Category Archives: Mobile

Security in payment data for e-commerce applications

ecommerce security

Every day a new e-commerce application is published on Internet and more people are using these applications to acquire any kind of products, at the end that is the goal, but to get there you need to introduce some of your information, from personal information to payment information. You need to type in your address, your name, your age sometimes and your credit card (CC) information of course.

In Card Not Present transactions the information must be protected in a different way than card present transactions, that is because the information processed is in fact different.

Many of these web and mobile applications don’t follow protocols and rules to protect the customer information, not even moderately. In this post I will focus on the best practices for protecting this kind of critical information.
Read more »

New iPhone biometric control (Touch ID) and its "vulnerabilities"

Touch ID
Recently Apple added the Touch ID Sensor to the new iPhone device. It is a biometric control that claimed to be pretty secure, after all it’s a biometric control. Biometrics are usually harder to break than other types of mechanisms and they are harder not just because how they are implemented but because of the difficulty in acquiring the required material to spoof it. In a recent post by The Hacher News (http://thehackernews.com/2013/09/finally-iphones-fingerprint-scanner.html) a group of infosec specialist found a way to fool the biometric control giving it a fake fingerprint (watch the video). While this is not actually hacking the system but it’s a way to unlock the device.

I am sure there will be more post and news doing the same thing. Even that’s one of the first things I think when I saw the new feature. There are a lot of ways to fake fingerprints: jelly, glue, stickers and more. I prefer glue it’s the easiest way and if you use a fake fingerprint to bypass a biometric mechanism you are not actually hacking the system. The security of these controls is based, as I previously said, on the difficulty in acquiring the real fingerprint. Sure, you are leaving your fingerprints everywhere in everything you touch but getting a good one that could work can be really hard.

To hack the system you would have to give the system another fingerprint and force the system to authenticate with that fingerprint. Because it is a very difficult process it is usually easier to obtain the victim fingerprint.

Would you trust in the Touch ID security system ?

iPhone, Android, Win 7 y el almacenamiento de datos tan polémico

Desde hace unas semanas se ha hablado mucho de que los móviles iPhone, el OS Android y el Windows 7 para móviles almacenan ciertos datos de los usuarios sin su consentimiento. El tipo de datos que almacena de esta forma son las ubicaciones de redes inalámbricas, antenas 3G,GSM y otros tipos de enlaces a los que el dispositivo se pudiera conectar de forma inalámbrica.

Pueden ver un poco de cómo surgió la noticia en los siguientes enlaces:

  • http://www.infosecurity-magazine.com/view/17562/apple-and-android-smartphones-silently-track-their-users/
  • http://www.infosecurity-magazine.com/view/17658/apple-responds-to-user-location-controversy/
  • http://www.techradar.com/news/phone-and-communications/mobile-phones/jobs-responds-to-iphone-tracking-fears-we-don-t-track-anyone–947661
  • http://www.infosecurity-magazine.com/view/17609/now-windows-7-smartphones-collect-your-location-data/
  • Como pueden ver es una funcionalidad común entre estos dispositivos. Aparentemente el motivo de que almacenen estos datos es para poder reconectarse a estos puntos de acceso de forma más rápida.

    Si tienes un iPhone, existe una aplicación que te permite leer esa información almacenada en tu dispositivo y mostrarte, en forma gráfica y bastante conveniente, lo que realmente contiene esa base de datos.
    Una imagen de como te muestra esa información la aplicación y el link de descarga los puedes encontrar aquí: http://petewarden.github.com/iPhoneTracker/.

    Uno de los principales problemas del almacenamiento de esta información es que el archivo donde se encuentran los registros no se encuentra cifrado, es decir, cualquier persona podría leerlo facilmente. Pudiendo así extraer ese archivo sin que el usuario se pueda percatar de eso y poder rastrear su actividad. Si bien, como dice Apple, no lleva un “tracking” de los movimientos del usuario, pero sí lleva un registro de las conexiones que ha hecho o que el dispositivo ha detectado. Con lo cual uno fácilmente se puede dar una idea de los movimientos de dicha persona.

    Si quieren conocer más a detalle como funciona y los datos exactos que almacenan estas bases de datos pueden consultar el siguiente enlace: http://www.hispasec.com/unaaldia/4570.

    Protección en los smartphones. Móvil perdido/robado ?

    Inspirado un poco por algunos artículos recientemente leidos y por la inquietud de concientizar a la gente de los peligros que implica el utilizar dispositivos “smartphones” y las redes sociales sin la seguridad adecuada, escribo este post para mostrar algunos ejemplos de lo que podría suceder en sucesos desafortunados donde nuestros dispositivos fueran utilizados con otros fines, digamos, maliciosos y algunas formas de evitar catástrofes en este sentido.

    Comenzaré con una simple pregunta. Qué pasaría si, por alguna razón, perdieran su smartphone ?

    Conozco a infinidad de personas que han estado bajo esa situación ya sea porque les robaron su maleta o bolsa y se encontraba ahí dentro, o porque lo dejaron olvidado en algún lugar o se les cayó en algún transporte, etc. Después del pánico inmediato al darte cuenta de eso viene la preocupación y en lo primero que normalmente piensa uno es “Mis contactos!!!” y lo pensamos porque la gran mayoría de la gente no respalda sus contactos en algún otro medio y únicamente los deja en el móvil porque es lo más “a la mano” que tiene para anotar. Pues les diré algo: “el hecho de no haber respaldado sus contactos es lo último por lo que deberían de preocuparse si perdieron su smartphone o fue robado”.

    Supongamos que su smartphone cae en manos de algún delincuente por alguna de las razones citadas previamente. Supongamos que es un delincuente curioso y quiere conocer un poco de su víctima. De primer instancia tomará el celular y, si está encendido, bastará con oprimir alguna tecla para que se ilumine la pantalla y pueda ver la pantalla de home desde la cuál se puede visualizar si hay algún mensaje de texto en espera de ser leído, algún correo electrónico en la bandeja de entrada y, en el caso de las redes sociales, si existe algún DM, reply o mensaje esperando a ser leído.

    Hoy en día la usabilidad de estos dispositivos ha sido muy bien implementada y no se requieren amplios conocimientos o conocimientos técnicos para poder manejar, a nivel de usuario, estos equipos por lo que facilmente cualquier persona puede acceder a las aplicaciones instaladas en el dispositivo.
    Al ser un dispositivo móvil al cual accedemos en muchas ocasiones durante el día casi siempre dejamos las aplicaciones con la opción de “recordar contraseña” activa para no tener que estar escribiendo las credenciales cada que queramos ver información por medio de esa aplicación. Esto provoca que cualquier persona que inicie la aplicación podrá acceder al contenido incluyendo, mensajes, actualizaciones, modificacion de cuenta y credenciales y más.

    Otro punto importante es la cantidad de datos personales que contiene nuestro dispositivo móvil: los mensajes de texto, los correos electrónicos descargados, imágenes, archivos, contactos, etc. La mayor parte de esta información no se almacena directamente en la memoria del dispositivo sino en una memoria extraíble (comúnmente mini o micro SD), es decir, ni siquiera necesitamos el equipo para acceder a esos datos. Con el simple hecho de desmontar la memoria del dispositivo e introducirla en una computadora podremos acceder a toda esa información, normalmente, sin ningún “candado”, “password” o barrera que impida que sea leía por cualquier persona.

    Con estos sencillos pasos, sin ningún tipo de seguridad, una persona podría tener en sus manos información de:

  • Todos los SMS enviados y recibidos desde y hacia nuestro dispositivo
  • Todas las imágenes capturadas con las cámaras de nuestro equipo
  • Todos los correos electrónicos descargados al equipo para visualización junto con sus archivos adjuntos
  • Los contactos almacenados en la libreta de direcciones y toda la información de cada entrada
  • Acceder a las cuentas configuradas en el dispositovo y a los datos de cada servicio por ejemplo, en el caso de facebook acceder a los mensajes, amigos, actualizar status, etc; en el caso de Twitter: generar post, los replies que nos han enviado, los DMs recibidos y enviados; en el caso de 4square: acceder a los lugares donde han estado y la cantidad de acompañantes con los que estuvieron
  • En el caso de otros servicios la información básica a la que alguien podría acceder es al perfil de la persona incluyendo la modificación de los datos
  • El historial de llamadas y, por supuesto, la o las personas con quien más se comunican quien, usualmente, es una persona cercana
  • Poder suplantar la identidad de la víctima al poder realizar llamadas, enviar mensajes, e-mails, postear, públicar y enviar información como si se tratara de la persona correcta pudiendo así engañar y/o estafar a personas cercanas a nosotros.
  • Podría enlistar unas cuantas cosas más pero con esto será suficiente para tratar el siguiente punto: “la técnicas de protección de esa información”

    Para mitigar el daño que puede causar el perder un smartphone y todos los datos dentro del dispositivo mencionaré algunas sencillas técnicas:

    Activar la contraseña de desbloqueo.Esta opción obliga a que, si el equipo se encuentra apagado o en modo standby, introduzcamos una contraseña para poder acceder a las aplicaciones, configuraciones y datos almacenados en él.Esto forzará al delincuente a pasar algunas horas de su tiempo intentando “adivinar” o “romper” (si cuenta con el equipo y conocimientos adecuados) la contraseña y así acceder a la información. Cabe destacar que solo ayudará a impedir parcialmente el acceso a los datos almacenados en el dispositivo y no los datos que se encuentren en la memoria extraíble.

    Almacenar la información de contactos y mensajes en la memoria del teléfono y no la memoria extraíbleSi bien a muchos no nos gusta esta opción porque la memoria del teléfono usualmente es ocupada para la instalación de aplicaciones y configuraciones, es muy recomendable, por seguridad, almacenar esos datos en el teléfono ya que así evitaremos que con el simple hecho de extraer la memoria externa puedan acceder a este tipo de datos.

    Eliminar remotamente la información en la memoria del dispositivo y la memoria extraíble.Existen programas precisamente creados para esto. Aquí podrán encontrar una lista de algunos de ellos para diferentes sistemas operativos de smartphones. Solo añadiría tres excelente aplicaciones. En primero lugar Lookout disponible para Windows Mobile, Blackberry y Android; en segundo lugar WaveSecure de McAfee mismos OS +SymbianOS y para Windows Phone 7 existen los servicios de Skydrive. Estas aplicaciones/servicios tiene extraordinarias funcionalidades para proteger nuestro equipo de virus, robos o pérdidas.

    Cifrar la información de nuestro equipo y tarjeta extraíbleTambién existen aplicaciones para este fin: SecuBox, SD Card Store Optimizer. Estas aplicaciones permiten cifrar los datos, configuraciones y aplicaciones de nuestro equipo y memoria extraíble permitiéndonos establecer una contraseña para descifrar los datos y hacerlos legibles. Así, aunque se extraiga la memoria externa del equipo y se inserte en una computadora no se podrá acceder a la información sensible ya que dicha información estará cifrada.

    Cambiar todas las contraseñas de las cuentas de servicios que teníamos configuradas en el smartphonePara evitar la suplantación de nuestra identidad en esos servicios o sistemas es recomendable realizar esta acción lo antes posible. Si bien, el cambiar la contraseña, no evita el acceso inmediato a nuestra información desde el equipo pero, con un poco de suerte, se terminará la batería, o apagarán el teléfono para no recibir llamadas buscándolo. Posteriormente, cuando se encienda el equipo las aplicaciones tendrán que re-autenticarse en los servicios y se encontrarán con que la contraseña almacenada en el equipo y “recordada” por la aplicación ya no es la misma con la cuál pueden acceder al servicio web llámese e-mail, exchange, twitter/facebook/4square/buzz, dropbox, o cualquier otro servicio que hayan configurado desde su móvil.

    Desactivar la tarjeta SIM y no almacenar datos sensibles en ellaLas tarjetas SIM (Subscriber Identity Module) son chips portátiles que utilizan los smartphones, o casi cualquier otro celular en el mundo, para poder recibir llamadas por medio del operador contratado. Las tarjetas SIM contienen información como el número telefónico pero pocos saben que puede contener practicamente cualquier otro tipo de información. Algunos equipos permiten guardar contactos y mensajes en la tarjeta SIM por lo tanto hay que evitar almacenar información confidencial o importante en esa tarjeta ya que desde los smartphones no tenemos tanto control de la información almacenada en ellos como lo tenemos con las tarjetas extraíbles y no podemos cifrar esa información de manera sencilla.Existen lectores de SIM con los cuales se pueden obtener facilmente información de las tarjetas por lo que es muy importante reportar inmediatamente el robo del equipo para que el operador desasocie la información contenida en el SIM con la victima.

    Estos fueron solo algunos consejos para asegurar sus equipos y preocuparse considerablemente menos por la información contenida en el smartphone perdido.

    Si tienen algún otro los invito a complementar este post con algún comentario.

    Symbian, Android, iPhone OS and touchscreen mobile devices

    Have you ever had a Nokia mobile device ? Amazing isn’t it ?? I mean the speakers, the reception, the battery, compatibility, functionality, hardware, etc. Nowadays I think the only thing they lack of is a good Operating System and it’s strange because years ago Symbian was one the best rated Operating Systems. Probably it still is one of the best OS but not for the latest devices and the tendency of them.
    What we know is, since the iPhone, all other cell phone manufacturers have created their devices as touch screen oriented. But if you remember the next touch screen device appeared just some week after the iPhone. Obviously other manufacturers already had the technology on their hands before iPhone appeared. Now we are in the middle of a battle between touch screen devices and, for people directly involved in technology, their mobile device must be a touch screen.
    Read more »

    Creating a new Twitter client for mobile devices

    Yesterday I decided to create a Twitter client for mobile devices. This new client will be created in Flash and you will be able to use it if you have Flash Lite 3 installed on your device. Flash Lite 3 can be installed in many many devices and actually there are some of them that have Flash Lite 3 preinstalled.
    Right now I’m in the planning stage and, with this post, I’m asking for feedback and some functionality that you’d like to see in this new client.
    Some people already told me what they would like to see.I’ll list what I have today.

  • Based on Twhirl
  • Retweets
  • Direct Messages
  • Favorites
  • Identify conversations
  • Short URL
  • Support for images
  • Avatars
  • Lookup and search
  • Friends and Followers
  • Hints while typing twitter IDs
  • If you have any other functionality that you want to add to the client, please comment in this post.
    Kind Regards.