a los clientes ejecutar una red completa de cajeros automáticos desde una cosa, llamada CAS (servidor de cajero automático central).

Y tenían un error que me recuerda a esos viejos errores de los que solíamos hablar en los días de Chet Chat, donde tienes un complemento de carga que te permite cargar videos o imágenes...

… pero luego no verifica que lo que se subió realmente era una imagen, *y* la deja en un lugar donde el atacante puede engañar al sistema para que la ejecute.

¿Quién sabía, Chester, que los cajeros automáticos de criptomonedas necesitaban funciones de carga de video?

Clientes de cajeros automáticos de Bitcoin pirateados por carga de video que en realidad era una aplicación

CHET.  Estaba pensando más en la línea de "¿Quién en su sano juicio cree que quieres un entorno de tiempo de ejecución de Java en un cajero automático?"

Así que tengo una pregunta, Pato.

Estoy tratando de imaginar esto en mi cabeza...

Estaba en Black Hat, Dios mío, tuvo que ser hace diez años o más, y Barnaby Jack robó un cajero automático, y los billetes de $ 20 comenzaron a salir volando del casete de efectivo.

Y estoy tratando de imaginar lo que sucede cuando hago una puerta trasera en un cajero automático de Bitcoin.

¿Qué sale?

¿Podemos ganar uno de estos en DEF CON este año?

¿Y qué vería?

PATO.  Creo que lo que podría ver son transacciones de Bitcoin que el propietario legal de los Bitcoins, o cualquier criptomoneda que sea, no aprobó.

Y, al parecer, claves privadas que la gente ha subido.

Porque, por supuesto, si desea un escenario de "billetera caliente" en el que sus criptomonedas puedan intercambiarse sobre la marcha, en cualquier momento, por otra persona en su nombre en su red financiera descentralizada...

… entonces tienes que darles tu criptomoneda (transferirla a su monedero para que sea de ellos) y esperar que te la devuelvan.

O tienes que darles tu clave privada, para que puedan actuar en tu nombre según sea necesario.

CHET.  Cualquier transacción que, para que sea funcional, requiera que entregue una clave privada significa que la clave privada ya no es privada, ¡y eso tiene que terminar ahí mismo!

PATO.  [RISAS] Sí, es una cosa bastante extraña.

Como dices, cuando se trata de claves privadas, la clave está en el nombre, ¿no?

CHET.  Ciertamente no tenemos suficiente tiempo para analizar todas las razones por las que las criptomonedas son una mala idea, pero en caso de que necesites otra, agregaremos esta a la lista.

PATO.  Sí, y tenemos algunos consejos.

No repasaré los consejos que tenemos, pero tenemos un "¿Qué hacer?apartado, como es habitual, en el artículo sobre Naked Security.

Tenemos algunos consejos para las personas que utilizan los productos de esta empresa en particular, pero también consejos generales para los programadores que sienten que necesitan crear algún tipo de servicio en línea que permita realizar cargas.

Hay lecciones que deberíamos haber aprendido hace 20 años, que no habíamos aprendido hace diez años, y aparentemente algunos de nosotros todavía no hemos aprendido en 2023...

… sobre la precaución que necesita cuando permite que personas que no son de confianza le brinden contenido que luego mágicamente convierte en algo confiable.

Entonces, hablando de confiar en las aplicaciones de tu dispositivo, Chester, pasemos al tema final de la semana, que resulta ser una historia doble.

Tuve que escribir dos separado en dos días consecutivos en Naked Security!

Hubo un error encontrado por algunos investigadores muy excitables, que lo llamaron "aCropalypse", porque los errores merecen nombres impresionantes cuando son emocionantes.

Y encontraron este error en la aplicación en los teléfonos Google Pixel que le permite tomar una captura de pantalla, o una foto que haya capturado, y recortarla o borrar partes de ella.

El problema es que el archivo recortado se enviaría *junto con los datos que estaban al final del archivo original, no se eliminaría de él*.

Los teléfonos Google Pixel tenían un error grave de fuga de datos: ¡esto es lo que debe hacer!

Entonces, los nuevos datos se escribieron sobre el archivo anterior, pero el archivo anterior no se cortó en el nuevo punto final.

Una vez que se hizo evidente cómo sucedió este error, la gente pensó: "Oye, veamos si hay otros lugares donde los programadores han cometido un error similar".

Y, he aquí, al menos el Windows 11 Snipping Tool resulta que tiene exactamente el mismo error...

… aunque por una razón completamente diferente, porque el de los teléfonos Pixel, creo, está escrito en Java, y el de Windows, supongo, está escrito en C++.

Si Save el archivo, en lugar de Save As a un archivo nuevo, escribe sobre el archivo antiguo pero no elimina los datos sobrantes.

¿Qué tal eso, Chester?

Windows 11 también es vulnerable a la fuga de datos de imágenes "aCropalypse"

CHET.  [IRÓNICO] Bueno, como saben, siempre nos gusta tener soluciones alternativas.

Supongo que la solución es solo recortar hasta el primer 49% de una imagen.

PATO.  Oh, ¿te refieres a recortar desde la parte superior?

CHET.  Sí.

PATO.  Muy bien... ¿entonces obtienes la parte inferior de la imagen anterior en la parte superior de la imagen nueva y obtienes la parte inferior de la imagen anterior?

CHET.  Sin embargo, si está redactando una firma en la parte inferior del documento, asegúrese de darle la vuelta primero.

PATO.  [RISAS] Bueno, hay algunas otras soluciones, ¿no?

Es decir, si está utilizando una aplicación que tiene un Save As opción, donde crea un nuevo archivo, obviamente no hay contenido para sobrescribir que podría quedar atrás.

CHET.  Sí.

Una vez más, sospecho que estos errores se solucionarán, y la mayoría de las personas solo necesitan asegurarse de estar al tanto del martes de parches o del día de parches de Google, como discutimos anteriormente... cualquiera que sea el día que termine, porque nunca se sabe bien.

PATO.  El verdadero problema parece ser (y puse algunos volcados hexadecimales en el artículo de Naked Security) que la forma en que funcionan los archivos PNG es que contienen casi una carga de códigos de operación o pequeños bloques internos.

Y hay bloques que dicen: IDAT… así que esos son los datos que están en el archivo.

Y finalmente hay uno que dice IEND, que significa, "Este es el final de la imagen".

Entonces, el problema es que, si recorta un archivo y deja el 99% de los datos antiguos allí, cuando lo ve con algo como el Explorador de archivos o cualquier programa de visualización de imágenes, *verá el archivo recortado*, porque la biblioteca PNG que está cargando los datos llegará primero IEND etiquete y diga: "Está bien, puedo parar ahora".

Y supongo que probablemente por eso nunca se encontró el error.

CHET.  Por lo general, cuando se realizan comprobaciones de comparación mediante programación, a menudo se trabaja con hashes, lo que sería diferente, ¿verdad?

Entonces, específicamente necesitabas mirar el *tamaño*, ni siquiera que el hash cambiara, ¿verdad?

PATO.  Si usted es un programador, de hecho, este tipo de error, en el que sobrescribe un archivo en el disco, pero olvida, o descuida, abrir el archivo en el modo en que se cortará donde los nuevos datos termina…

…este es un error que en realidad podría afectar a una gran cantidad de programas.

Y cualquier formato de datos que tenga un "este es el final de la etiqueta de imagen" dentro del archivo podría ser fácilmente vulnerable a esto.

CHET.  Sospecho que puede haber muchas conversaciones en agosto en Las Vegas discutiendo esto en otras aplicaciones.

PATO.  Entonces, todo depende de cómo se abrió el archivo.

Si eres programador, ve e investiga el modo abierto. O_TRUNC, lo que significa que cuando abre un archivo para escribir y ya existe, desea truncar el archivo, no sobrescribirlo en su lugar.

A veces desea hacer eso... por ejemplo, si está parcheando el encabezado de un archivo EXE para agregar la suma de verificación correcta, obviamente no desea truncar el archivo en ese punto.

Pero en este caso, particularmente cuando estás recortando una imagen *específicamente para deshacerte de las partes dudosas* [RISAS], definitivamente no quieres que quede nada que no debería estar ahí.

CHET.  Sí, todos esos son buenos puntos, Duck, y creo que el resultado final es, por ahora...

…sabemos que necesita parchear Windows 11, y necesita parchear su dispositivo Android, al menos si está usando el editor de imágenes de Google, que probablemente sea solo para los teléfonos Pixel.

Pero probablemente vamos a ver más de este tipo de cosas, ¿verdad?

¡Así que mantente al tanto de *todos* tus parches!

Quiero decir, no deberías esperar el podcast de Naked Security y decir: "Oh, necesito ir a aplicar la solución de Android porque Duck lo dijo".

Necesitamos adquirir el hábito de simplemente consumirlos cuando salen, porque estas no son las únicas aplicaciones que cometen estos errores; este no es el único error de Firefox que resultará en una fuga de memoria; estas cosas están sucediendo todo el tiempo.

Y mantenerse actualizado es importante en general, no solo cuando se entera de algún error crítico.

PATO.  Es un poco como el "problema del ransomware", ¿no?

Que es realmente el "problema general de adversario activo/malware".

Centrarse en una pequeña parte, solo el ransomware, no es suficiente.

Necesitas una defensa en amplitud así como una defensa en profundidad.

Y cuando se trata de parchear, como usted dice, si siempre necesita una excusa de interés periodístico, o un error con un nombre elegante para pasar la línea, usted es parte del problema, no parte de la solución, ¿no? no dices?

CHET.  ¡Sí, precisamente!

[RISAS] Tal vez si este concepto es lo que se necesita, entonces deberíamos tener un Error con un nombre impresionante herramienta generadora, que podríamos colocar en el sitio web de Sophos en alguna parte, y luego, cada vez que alguien encuentre un error, podría darle un nombre...

…si eso es lo que se necesita para motivar a la gente a hacer esto.

PATO.  Ah, quieres decir... incluso si no es un error muy peligroso, y tiene una puntuación CVSS de -12, ¡simplemente le das algunos nombres increíbles!

Y ha habido algunos grandes en el pasado, ¿no es así?

tuvimos Atolladero, heartbleed... La lira de Orfeo, si recuerdas ese.

Ese error no solo tenía un sitio web y un logotipo, ¡tenía una melodía temática!

¿Qué hay sobre eso?

Agujero de seguridad de Windows: explicación del ataque "Orpheus' Lyre"

CHET.  [RISAS] Siento como si estuviéramos entrando en una página de MySpace, o algo así.

PATO.  Por supuesto, cuando creas la melodía del tema y luego la recortas hasta la ordenada picadura de 7 segundos, debes tener cuidado de no haber dejado algunos datos de audio no deseados en el archivo debido al error aCropalypse. [RISAS]

Excelente.

Muchas gracias, Chester, por reemplazar a Doug durante su ausencia y por compartir sus conocimientos con nosotros.

Como siempre, solo nos queda decir…

CHET.  ¡Hasta la próxima, mantente seguro!

[MÓDEM MUSICAL]