en los que estás registrado ha sido comprometido, y que tus credenciales se encuentran dentro de un listado de "hashes pendientes de crackear" de algún grupo de graciosillos de cualquier lugar del mundo.
Aún más crítico es si al servicio en cuestión le has delegado una parte de la seguridad de tu dispositivo Android, en la que ibas a confiar para localizarlo en caso de pérdida (al más puro estilo Find My iPhone de iOS)
Cerberus anti-robo es una aplicación de Android que permite localizar un dispositivo registrado en caso de que lo pierdas o te lo roben. La versión gratuita de prueba permite un registro de una semana, y por 3 euros
Aproximadamente se podría obtener la licencia de por vida. Luis Delgado habló ya de vulnerabilidades en esta aplicación en su serie de posts sobre la actualidad del malware en Android.
Para posteriormente localizar tu dispositivo móvil y gestionarlo, es necesario utilizar un servicio centralizado en los servidores de Cerberus para acceder al panel de control personal.
El equipo de seguridad de Cerberus ha enviado un aviso de seguridad a todos los usuarios (que podréis consultar también en el Google+ de Cerberus)
anunciando que unos intrusos, tras comprometer servidores de la red externa, han accedido a más de 90000 cuentas de usuarios, incluyendo los hashes SHA-1 de las contraseñas, y que
automáticamente han procedido a la reinicialización de las contraseñas de todos los usuarios afectados. Dichas credenciales se encontraban en un fichero de log,
el cual fue rápidamente eliminado. No se accedió a la base de datos, las credenciales en ellas, según cuentan, tienen salt y varias iteraciones de cifrado, y comentan que pronto migrarán a bcrypt. Cuidado con los logs que
almacenáis en vuestras aplicaciones, aunque sean temporales, pueden contener información que pudiera ser accesible por terceros.
Lo más curioso es que se ha detectado el acceso por parte de usuarios ajenos a 3 de las cuentas obtenidas
0 comentarios:
Publicar un comentario