un nuevo El jailbreak para los tractores John Deere, demostrado en la conferencia de seguridad Defcon en Las Vegas el sábado pasado, puso de relieve la fuerza del movimiento del derecho a la reparación a medida que continúa ganando impulso en los Estados Unidos. Mientras tanto, los investigadores están desarrollando herramientas ampliadas para detectar spyware en computadoras con Windows, Mac y Linux a medida que el malware continúa proliferando.
WIRED echó un vistazo profundo esta semana a la familia Posey que ejerció la Ley de Libertad de Información para obtener más información sobre el Departamento de Defensa de EE. UU. y promover la transparencia, y ganar millones en el proceso. Y los investigadores encontraron una falla potencialmente crucial en el sistema de registro médico electrónico VistA del departamento de Asuntos de Veteranos que no tiene una solución fácil.
Si necesita algunos proyectos de privacidad y seguridad digital este fin de semana para su propia protección, tenemos consejos sobre cómo crear una carpeta segura en su teléfono, cómo configurar y usar de manera más segura la aplicación de mensajería cifrada Signal y la privacidad de Android 13. configurar consejos para mantener sus datos exactamente donde los quiere y en ningún otro lugar.
Y hay más Cada semana, destacamos las noticias que nosotros mismos no cubrimos en profundidad. Haga clic en los titulares a continuación para leer las historias completas. Y mantente a salvo ahí fuera.
El clásico de Janet Jackson “Rhythm Nation” puede ser de 1989, pero todavía está arrasando en las listas de éxitos y en algunos discos duros. Esta semana, Microsoft compartió detalles de una vulnerabilidad en un disco duro de computadora portátil de 5400 RPM ampliamente utilizado que se vendió alrededor de 2005. Con solo jugar «Rhythm Nation» en o cerca de una computadora portátil vulnerable, el disco puede fallar y llevarse su computadora portátil con él. Los discos duros de disco giratorio se han eliminado gradualmente a favor de las unidades de estado sólido, pero aún persisten en una gran cantidad de dispositivos en todo el mundo. La falla, que tiene su propio número de seguimiento de vulnerabilidad CVE, se debe al hecho de que “Rhythm Nation” produce inadvertidamente una de las frecuencias resonantes naturales creadas por el movimiento en el disco duro. ¿Quién no vibraría fuerte con un atasco tan clásico? Microsoft dice que el fabricante que fabricó las unidades desarrolló un filtro especial para que el sistema de procesamiento de audio detecte y elimine la frecuencia cuando se reproduce la canción. Los hacks de audio que manipulan los altavoces, capturan información filtrada en vibraciones o explotan vulnerabilidades de frecuencia resonante no se descubren con frecuencia en la investigación, pero son un área intrigante.
Cuando la empresa de servicios en la nube Twilio anunció la semana pasada que había sido violada, uno de sus clientes que sufrió efectos colaterales fue el servicio de mensajería segura Signal. Twilio sustenta el servicio de verificación de dispositivos de Signal. Cuando un usuario de Signal registra un nuevo dispositivo, Twilio es el proveedor que envía el texto SMS con un código para que el usuario lo ingrese en Signal. Una vez que habían comprometido a Twilio, los atacantes podían iniciar un intercambio de dispositivo de Signal, leer el código del SMS enviado al propietario real de la cuenta y luego tomar el control de la cuenta de Signal. El servicio de mensajería segura dijo que los piratas informáticos se dirigieron a 1.900 de sus usuarios y buscaron explícitamente a tres. Entre ese pequeño subconjunto estaba la cuenta de Signal del reportero de seguridad de Motherboard, Lorenzo Franceschi-Bicchierai. Signal está diseñado para que los atacantes no puedan haber visto el historial de mensajes o los contactos de Franceschi-Bicchierai al comprometer su cuenta, pero pueden haberse hecho pasar por él y enviar nuevos mensajes desde su cuenta.
TechCrunch publicó una investigación en febrero sobre un grupo de aplicaciones de spyware que comparten infraestructura de back-end y exponen los datos de los objetivos debido a una vulnerabilidad compartida. Las aplicaciones, que incluyen TheTruthSpy, son invasivas para empezar. Pero también están exponiendo inadvertidamente los datos telefónicos de cientos de miles de usuarios de Android, informó TechCrunch, debido a una vulnerabilidad de infraestructura. Esta semana, sin embargo, TechCrunch publicó una herramienta que las víctimas pueden usar para verificar si sus dispositivos se han visto comprometidos con el spyware y recuperar el control. “En junio, una fuente proporcionó a TechCrunch un caché de archivos descargados de los servidores de la red interna de TheTruthSpy”, escribió Zack Whittaker de TechCrunch. “Ese caché de archivos incluía una lista de todos los dispositivos Android que se vieron comprometidos por cualquiera de las aplicaciones de spyware en la red de TheTruthSpy hasta abril de 2022, que es presumiblemente cuando se descargaron los datos. La lista filtrada no contiene suficiente información para que TechCrunch identifique o notifique a los propietarios de dispositivos comprometidos. Es por eso que TechCrunch creó esta herramienta de búsqueda de spyware”.
Domain Logistics, una empresa de distribución que trabaja con Ontario Cannabis Store (OCS) en Canadá, fue pirateada el 5 de agosto, lo que limita la capacidad de OCS para procesar pedidos y entregar productos de marihuana a tiendas y clientes en todo Ontario. OCS dijo que no había evidencia de que los datos de los clientes se hubieran visto comprometidos en el ataque a Domain Logistics. OCS también dice que los consultores de seguridad cibernética están investigando el incidente. Los clientes de Ontario pueden realizar pedidos en línea a través de OCS, que cuenta con el respaldo del gobierno. La compañía también distribuye a las aproximadamente 1330 tiendas de cannabis con licencia en la provincia. “Por precaución para proteger a OCS y sus clientes, se tomó la decisión de cerrar las operaciones de Domain Logistics hasta que se pudiera completar una investigación forense completa”, dijo OCS en un comunicado.