Google se sentó en un error de Chromecast durante años, ahora los hackers podrían causar estragos

tecnologia 02/01/2019

Google Se advirtió de un error en su dispositivo de transmisión de medios Chromecast hace años, pero no lo solucionó. Ahora, los hackers están explotando el error, y los investigadores de seguridad dicen que las cosas podrían empeorar.

Un hacker, conocido como Hacker Jirafa, se ha convertido en la última persona en descubrir cómo engañar al transmisor de medios de Google para que reproduzca cualquier video de YouTube que desee, incluidos los videos personalizados. Esta vez, el pirata informático secuestró miles de Chromecasts, lo que obligó a mostrar un aviso emergente que se puede ver en la TV conectada, advirtiendo al usuario que su enrutador mal configurado está exponiendo su Chromecast y la televisión inteligente a hackers como él.

No solo para perder una oportunidad, el hacker también le pide que se suscriba a PewDiePie, una horrible persona de Internet con un popular YouTube. (Es el mismo pirata informático que engañó a miles de impresoras expuestas para que admitieran la impresión de PewDiePie).

El error, denominado CastHack, explota una debilidad tanto en Chromecast como en el enrutador al que se conecta. Algunos enrutadores domésticos han habilitado Universal Plug and Play (UPnP), un estándar de red que puede ser explotado de muchas maneras. UPnP reenvía los puertos de la red interna a Internet, lo que hace que Chromecasts y otros dispositivos sean visibles y accesibles desde cualquier lugar en Internet.

Como dice Hacker Giraffe, deshabilitar UPnP debería solucionar el problema.

"Hemos recibido informes de usuarios que han tenido un video no autorizado reproducido en sus televisores a través de un dispositivo Chromecast", dijo un portavoz de Google a VendeTodito. "Esto no es un problema específico de Chromecast, sino que es el resultado de la configuración del enrutador que hace que los dispositivos inteligentes, incluido Chromecast, sean accesibles públicamente", dijo el portavoz.

Por un lado, eso es cierto, pero no aborda el error de años que le da a cualquier persona con acceso a un Chromecast la capacidad de secuestrar el flujo de medios y mostrar lo que quiera, porque Chromecast no verifica si alguien está autorizado. para cambiar el flujo de video. (Google no respondió a nuestra pregunta de seguimiento).

Google se sentó en un error de Chromecast durante años, ahora los hackers podrían causar estragos

Hacker Giraffe envió este video de YouTube a miles de dispositivos Chromecast expuestos, advirtiendo que sus transmisiones podrían ser fácilmente secuestradas. (Captura de pantalla: VendeTodito)

Bishop Fox, una firma de consultoría de seguridad, encontró el error por primera vez en 2014, poco después de su debut en Chromecast. Los investigadores descubrieron que podían realizar un ataque "deauth" que desconecta el Chromecast de la red Wi-Fi a la que estaba conectado, lo que provocó que volviera a su estado original y esperara a que un dispositivo le dijera Dónde conectarse y qué transmitir. Ahí es cuando puede ser secuestrado y obligado a transmitir lo que quiera el secuestrador. Todo esto se puede hacer en un instante, como lo hicieron, con solo tocar un botón en un control remoto de mano hecho a la medida.

Dos años más tarde, la firma de ciberseguridad de Estados Unidos, Pen Test Partners, descubrió que el Chromecast aún era vulnerable a los ataques "deauth", lo que facilita la reproducción de contenido en los Chromecasts de un vecino en solo unos minutos.

Ken Munro, quien fundó Pen Test Partners, dice que "no es sorprendente que alguien más haya tropezado con eso", dado que Bishop Fix lo encontró en 2014 y su compañía lo probó en 2016.

"Para ser justos, nunca pensamos que el servicio se expondría en la Internet pública, por lo que es un hallazgo muy válido de su parte, todo el crédito para él", dijo Munro a VendeTodito.

Dijo que la forma en que se realiza el ataque es diferente, pero el método de explotación es el mismo. CastHack puede ser explotado a través de Internet, mientras que Bishop Fox y sus ataques "deauth" pueden llevarse a cabo dentro del alcance de la red Wi-Fi; sin embargo, ambos ataques permiten que el pirata informático controle lo que se muestra en la televisión desde el Chromecast, dijo.

Munro dijo que Google debería haber corregido su error en 2014 cuando tuvo la oportunidad.

"Permitir el control sobre una red local sin autenticación es una idea realmente tonta en [Google’s] parte ", dijo. "Porque los usuarios hacen cosas tontas, como exponer sus televisores en Internet, y los piratas informáticos encuentran errores en los servicios que pueden ser explotados".

Hacker Giraffe es el último en recurrir a la "seguridad del buen samaritano", al advertir a los usuarios sobre los problemas y brindarles consejos sobre cómo solucionarlos antes de que los hackers maliciosos tomen el control, donde las empresas de tecnología y los fabricantes de dispositivos han fallado en gran medida.

Pero Munro dijo que este tipo de ataques, a pesar de ser molestos e intrusivos, podrían explotarse para tener consecuencias mucho más maliciosas.

En una publicación en un blog el miércoles, Munro dijo que era fácil explotar otros dispositivos domésticos inteligentes, como un eco de Amazon, al secuestrar un Chromecast y obligarlo a reproducir comandos que son lo suficientemente altos como para ser recogidos por su micrófono. Eso sucedió antes, cuando los asistentes inteligentes se confunden cuando escuchan las palabras en la televisión o la radio y, de repente y sin previo aviso, compran artículos de Amazon. (Puede y debe activar un PIN para realizar pedidos a través de Amazon).

Para nombrar algunos, Munro dijo que es posible forzar a un Chromecast a cargar un video de YouTube creado por un atacante para engañar a un Echo para: "Alexa, pedir un iPad", o, "Alexa, apagar la alarma de la casa", o, "Alexa, programar una alarma todos los días a las 3 am".

Amazonas Se considera que los ecos y otros dispositivos inteligentes son seguros, incluso si son propensos a escuchar cosas que no deberían. A menudo, el eslabón más débil son los humanos. En segundo lugar, son los otros dispositivos alrededor de los asistentes de casa inteligentes los que representan el mayor riesgo, dijo Munro en su blog. Eso fue demostrado recientemente cuando Investigador de seguridad canadiense Render Man mostró cómo usar un transductor de sonido contra una ventana puede engañar a un Amazon Echo cercano para que desbloquee una cerradura inteligente conectada a la red en la puerta de la casa.

"Google necesita corregir adecuadamente el error de Chromecast que permite la transmisión del tráfico de YouTube", dijo Munro.

Los fabricantes de tecnología para el hogar inteligente no quieren decir si los federales vienen para sus datos

VendeTodito

34 total vistas, 0 hoy

Los investigadores del MIT ahora son de impresión 3D de vidrio.

tecnologia 31/12/2018

Si bien la idea de una máquina que pueda arrojar un sinfín de cuerdas de vidrio fundido es un poco aterradora, la gente de MIT casi ha perfeccionado el proceso. En un artículo publicado en Impresión 3D y Fabricación Aditiva, los investigadores Chikara Inamura, Michael Stern, Daniel Lizardo, Peter Houk y Neri Oxman describen un sistema para la impresión en 3D de vidrios que ofrece mucho más control sobre el material caliente y el producto final.

Su sistema, llamado G3DP2, "es una nueva plataforma AM para vidrio fundido que combina un sistema de control térmico de tres zonas integrado digitalmente con un sistema de control de movimiento de cuatro ejes, que presenta capacidades de producción a escala industrial con una tasa de producción y confiabilidad mejoradas, al tiempo que garantiza la precisión y Repetibilidad, todo anteriormente inalcanzable para el vidrio ”.

El sistema utiliza una caja cerrada y calentada que contiene el vidrio fundido y otra caja controlada térmicamente donde imprime el objeto. Una placa móvil hace que el objeto caiga cada vez más abajo a medida que se imprime y el cabezal de impresión se desplaza sobre él. El sistema es interesante porque en realidad produce estructuras de vidrio transparente que se pueden usar para decorar o construir. Los investigadores tienen especial cuidado en controlar el sistema de extrusión de vidrio para asegurarse de que se enfríe y cristalice sin inyectar impurezas o problemas estructurales.

"En el futuro, combinando las ventajas de esta tecnología AM con la multitud de propiedades de materiales únicas del vidrio, como la transparencia, la resistencia y la estabilidad química, podemos comenzar a ver nuevos arquetipos de bloques de construcción multifuncionales", escribieron los creadores.

VendeTodito

75 total vistas, 0 hoy

Convo ahora le permite ver qué empleados recibieron la nota

tecnologia 21/12/2018

Convo, una herramienta tal vez mejor descrita como un panel de mensajes de la compañía en tiempo real, descubrió un nuevo truco esta semana: los reconocimientos automáticos.

Es una cosa bastante común en el mundo corporativo: necesita enviar algo a todos los empleados de su empresa, pero además Necesito saber exactamente quién lo ha visto (y, por supuesto, quién no). actualmente tiene el memo? ¿Puedes decir que todos han visto alguna lectura obligatoria? ¿Quién todavía necesita verlo?

Puede intentar usar recibos de lectura de correo electrónico, pero estos son impredecibles, especialmente porque muchos clientes de correo electrónico los deshabilitan de forma predeterminada en la actualidad. Puede hacer que todos firmen un formulario diciendo que han visto el documento en cuestión, pero eso es un dolor en el trasero. Cuando todo lo que necesita es una lista que dice "Sí, todos estos empleados han visto esta propaganda de texto" para que pueda cumplir con un nuevo requisito de cumplimiento, no debería ser complicado.

De Convo La nueva herramienta lo hace bastante fácil: escriba su publicación como cualquier otra, pero marque la casilla "Los destinatarios deben reconocer para ver" antes de enviarla.

Cuando aparezca en la línea de tiempo de Convo de sus colegas, se verá borroso casi por completo, guárdelo para una línea de asunto y un mensaje pidiéndole que reconozca la publicación. Una vez que lo reconocen deliberadamente, la publicación se desenfoca, el cartel original recibe una alerta que le informa que alguien lo ha leído y el nombre del lector pasa de la lista "No ha visto" a la lista "Ha visto".

Convo ahora le permite ver qué empleados recibieron la nota

Para ser claros, esto no es una característica de seguridad; Hay formas de evitar el desenfoque sin reconocerlo oficialmente. Demonios, solo puedes decir 'Hey Jim, ¿ya abriste esa publicación de Convo? Déjame verlo en tu teléfono ’. El punto aquí no es evitar que alguien en la compañía vea algo, pero en asegurándose todo el mundo ha visto algo y tener una lista generada automáticamente para cumplir con los requisitos de cumplimiento. Si está utilizando las funciones de grupo de Convo correctamente, solo debería aparecer para las personas que desea ver en primer lugar.

La característica se lanzó a principios de esta semana. Estará disponible para todas las redes de Convo durante el próximo mes para el check out, momento en el que esperan limitarlo a los clientes de nivel empresarial.

Vende Todito

70 total vistas, 1 hoy

Ahora puedes leer la controvertida investigación de los Definidores sobre George Soros y Facebook

tecnologia 01/12/2018

Facebook sigue lidiando con las consecuencias de un informe del New York Times que describe la estrategia de la compañía para luchar contra las críticas, particularmente su trabajo con Definers Public Affairs, una firma de investigación de la oposición con vínculos con el Partido Republicano.

Ese trabajo incluyó un documento que los Definidores enviaron a los reporteros sugiriendo lazos entre George Soros y los grupos políticos progresistas que criticaban a Facebook. La historia del Times describió los amplios trazos de las afirmaciones hechas por los Definidores, pero el documento en sí no se ha compartido con el público, hasta hoy, cuando fue publicado por BuzzFeed.

En este punto, el contenido no es particularmente revelador, pero el documento todavía vale la pena leerlo, ya que está en el centro de la reciente controversia.

Se titula "Fondos potenciales de libertad de Facebook" y comienza:

Recientemente, varios grupos progresistas se unieron para formar la campaña Freedom From Facebook, que cuenta con un presupuesto publicitario de seis cifras. No está claro quién está proporcionando la gran cantidad de fondos para la campaña, pero al menos cuatro de los grupos de la coalición reciben fondos o están alineados con George Soros, quien ha criticado públicamente a Facebook. Es muy posible que Soros esté financiando a Freedom From Facebook.

El documento continúa señalando las conexiones entre Soros y varios de los grupos involucrados en Freedom From Facebook, y toma nota de las críticas públicas de Soros a Facebook y Google. Por sí solo, el documento parece "en gran medida inocuo" (como lo dijo BuzzFeed), pero se ha vuelto controversial por jugar potencialmente con teorías de conspiración antisemitas sobre Soros.

Un portavoz de Freedom from Facebook ha dicho que no se utilizó dinero de Soros para financiar la campaña; de hecho, Axios informó que su financiamiento inicial provino de David Magerman, un filántropo con sede en Pensilvania y ex ejecutivo de fondos de cobertura.

Sheryl Sandberg sabía más del trabajo de Facebook con los Definidores de lo que dejó entrever.

Según BuzzFeed, este es uno de al menos dos documentos que los Definidores prepararon después de que Soros hizo comentarios críticos sobre Facebook y Google en Davos.

Mientras tanto, el CEO Mark Zuckerberg y la Directora de Operaciones Sheryl Sandberg negaron conocer el trabajo de Definers para Facebook, y el jefe de políticas públicas saliente, Elliot Schrage, se responsabilizó de la contratación de la firma. Pero Facebook reconoció más tarde que Sandberg le había pedido al equipo de comunicaciones que investigara los lazos financieros de Soros luego de que criticara a la compañía, y el informe de mi colega Taylor Hatmaker sugiere que Sandberg estaba más al tanto del trabajo de los Definidores de lo que inicialmente se reconoció.

Cuando se contactó para hacer comentarios, un portavoz de Facebook nos señaló la publicación de Schrage y dijo que la compañía no tiene nada más que agregar.

Vende Todito

90 total vistas, 1 hoy

Ahora puede iniciar sesión en una cuenta de Microsoft sin una contraseña con una clave de seguridad

tecnologia 20/11/2018


Ahora puede iniciar sesión en una cuenta de Microsoft sin una contraseña con una clave de seguridad

Microsoft está haciendo que sea más fácil y seguro iniciar sesión en una cuenta de Microsoft hoy. El gigante del software ahora admite dispositivos de clave de seguridad FIDO2 basados ​​en estándares para permitir que cualquier persona inicie sesión en su cuenta de Microsoft sin un nombre de usuario o contraseña. Microsoft está habilitando la clave de seguridad o el soporte de Windows Hello a través de su navegador Edge, y es la primera compañía en admitir la autenticación sin contraseña utilizando los estándares FIDO2 WebAuthn y CTAP2.

Si tiene la última actualización de Windows 10 de octubre de 2018, podrá configurar Windows Hello o una clave de seguridad física de Yubico o FEITIAN que admita el estándar FIDO2. Si tiene un dispositivo con una cámara web de Windows Hello o un lector de huellas digitales, simplemente puede visitar la Cuenta de Microsoft …

Sigue leyendo…

The Verge

61 total vistas, 0 hoy

Estados Unidos tiene ahora las dos supercomputadoras más rápidas del mundo.

tecnologia 12/11/2018


Estados Unidos tiene ahora las dos supercomputadoras más rápidas del mundo.

Las dos supercomputadoras más rápidas del mundo ahora son estadounidenses, según las clasificaciones que se publican cada dos años. Las dos computadoras, Summit y Sierra, usan tecnología de IBM.

Summit fue coronada como la computadora más rápida del mundo en junio cuando realizó la prueba matemática LINPACK a 122.3 petaflops por segundo. (Cada petaflop es un quintillón de operaciones matemáticas). Desde entonces, recibió más actualizaciones y ahora puede realizar la prueba a 143.5 petaflops por segundo, lo que le da una gran ventaja sobre los otros 499 supercomputadores de la lista.

Mientras tanto, Sierra está detrás de Summit con 1,6 millones de núcleos procesadores a los 2,4 millones de Summit. Aparte de eso, ambos supercomputadores se ejecutan en especificaciones similares: …

Sigue leyendo…

The Verge

76 total vistas, 1 hoy

eBay ahora le permitirá reservar servicios de instalación y montaje en el hogar.

tecnologia 11/11/2018


eBay ahora le permitirá reservar servicios de instalación y montaje en el hogar.

eBay se ha asociado con tres compañías para permitir que los clientes reserven servicios de instalación o montaje en el hogar para artículos como televisores, muebles, bicicletas y otras cosas que se deben reunir, directamente desde la página del producto.

Varias páginas de productos para artículos aplicables ahora enumeran una opción para que los clientes seleccionen servicios de montaje e instalación de una de las tres compañías: Handy, InstallerNet y Porch. La característica les permite agregar los servicios a la compra, de manera muy similar a como lo haría con un plan de protección. Una vez que haya completado la compra de su artículo y los servicios, la compañía correspondiente se pondrá en contacto para programar una cita.

En una declaración a VendeToditoLa vicepresidenta de comercialización de eBay, Alyssa Steele, dice que …

Sigue leyendo…

The Verge

73 total vistas, 0 hoy

El OnePlus 6T ahora está disponible en púrpura en China

tecnologia 05/11/2018


El OnePlus 6T ahora está disponible en púrpura en China

Cuando se anunció oficialmente el OnePlus 6T la semana pasada, el fabricante chino reveló dos colores, ambos negros. Ahora, un modelo púrpura está en camino (a través de 9to5Google), pero, desafortunadamente, es exclusivo de China por el momento.

Los colores de los teléfonos exclusivos de cada país se han convertido en una característica bastante común de los lanzamientos internacionales de teléfonos inteligentes, con fabricantes que luchan por ofrecer diferentes apariencias en todo el mundo. Curiosamente, siempre parecen ser los esquemas de color más audaces que se pierden en un lanzamiento occidental, como el reciente Samsung Galaxy Note 9 de color cobre que era exclusivo de la India.

El OnePlus 6T púrpura está disponible en China ahora por ¥ 3,399 (alrededor de $ 490) con 8 GB de RAM y 256 GB de almacenamiento. Cuando contactamos para comentar, un …

Sigue leyendo…

The Verge

61 total vistas, 0 hoy

Google Assistant ahora puede ser activado desde la pantalla de bloqueo

tecnologia 11/10/2018


Google Assistant ahora puede ser activado desde la pantalla de bloqueo

Aunque Google anunció un montón de nuevo hardware en su evento Made By Google a principios de esta semana, se saltó notablemente las actualizaciones del Asistente de Google que alimentarán la nueva pantalla inteligente Pixel 3 y Home Hub. Hoy en día, la compañía está haciendo una serie de estas mejoras de software.

Las nuevas funciones que vienen con el móvil incluyen un acceso más rápido para activar el Asistente sin tener que desbloquearlo manualmente, y una nueva visión general de su día a la que puede acceder al deslizar hacia arriba después del comando "Hey, Google". Este resumen le mostrará notas recientes, recomendaciones de eventos y recordatorios importantes. Las mejoras se basan en una actualización visual reciente que hace que las fuentes y los gráficos sean más audaces y grandes, y agrega controles táctiles para que pueda ajustar los resultados de …

Sigue leyendo…

The Verge

57 total vistas, 0 hoy

El Salto-1P ahora hace increíbles saltos dirigidos.

tecnologia 09/10/2018

La última vez que nos reunimos con Salto, el robot saltarín, saltaba como un saltamontes enloquecido. Ahora los investigadores han agregado sistemas de objetivos a la pequeña criatura, lo que le permite mantener un salto constante mientras controla exactamente cuándo y dónde cae Salto.

Llamado "control de salto de colocación de pie de latido muerto", Salto ahora puede mirar una superficie en busca de un objetivo y esencialmente volar hacia donde necesita aterrizar utilizando hélices incorporadas.

Los investigadores Duncan Haldane, Justin Yim y Ronald Fearing crearon el Salto como parte de la La Oficina de Investigación del Ejército y ellos expondrán al pequeño en la Conferencia Internacional IEEE / RSJ 2018 sobre Robots y Sistemas Inteligentes.

El equipo actualizó el controlador de Salto para que sea mucho más preciso en el aterrizaje, una hazaña que era casi imposible con el sistema de control anterior, SLIP. "El robot se comporta más o menos como un péndulo invertido cargado por resorte, un modelo dinámico simplificado que se presenta con suficiente frecuencia tanto en biología como en robótica que tiene su propio acrónimo: SLIP", escribió Evan Ackerman en el IEEE. "En la década de 1980, Marc Raibert desarrolló un controlador para robots tipo SLIP, y la gente todavía lo está usando hoy, incluido Salto-1P hasta hace poco".

VendeTodito

68 total vistas, 0 hoy

Página 1 de 41 2 3 4