@ Artellando e-solucións Solucións informáticas a medida

Novas de seguridade para usuarios domésticos - Semana do 23/09/2019

Actualizacións

O INCIBE informa nun aviso da publicación da versión 3.9.12 de Joomla, que corrixe uns cantos erros, así como un problema de cross-site scripting (XSS) de baixo risco.

FACUA informaba nun artigo da publicación por parte de Microsoft de dúas actualizacións que corrixen vulnerabilidades críticas de Windows Defender e Internet Explorer. Os parches son aplicables a tódalas versións de Windows con soporte.

Para aqueles que se animasen a actualizar a iOS 13, saiban que Apple anunciou a publicación da versión 13.1 que resolve uns cantos erros. Entre eles, os sinalados por este artigo de Fast Company, nos que falan dun problema ao restrinxir compartir a localización con aplicacións, e Actualización en iOS para resolver un erro na privacidade dos datos de localización. Outro artigo de Forbes detalla máis os problemas resoltos por esta actualización, así como un bo número deles que aínda quedan no aire, e convida aos usuarios de iOS 12 a agardar a que as cousas se estabilicen antes de actualizar. Tanto é así, que uns días despóis, volvían a anunciar unha nova actualización (a 13.1.1) que resolvía un problema de seguridade coas extensións de teclado para terceiros.
Outro software de Apple que recibiu actualizacións esta semana foi TvOS 13, Safari 13, watchOS 5 e 6, e macOS Mojave. Máis información en https://support.apple.com/en-us/HT201222

Ameazas

Esta semana sairon á luz tres informes de seguridade nos que se explicaba a existencia de adware (programas que empregan anuncios para obter beneficios económicos) malicioso en aplicacións para Android con un bo número de descargas:

  • Wandera fai referencia a dúas aplicacións para facer selfies (Sun Pro Beauty Camera e Funny Sweet Beauty Selfie Camera) que suman máis de 1 millón de descargas e que serven so de excusa para instalar un programa que amosa anuncios a pantalla completa que dificultan o uso do terminal móbil. [Ver artigo]
  • vpntesting analiza catro aplicacións de VPN (HotSpotVPN, Free VPN Master, Secure VPN, and CM Security Applock AntiVirus) que suman máis de 500 millóns de descargas. Todas fan abuso dos anuncios, amosándoos aínda que a aplicación non se estea usando, consumindo datos e batería do terminal de forma abusiva. [Ver artigo]
  • Upstream informa dunha aplicación de información meteorolóxica (Weather Forecast: World Weather Accurate Radar), e que ven preinstalada nos Alcatel Pixi4 volve ás andadas: en xaneiro deste ano informaban de que a aplicación cargaba anuncios de servizos de pago e facía click nos botóns de subscripción sen necesidade de interacción por parte do usuario. Recomendan aos propietarios de Alcatel Pixi4 desactivar esta aplicación e retirarlle tódolos permisos. [Ver artigo]

Bleeping Computer publicou un artigo informando da existencia dunha vulnerabilidade de tipo zero-day (vulnerabilidade da que non se tiña previo coñecemento e que se descoñece dende cando pode ter sido explotada) que levaba varios anos explotándose, e que segue sen ter un parche oficial. Afortunadamente, o experto en seguridade Nick Cano aportou de xeito non oficial unha solución ao problema

ZDNet informaba nun artigo dunha campaña de apropiación de contas de creadores de YouTube, concretamente relacionados co tuning de automóbiles. Mediante unha campaña de phising por email, conseguían que os propietarios das canles secuestradas accedesen a webs que suplantaban este servizo, roubándolles as credenciais de acceso.

Nun artigo de Trend Micro explican cómo é posible saltar o proceso de revisión de aplicacións de Google Play e App Store para introducir aplicacións con funcionalidades inofensivas que finalmente ofrecen xogos de azar e apostas de pago. Se ben este tipo de aplicacións están permitidas, esta forma de operar pode supoñer un risco xa que usando o mesmo esquema poderían introducirse aplicacións maliciosas. E non so iso: estas aplicacións que copian a outras cunha funcionalidade auténtica ás veces desbancan en popularidade ás orixinais, contaminando os rankings de aplicacións, o que prexudica aos creadores de apps e supón un risco maior para os usuarios.

Se usa Google Alerts, interésalle ler este artigo de Bleeping Computer no que relatan cómo actores maliciosos poden empregar este servizo para redirixir a usuarios a páxinas cunha apariencia falsa que poden supoñer un risco. Recomendan aos usuarios deste servizo que cando creen unha alerta indiquen que so queren obter os mellores resultados para reducir o número de alertas falsas.

De interese para usuarios de WordPress é o descubrimento que anunciaba Wordfence nun artigo que alertaba dunha vulnerabilidade de tipo zero day no plugín Rich Reviews, e que permite a inxección de código malicioso. Ao parecer non hai todavía actualización que resolva o problema, e xa está a ser explotada esta vulnerabilidade.

Malware

¿Lembran que a semana pasada publicabamos un anuncio sobre unha nova campaña de malspam infectada con Emotet? Pois esta semana o INCIBE nun boletín de seguridade faise eco deste risco.


¿Non ten antivirus e precisa asesoramento para elixir un e instalalo? ¿Necesita facer unha limpeza do seu sistema? ¿Ten poucos coñecementos de informática e gustaríalle aprender máis para evitar riscos habituais? Contacte con nos e informarémolo do que podemos facer para axudalo.

Mencións

Apoiamos aos creadores: por iso, facemos referencia a tódolos elementos de terceiros que empregamos para realizar este artigo:

Comentarios

Hidden Contact Form

Axudas á promoción do emprego autónomo

Operación cofinanciada pola Unión Europea

PO Fondo Social Europeo Galicia 2014-2020


Obter formación e un emprego de calidade

O FSE Inviste no teu futuro