Tu Smart TV te vigila: así funciona ACR, el sistema que registra todo lo que ves sin que lo sepas

Las Smart TV que millones de hogares utilizamos a diario incorporan un sistema que identifica automáticamente qué contenido se reproduce, cuándo se visualiza y durante cuánto tiempo, mediante la captura periódica de fragmentos de audio y vídeo que se comparan con grandes bases de datos.

El televisor inteligente se ha convertido en el eje del entretenimiento doméstico. Plataformas de streaming, canales tradicionales, aplicaciones y dispositivos externos confluyen en una misma pantalla que ya no solo reproduce imágenes, sino que también analiza patrones de consumo. Y es que estos aparatos incorporan un sistema llamado ACR que identifica automáticamente qué contenido se reproduce, cuándo se visualiza y durante cuánto tiempo, mediante la captura periódica de fragmentos de audio y vídeo que se comparan con grandes bases de datos. 

Cómo funciona realmente el ACR

El ACR opera generando huellas digitales a partir de pequeños fragmentos de sonido o imagen capturados directamente desde la señal que muestra la pantalla. Esos fragmentos se transforman en códigos únicos que se contrastan con repositorios masivos donde están indexados programas, películas, anuncios y videojuegos. Y cuando se produce una coincidencia, el sistema identifica el contenido y lo asocia a metadatos como título, canal, duración y horario.

Este mecanismo se ejecuta en segundo plano y no altera la experiencia de visionado. Su alcance no se limita a las aplicaciones instaladas en la Smart TV, sino que también puede analizar señales procedentes de dispositivos conectados por HDMI, como consolas, decodificadores o reproductores multimedia.

En la práctica, el televisor actúa como un medidor de audiencia permanente capaz de registrar tanto una serie en streaming como una partida en una videoconsola. La repetición constante de este proceso permite construir un historial extremadamente preciso. A partir de ese registro pueden inferirse preferencias culturales, rutinas diarias y patrones de comportamiento asociados a determinadas franjas horarias.

Qué se hace con los datos recopilados

La información obtenida a través de ACR tiene un alto valor dentro del ecosistema publicitario digital. Permite ajustar recomendaciones en la interfaz del propio televisor y mostrar anuncios adaptados al perfil de consumo del usuario.

Cuando el dispositivo está vinculado a una cuenta común o a otros equipos del hogar, los datos pueden contribuir a sincronizar campañas en diferentes pantallas.

Además, estos registros sirven para elaborar métricas de audiencia mucho más detalladas que los sistemas tradicionales. Las marcas pueden conocer con mayor precisión qué contenidos generan mayor interés y en qué momentos del día se consumen.

Sin embargo, el seguimiento no siempre resulta evidente para el usuario. “Muchas personas no son conscientes de que su televisor puede estar recopilando información de forma continua sobre lo que ven y cuándo lo ven”, explica Josep Albors, director de Investigación y Concienciación de ESET España.

“El problema no es tanto la tecnología en sí, sino que suele venir activada por defecto y el consentimiento se integra en largos textos de condiciones de uso que rara vez se leen con detalle”, añade.

Riesgos asociados a la exposición de información

Más allá de la personalización comercial, el envío de estos datos a servidores externos amplía la superficie de exposición ante posibles incidentes de seguridad. En caso de una brecha, el historial de visionado podría quedar comprometido o utilizarse con fines distintos a los previstos inicialmente.

La combinación de horarios, contenidos y dispositivos conectados permite construir un perfil digital muy completo. Determinados patrones podrían revelar rutinas domésticas o intereses específicos que exceden el ámbito puramente audiovisual.

También existe un factor de opacidad. Cada fabricante emplea terminologías distintas para referirse a estas funciones, lo que dificulta su localización en los menús.

Opciones vinculadas a experiencia personalizada, datos de visualización o publicidad avanzada pueden ocultar en realidad sistemas de reconocimiento automático de contenidos.

Por qué conviene revisar la configuración

El ACR suele estar habilitado desde el primer encendido del televisor. Su desactivación no afecta al funcionamiento básico del dispositivo ni impide acceder a plataformas o aplicaciones.

Revisar los ajustes de privacidad tras la configuración inicial y después de cada actualización relevante resulta clave para mantener el control sobre la información compartida.

Albors lo resume de forma clara: “Desactivar el ACR permite cortar uno de los flujos de datos más intrusivos de la Smart TV, reducir la personalización agresiva de anuncios y limitar el riesgo asociado a posibles filtraciones o usos no deseados de la información”.

Explorar con detenimiento los apartados de privacidad, publicidad o información de visualización puede marcar la diferencia. Mantener el firmware actualizado y comprobar los permisos tras cada actualización contribuye igualmente a reforzar la protección.

Vía Escudodigital.com

Cómo romper el cifrado Bitlocker de Windows con una Raspberry Pi de 15€.

 

Hace muy poco se ha publicado un vídeo titulado "Breaking Bitlocker: Bypassing Windows Disk Encryption" donde se ha conseguido romper el cifrado de Windows BitLocker usando una Raspberry Pi Pico que cuesta unos 15€. Una hazaña increíble teniendo en cuenta el tiempo que lleva BitLocker instalado en todos los ordenadores con Windows usando esta arquitectura.

Figura 1: Cómo romper el cifrado Bitlocker de Windows con un ataque de 15€.

El bug en la comunicación entre TPM y CPU

El objetivo del ataque es extraer la clave de cifrado de Bitlocker interceptando la comunicación entre el Módulo de Plataforma de Confianza (TPM) y el procesador del sistema, y lo logra en menos de un minuto y como he comentado antes, con un coste inferior a 20€. A pesar de la Inteligencia Artificial, menos mal que aún queda hacking de ingeniería inversa al más puro “old style” ;)

Bitlocker es la solución de cifrado de disco completo que protege los datos en dispositivos Windows contra accesos no autorizados. Utiliza un TPM, un chip criptográfico en la placa base, para almacenar de forma segura las claves de cifrado. El TPM asegura que la clave de cifrado solo se comparta si la configuración del hardware no ha sido alterada desde el último arranque.

Figura 4: Chip TMP.

Explicado un poco más en detalle, el proceso de medición del TPM verifica la integridad del sistema al arrancar, utilizando los Registros de Configuración de Plataforma (PCR). Cada componente crítico del sistema (BIOS, bootloader, etcétera) se mide, es decir, se calcula un hash de su configuración y este hash se almacena en las PCR. Sólo si los valores de las PCR coinciden con los esperados, el TPM libera la clave de cifrado a Windows.

Vulnerabilidad en la Comunicación TPM-CPU

La vulnerabilidad que se ha conseguido explotar, reside en la comunicación no cifrada entre el TPM y el CPU. Cuando el sistema arranca y verifica la integridad del hardware, si todo está ok, el TPM envía la clave de cifrado a la CPU en texto plano. 

 

  Figura 5: Breaking BitLocker. Bypassing Windows Disk Encryption

Y claro, aquí tenemos el problema. Por lo tanto, el problema radica en este diseño (más que en BitLocker como tal) permite que un atacante, con acceso físico al bus de comunicación entre el TPM y la CPU, intercepte dicha clave de cifrado, comprometiendo así la confidencialidad de la información sin necesidad de conocer la contraseña o PIN del usuario.

Figura 6: Master Key encontrada en menos de 43 segundos

En la explotación se utiliza una Raspberry Pi Pico y pogo pins, contactos que permiten crear una conexión física temporal con los puntos de prueba o los pines de un circuito impreso. El objetivo es acceder físicamente al bus LPC (Low Pin Count), un bus de comunicación utilizado por el TPM para transmitir datos al CPU. Se seleccionó este bus por su simplicidad y la facilidad con la que se pueden interceptar los datos.

Figura 7: Conexión de la Raspberry Pi Pico al bus LPC

El primer paso es un proceso de ingeniería inversa y análisis detallado del protocolo LPC para entender cómo se transmiten los datos entre el TPM y el CPU. Una vez que se analizado, creamos un firmware personalizado para el Raspberry Pi Pico, que permita capturar y decodificar las señales transmitidas a través del bus LPC durante el proceso de arranque del sistema. Esta es quizás la parte más compleja de todo el ataque ya que requiere un alto conocimiento de electrónica para poder crear ese firmware.

Figura 8: Datos capturados directamente desde los pines del bus.

 
Una vez que el dispositivo está correctamente conectado al bus LPC mediante los pogo pins, actúa como un "sniffer" de bus, escuchando y registrando la comunicación entre el TPM y el CPU. Al interceptar esta comunicación, el firmware del Raspberry Pi Pico analiza los datos capturados para identificar y extraer la clave de cifrado de Bitlocker enviada en texto plano. Y ya lo tenemos, a partir de ahora con esta clave podemos descifrar la información del disco. Todo el material utilizado para este ataque puedes encontrarlo aquí.

Las implicaciones de este ataque

La capacidad de descifrar Bitlocker a través de este ataque tiene consecuencias realmente significativas y críticas en la seguridad de la información almacenada en dispositivos que confían en esta tecnología para la protección de datos (que son muchos, ya que es el que se usa habitualmente en Windows). 

Figura 9: Hacking Windows: Ataques a sistemas y redes Microsoft 2ª Edición

escrito por Carlos García, Valentín Martín y Pablo González en 0xWord.

Y quizás el punto más importante es que este ataque expone a riesgos críticos la confidencialidad de los datos, permitiendo a un atacante con acceso físico al dispositivo, obtener de manera relativamente sencilla (y con un costo mínimo), acceso completo a la información previamente considerada segura bajo el cifrado de Bitlocker. Esto incluye documentos personales, datos empresariales sensibles, información financiera, entre otros, poniendo en peligro la privacidad de individuos y la seguridad de organizaciones.

Figura 10: Picto-Tpmsniffer en GitHub

Moraleja: el hardware es importante en el pentesting los ataques físicos, aunque requieren acceso al hardware objetivo, pueden llevarnos a descubrir vulnerabilidades críticas que no serían tan evidentes mediante técnicas de software. El bajo costo y la disponibilidad de herramientas como el Raspberry Pi Pico (o el conocido Flipper Zero) hacen que tengamos acceso a técnicas de pentesting más avanzadas, permitiendo a los investigadores de ciberseguridad explorar nuevas vías de ataque y defensa.

Figura 11: Adaptador utilizado para la explotación,

se puede descargar desde el Github del autor.

El pentesting usando hardware es un aviso claro: la seguridad de los sistemas informáticos no solo depende del software y la configuración, sino también de la integridad física y la seguridad del hardware subyacente. En el contexto de la seguridad informática, es vital considerar y protegerse contra ataques físicos, implementando medidas como el cifrado de disco con autenticación previa al arranque y la protección de los componentes de hardware críticos.

Ya para terminar, lo que realmente llama la atención de este ataque es la ingeniosidad y la simplicidad del mismo contra Bitlocker, una técnica de cifrado que hasta hoy pensábamos que era segura y que realmente lo sigue siendo, porque como hemos podido comprobar, el problema está en la implementación no en el algoritmo como tal. La innovación en herramientas de pentesting, especialmente en el ámbito del hardware, juega un papel crucial en la identificación y mitigación de vulnerabilidades de seguridad que de otra forma sería imposible detectar, asegurando la protección efectiva de los datos en un panorama de amenazas en constante evolución. 

Fuente | Un informático en el lado del mal

Gusano Raspberry Robin

 

El malware Raspberry Robin ha experimentado una evolución significativa al adquirir acceso temprano a exploits de Windows.

El gusano Raspberry Robin sigue sorprendiendo a la comunidad de ciberseguridad al utilizar dos nuevas explotaciones de tipo 1-day LPE (Local Privilege Escalation) antes de su divulgación pública, revelando su posible acceso a vendedores de exploits o la capacidad de sus autores para desarrollar estas herramientas en un corto período. Esta táctica subraya la sofisticación y evolución constante del malware para mantenerse indetectable.

Raspberry Robin, identificado por primera vez en 2021 por Red Canary, ha demostrado ser uno de los malwares más intrigantes debido a su distribución activa, sus capacidades de evasión y su papel como proveedor de acceso inicial para despliegues de malware adicionales por parte de grupos criminales. En recientes oleadas de ataques, este gusano ha incorporado métodos de comunicación y movimiento lateral modificados para evadir firmas de comportamiento basadas en su versión anterior, además de adoptar métodos de entrega novedosos que se disfrazan como componentes legítimos de Windows.

Cuando Raspberry Robin se ejecuta por primera vez en un equipo, intentará automáticamente elevar privilegios en el dispositivo mediante diversos exploits de día cero. La utilización de exploits 1-day, es decir, explotaciones de vulnerabilidades conocidas pero no parcheadas en el momento de su uso, como CVE-2023-36802, indica que Raspberry Robin tiene acceso a explotaciones avanzadas, posiblemente adquiridas a desarrolladores de exploits. Estas técnicas de escalada de privilegios apuntan a versiones específicas de Windows y son inyectadas en procesos legítimos para evitar detecciones.

Un cambio notable en las campañas recientes es el uso de la plataforma Discord para dejar archivos de archivo maliciosos, probablemente después de enviar los enlaces por correo electrónico al objetivo. Los archivos contienen un ejecutable firmado digitalmente (OleView.exe) y un archivo DLL malicioso (aclui.dll) que se carga lateralmente en el ejecutable, activando así Raspberry Robin en el sistema.

La campaña más reciente destaca el uso de la plataforma Discord para distribuir archivos maliciosos. El uso de tales tácticas por parte de Raspberry Robin refuerza la necesidad de actualizaciones de seguridad constantes por parte de los usuarios.

Se espera que este malware continúe evolucionando añadiendo nuevos exploits, por ello, Check Point proporciona indicadores de compromiso para ayudar en la detección y mitigación.

Fuente | Hispasec.com

Mas info |  Research.checkpoint.com

Joker, el troyano para Android, sigue colándose en Google Play

 No es la primera vez que Joker, el troyano para Android, se cuela en aplicaciones que se encuentran en Google Play. En este caso, el malware ha sido encontrado en 15 aplicaciones, algunas de ellas con más de 100.000 descargas.

Este troyano, descubierto por primera vez en 2017, realiza fraudes SMS a través del envío de mensajes a números no gratuitos. Además, puede suscribir a los usuarios a sitios webs que ofrecen servicios de pago, realizando así también el fraude mediante suscripciones premium. Algunas víctimas se han visto pagando más de 280 euros al año por estas suscripciones.

 

Ya en 2020, infectó a más de 500 mil móviles de la marca Huawei, y en esta ocasión, ha logrado colarse en varias aplicaciones que, a simple vista, parecen inofensivas. Sin embargo, estas contienen el peligroso malware. Dichas apps ya han sido retiradas de la Play Store pero lo más efectivo es eliminarlas del dispositivo en el caso de que se tengan instaladas. Las aplicaciones contaminadas serían las siguientes:

• Classic Emoji Keyboard
• EmojiOne Keyboard
• Dazzling Keyboard
• Smart TV remote
• Battery Charging Animations Battery Wallpaper
• Battery Charging Animations Bubble Effects
• Flashlight Flash Alert On Call
• Halloween Coloring
• Easy PDF Scanner
• Now QRcode Scan
• Blender Photo Editor-Easy Photo Background Editor
• Super Hero-Effect
• Super-Click VPN
• Volume Booster Louder Sound Equalizer
• Volume Booster Hearing Aid

Todo muestra que esta no será la última vez que veamos a este virus propagarse libremente en la Google Store, por lo que si no queremos convertirnos en víctimas de Joker, debemos tener mucho cuidado con las aplicaciones que descarguemos.

Lo más importante es asegurarnos de que el contenido que bajemos tenga una fuente real y un registro verificado, no solo de la tienda, sino también del propio desarrollador.

 Via | Hispasec

Nueva vulnerabilidad crítica en Linux denominada Sequoia

 

El grupo de investigación Qualys detectó una vulnerabilidad en el sistema de archivos de Linux que permite a los atacantes una elevación de privilegios. Ha sido denominada Sequoia.

La vulnerabilidad ha recibido este nombre debido a la forma en que se realiza la explotación del sistema de ficheros, creando una estructura de más de un millón de carpetas anidadas, haciendo la analogía al crecimiento de una secuoya.

Logotipo de GNU/Linux

Se ha verificado que esta vulnerabilidad afecta a las versiones 20.04, 20.10 y 21.04 de Ubuntu, Debian 11 y Fedora 34 Workstation. Otras distribuciones de Linux son vulnerables y probablemente explotables.

La metodología de ataque requiere que un usuario sin privilegios cree una estructura profunda de alrededor de un millón de directorios anidados, y posteriormente montar y desmontar un dispositivo. Para más información detallada de la explotación, consultar la seccción de Explotation overview explicada por el grupo de investigación Qualys.

El día 20 de Julio se lanzó un parche en la versión 5.13.4 del kernel de Linux que soluciona la vulnerabilidad.

Este grupo de investigación también ha detectado otra vulnerabilidad en los últimos días con el identificador CVE-2021-33910. Esta vulnerabilidad afecta a systemd que permite una denegación de servicio.

Referencias:

• https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt
• https://blog.qualys.com/vulnerabilities-threat-research/2021/07/20/sequoia-a-local-privilege-escalation-vulnerability-in-linuxs-filesystem-layer-cve-2021-33909

Compártelo:

• Twitter
• Facebook
• LinkedIn
• Reddit
• Telegram
• WhatsApp
• 
  

Publicaciones relacionadas

Linux Rabbit: nuevo criptominero diseñado para infectar servidores Linux

17 diciembre, 2018

Se publica el kernel Linux 2.4.21

Se acaba de publicar la versión 2.4.21 del kernel Linux, que da solución a numerosos problemas de seguridad anunciados en las últimas semanas.Las vulnerabilidades eliminadas son, al menos, las siguientes:* Obtención de privilegios de administrador "root" utilizando lasfuncionalidades "ptrace".* Ataque de denegación de servicio por colisiones en la estructuraHASH de…

15 junio, 2003

Investigadores de seguridad descubren como mitigar las restricciones impuestas tras los ataques de Spectre en Linux

1 abril, 2021

Filed Under: Ataques, General, Vulnerabilidades Tagged With: linux, sequoia

 

FUENTE |  https://unaaldia.hispasec.com/2021/08/nueva-vulnerabilidad-critica-en-linux-denominada-sequoia.html

Roban más de 600 millones en criptomonedas de la plataforma Poly Network

 

Unos hackers han conseguido desviar unos 611 millones de dolares en diferentes criptomonedas de una red financiera basada en Blockchain, aprovechándose de vulnerabilidades en su código.

El pasado 10 de agosto, el twitter de Poly Network anunciaba que su plataforma había sido comprometida, y que parte de sus activos habían sido transferidos a una serie de direcciones controladas por el atacante:

Poly Network es una plataforma descentralizada que para el intercambio de tokens o cryptomonedas entre diferentes blockchains, como pueden ser Ethereum, Binance Smart Chain, Polygon, etc. Mediante una red de bloques propia y smart contracts desplegados en las redes participantes, permite la transferencia segura de activos entre las mismas.

Una transferencia de tokens entre dos blockchains consiste, por un lado, en el bloqueo de los activos en la red de origen, y posteriormente transferirlos a la cuenta en la red de destino. Este proceso requiere que los diferentes contratos dispongan de liquidez suficiente en la red de destino, que fue el objetivo del atacante.

Aunque en un principio se rumoreaba que las claves privadas de Poly Network habían sido filtradas, un análisis realizado por la empresa china SlowMist determinó que la causa del hackeo fue una vulnerabilidad en el código de los smart contracts que gestionan las llamadas entre cadenas, en concreto, la función _executeCrossChainTx del contrato EthCrossChainManager.

Tanto el contrato llamado, como su método o los aragumentos no son verificados adecuadamente y están bajo el control del usuario. Es posible, por tanto, realizar llamadas arbitrarias a otras funciones, obteniendo un nombre de método, mediante un proceso de fuerza bruta, cuya firma colisione con la de la función que se quiere llamar.

En las transacciones realizadas durante el ataque, se comprueba que el objetivo fue reemplazar la clave pública que controla el desbloqueo de fondos. Aunque ésta se encuentra definido en otro contrato, EthCrossChainData, su propietario es el contrato vulnerable. Una vez reemplazado, es posible realizar transacciones que envíen cantidades arbitrarias de fondos a cualquier dirección, que es lo que hizo el atacante.

Dada la repercusión que ha tenido este robo, el más grande del que se tiene referencia, y la dificultad de llegar a disfrutar de los fondos obtenidos, el hacker o grupo ha decidido devolver los tokens sustraidos.

Como ocurre con otras tecnologías, es fundamental auditar adecuadamente el código de aplicaciones críticas, especialmente cuando se confian en ellas cantidades de dinero tan elevadas.

Para los interesados en la auditoría de smart contracts, en la plataforma de retos Una al Mes (UAM) disponemos de un reto de iniciación.

Referencias

https://thehackernews.com/2021/08/hacker-steal-over-600-million-worth-of.html
https://slowmist.medium.com/?p=8112a35beb39

 

FUENTE |  https://unaaldia.hispasec.com/2021/08/roban-mas-de-600-millones-en-criptomonedas-de-la-plataforma-poly-network.html