(Seguridad) Cuidado con el clon chino del iPad, el ePad – espía

  4/11/2011    

Averiguando sobre algún dispositivo parecido al iPad, recurrí sobre información de los dispositivos imitados hechos por los chinos. Sin embargo, me di con la ingrata sorpresa de que al parecer aparte de ser dispositivos muy baratos, no es lo que parece, pues incluyen software espía que envía nuestra información a sitios web chinos.

Quizás parezca muy paranoico al generalizar y decir que todos los dispositivos chinos incluyen dichos software, pero aquí va un ejemplo sobre el ePad. En el blog de Luis Argente Castro, quien posee un ePad chino, menciona que ha denunciado a un sitio chino por realizar la recolección ilegal de datos de los usuarios del ePad.

ePad-Espía

Para ello se analizó el tráfico de la red WiFi a través de Ethereal, monitorizando el tráfico a pesar de no utilizarlo (algo andaba mal lo que hizo que él sospechase) para ver los paquetes TCP/IP que van y vienen, y el resultado es el siguiente:

ePad-sniffer

Su ePad tiene IP asignada 192.168.1.84 (local) la cual está haciendo una consulta DNS que luego por la puerta de enlace 192.168.1.1 hacia el dominio http://o93472334.sooot.cn y si accedemos a dicho sitio veremos algo así:

login-epad

El sitio muestra un formulario de acceso y además de ello es vulnerable a ataques de inyección SQL. Si ingresamos cualquier nombre nos mostrará error de acceso:

login-error

Login name or password is incorrect

Especulo que está utilizando el siguiente código SQL dentro del sitio:

SELECT username
  FROM users
 WHERE username = '$elusuario';

Si en $elusuario se acepta lo que ingresamos sin filtrar símbolos que permiten inyección del lado del servidor, entonces podemos hacer lo siguiente que es válido para consultas SQL:

SELECT username
  FROM users
 WHERE username = 'lo que sea' or 'x'='x';

Aquí se acepta ya sea el nombre del usuario existente que como no sabemos y colocamos lo que sea, la respuesta será no afirmativa, pero dando la alternativa OR donde x=x entonces sí será afirmativa, por tanto la respuesta a todo es que sí podremos acceder ya que de todas maneras resultará afirmativa. Para ello, ingresamos lo que sea’ or ‘x’=’x lo cual irá dentro de los apóstrofos (where username = ‘<aquí>’;) completando la consulta de ejemplo arriba mencionado.

ingresando-al-sitio-de-epad-

Bueno, basta de detalles (lapsus), con ello hemos accedido al sitio web y ya podremos ver lo que esconde.

epad-chino-espia

Traducido sería:ePad-espia

Este es el resultado, podemos ver en un menú desplegable la información que se encuentra almacenada. Si elegimos SMS y presionamos el botón, podremos visualizar los SMS que están siendo enviados a través de el ePad.

Además de ello, parece que el formulario de acceso sólo oculta este último formulario, ya que se puede acceder a los enlaces directos de dicha web:

  • IMAGE : ID de la imagen, Título, Fabricante del equipo, Modelo del CHIP, EXIF original, tiempo de exposición, tabla de luminancia, tabla de chromaticity.
  • MMS : Origen, Destino, Texto, e ID de la imagen
  • PHONE : detalles sobre el servicio y el dispositivo: Operador, Modelo, IP, País
  • PROFITS : Incluye: Número telefónico, lista hasta 10 aplicaciones que se estuvo utilizando
  • RING : llamadas que se realiza, incluye el número de destino, la fecha, duración, ID de la antena, posición GPS!!!!! , latitud
  • SMS : los SMS que se envían, incluye Origen, Destino y Mensaje
  • WEB_LINK : Los sitios web que se visitan, se puede ver los números más la URL

SMS-ePad

SMS almacenados

Como pueden apreciar, todos esos datos están siendo enviados a dicho sitio, y resulta muy alarmante, ya que no sabemos si otros dispositivos chinos hacen lo mismo, aunque conociendo el afán de los chinos para espiar a todo mundo es de suponer que muchos de los demás dispositivos realizan esas prácticas anti éticas.

Finalmente, hagamos de conocimiento de esto que está ocurriendo y mucha gente no lo sabe o ignora la cantidad de datos que está siendo recabado sin su autorización. Quién sabe, hay muchas personas que puedan estar compartiendo datos confidenciales como cuentas bancarias, contraseñas empresariales, etc.

Podemos denunciar tales prácticas de delito informático aquí

Via http://macbarato.blogspot.com/

   / / /

Synaptop – Un sistema operativo virtual para compartir con los amigos

  4/09/2011    

Mientras estamos navegando la web y comunicándonos con nuestros amigos al mismo tiempo, a menudo compartimos enlaces a sitios de música, vídeos, etc. Pero en lugar de compartir enlaces, ¿no sería interesante el poder utilizar un navegador o aplicación al mismo tiempo y compartir esa experiencia en la misma pantalla?

Synaptop, un startup ubicado en Toronto acaba de lanzar su plataforma que emula una computadora virtual permitiendo a los usuarios el poder colaborar en tiempo real a través de una variedad de aplicaciones, incluyendo un navegador web, reproductor multimedia, un bloc de notas y una aplicación que soporta presentaciones en vivo.

Esta webapp básicamente es un sistema operativo virtual online, el cual imita la apariencia de un Sistema Operativo convencional, con varias aplicaciones que se ejecutan dentro del mismo sitio web. En esencia tiene la apariencia de un sistema operativo común pero destaca porque permite compartir las aplicaciones en tiempo real con tus amigos.

Synaptop

Ya sea estés navegando la web con “Synapnet”, el navegador web de Synaptop o escuchando música en su propio reproductor, tienes la posibilidad de agregar amigos o aceptar seguidores de tal manera que puedan compartir experiencias en tiempo real.

Synaptop viene instalado con algunas aplicaciones de manera predeterminada, incluyendo una aplicación llamada Sketch que permite colaborar en la creación de dibujos, y verlo en tiempo real. Synaptop incluye también una tienda de aplicaciones que lista aplicaciones y widgets. De ahí podrán ser instaladas y/o descargadas nuevo contenido, así como también desinstalarlas.

Aparte de poder invitar a tus amigos a utilizar las aplicaciones junto a ti, también ofrece poder realizar llamadas a través de Synaptop. Las opciones adicionales que ofrece son: Chat por vídeo, subir documentos, imágenes, música, o cualquier tipo de archivo. También podemos visualizar los Tweets y publicaciones en Facebook.

Una vez que se haya invitado a algunos amigos a través de correo electrónico o Facebook, podremos realizar llamadas directas, chatear, compartir aplicaciones y traducir mensajes al vuelo. El servicio gratuito de Synaptop ofrece 2GB de almacenamiento y es accesible a través de cualquier computadora, tablet o dispositivo móvil. Sami Siddique, Presidente y CEO de Synaptop menciona que se vienen más aplicaciones ya que tiene acuerdos con grandes empresas.

Fuente: TheNextWeb

   / /

DarkDesktop 1.3 – Ajustar el brillo sin tocar el monitor

  4/04/2011    

Hoy me levanté con ganas de agregarle algunas cosillas a este utilitario, si todavía no saben qué es DarkDesktop, les diré que es un programa para Windows 7 que permite ajustar el brillo de nuestro monitor mediante combinaciones de teclado de forma más sencilla que con esos molestos botones del monitor (cada monitor/marca tiene diferente manera de hacerlo).

DarkDesktop

Ahorrando tiempo y sencillo de utilizar, aunque tiene algunas desventajas de hacerlo físicamente, para uso convencional es lo necesario creo yo. Menciono que tiene desventajas, ya que DarkDesktop es un programa como otros, es decir, una ventana que se sobrepone sobre todo lo demás, pero es una ventana con propiedades Clickthrough, es decir que no interviene en nada con el usuario, totalmente transparente a los clics del ratón, teclado, etc. Únicamente se coloca sobre todos los demás programas para poder mostrarse alternado los colores, dando la sensación de oscurecimiento.

Las nuevas características que incluye son:

  • Nuevos atajos de teclado:
    • Win+X : Activar o desactivar
    • Win+Z y la posición del ratón para ajustar de manera más rápida
  • Más detalles a ajustar en la ventana de configuración
  • Modo persistente (para que no pierda el foco cuando estén otras aplicaciones con propiedades TopMost – Siempre arriba)
  • Corrección de algunos errores

Aquí les subí un vídeo para explicarles de cómo funciona.

Como pueden verlo, es muy sencillo su utilización, y lo pueden obtener de manera gratuita aquí:

   / / /

Gmail Motion resulta que sí existe en realidad

  4/04/2011    

kinect-gmail-motion

El pasado 1º de Abril (April Fools: día de engañar, tradición parecida a la que tenemos de El Día de los Santos Inocentes cada 28 de Dic.); Google como era de esperarse lanzó su broma, en esta ocasión relacionada con su servicio gratuito de correo electrónico, Gmail. Anunciaban una nueva manera de interactuar con su servicio mediante gestos del cuerpo, denominado GMail Motion. El vídeo de dicha broma es la siguiente:

Sin embargo, alguien ya estaba pensando en algo parecido para su investigación post-doctoral, quienes en un vídeo contestaron a esta broma mostrando con un software lo que GMail Motion ofrecía ser.

El trabajo proviene de la Universidad del Sur de California, cuyo desarrollo es de  Evan A. Suma, Belinda Lange, Skip Rizzo, David Krum y Mark Bolas. El proyecto se denomina FAAST de su acrónimo en Ingles Flexible Action and Articulated Skeleton Toolkit.

FAAST es un intermediario para facilitar la integración del control a cuerpo completo ya sea de videojuegos o aplicaciones de realidad virtual. El kit se basa en las tecnologías de OpenNI y PrimeSense para rastrear el movimiento del usuario utilizando el sensor Prime o sino el Kinect de Microsoft.

Más detalles y el software para descargar ~>  http://projects.ict.usc.edu/mxr/faast/

Otro vídeo más para ver que no únicamente es para controlar Gmail

Fuente: Video: Gmail Motion Becomes Real | thechromesource - Google Chrome and Chrome OS News and Forum

   / / /

Vistas dinámicas en Blogger

  4/02/2011    

vistas-dinámicas

Vistas dinámicas es una nueva característica incluida en el servicio de blogging gratuito de Google (Blogger), y es que ofrece una alternativa de visualización de nuestro contenido mediante un entorno más dinámico para lectura, ofreciendo un mayor libertad y sencillez en cuanto a la búsqueda de contenido dentro de un blog.

El contenido se podrá ver en nuestra dirección normal, por ejemplo: la dirección http://tublog.blogspot.com ya cuenta con dicha característica, tan sólo basta agregarle al final /view y ya se estará visualizando dicho blog de una manera diferente. Por ejemplo, puede ver este mismo blog usando Dynamic VIews http://codigobit.info/view .

View-Blogger

Esta nueva interfaz ofrece 5 maneras distintas de visualizar nuestro contenido:

  • Flipcard: Organiza las entradas tanto por Recientes, Fecha, Etiqueta y Autor
  • Mosaic: Permite agrupar como un diario y al hacer clic sobre un entrada, agranda mostrando el contenido, con otro clic volverá a mostrar los encabezados.
  • Sidebar: Permite ver las entradas en un costado para acceder con un clic.
  • Snapshot: Muestra los artículos con imágenes y al hacer clic realiza un deslizamiento a la derecha que contendrá dicho artículo.
  • TimeSlide: Permite ver las entradas en orden cronológico.

Este visualizador requiere de navegadores modernos IE8 para arriba, Firefox 3.5+, Chrome, Safari y Opera 11+.

Flipcard-Blogger

Más sobre Dynamic Views All about Dynamic Views for Readers - Blogger Help

   / / / / / / / / / /

Historia de los navegadores Web (infografía)

  4/01/2011    

webhistory

Esta es una interesante infografía sobre los navegadores web más conocidos, en el gráfico no sólo se muestra el año en el que fueron lanzados, sino que también cuán populares son/fueron, indicados por su ancho

via Techking

   / / / / / /

Suscribirse a: Entradas (Atom)