Vulnerabilidad de Bluetooth en AirPods Apple ha lanzado una actualización de firmware para los AirPods que podría permitir a un actor malintencionado acceder a los auriculares de manera no autorizada.
Rastreada como CVE-2024-27867, el problema de autenticación afecta a los AirPods (2.ª generación y posteriores), AirPods Pro (todos los modelos), AirPods Max, Powerbeats Pro y Beats Fit Pro.
«Cuando tus auriculares están buscando una solicitud de conexión a uno de tus dispositivos previamente emparejados, un atacante dentro del rango de Bluetooth podría suplantar el dispositivo de origen previsto y acceder a tus auriculares», dijo Apple en un aviso el martes.
En otras palabras, un adversario en proximidad física podría explotar la vulnerabilidad para espiar conversaciones privadas. Apple dijo que el problema ha sido abordado con una mejor gestión del estado.
Jonas Dreßler ha sido acreditado por descubrir y reportar la falla. Ha sido corregida como parte de la Actualización de Firmware 6A326 para AirPods, Actualización de Firmware 6F8 para AirPods y Actualización de Firmware 6F8 para Beats.
El desarrollo llega dos semanas después de que el fabricante de iPhone lanzó actualizaciones para visionOS (versión 1.2) para cerrar 21 deficiencias, incluyendo siete fallas en el motor del navegador WebKit.
Ciberseguridad Uno de los problemas se refiere a un fallo de lógica (CVE-2024-27812) que podría resultar en una denegación de servicio (DoS) al procesar contenido web. El problema ha sido solucionado con un mejor manejo de archivos, dijo.
El investigador de seguridad Ryan Pickren, quien reportó la vulnerabilidad, la describió como el «primer hack de computación espacial del mundo» que podría ser usado para «burlar todas las advertencias y llenar forzosamente tu habitación con un número arbitrario de objetos 3D animados» sin interacción del usuario.
La vulnerabilidad aprovecha la falla de Apple al aplicar el modelo de permisos al usar la función ARKit Quick Look para generar objetos 3D en la habitación de una víctima. Para empeorar las cosas, estos objetos animados continúan presentes incluso después de salir de Safari, ya que son manejados por una aplicación separada.
«Además, ni siquiera requiere que esta etiqueta de anclaje haya sido ‘clickeada’ por el humano», dijo Pickren. «Así que el clic programático de JavaScript (es decir, document.querySelector(‘a’).click()) funciona sin problema alguno. ¡Esto significa que podemos lanzar un número arbitrario de objetos 3D animados y sonoros sin ninguna interacción del usuario!»
El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.