Resumen diario de noticias: Exploit de Mac activa cámaras web sin su permiso

La aplicación de videoconferencia Zoom para Mac tiene fallas graves que no se corrigieron a pesar de las revelaciones. Al visitar un sitio web malicioso, los malos actores pueden activar su cámara sin permiso. Si desinstaló Zoom, el sitio malicioso puede volver a instalarse sin su interacción.

El investigador de seguridad Jonathan Leitschuh notó que Zoom tiene la capacidad de unirse automáticamente e iniciar una sesión de video con solo visitar un enlace. Se preguntó cómo la compañía logró la hazaña de manera segura e investigó. Rápidamente descubrió que los métodos de Zoom no eran seguros en absoluto.

Cuando instala Zoom en una Mac, crea un servidor web en su máquina. El servidor web es problemático en múltiples niveles. Con solo unas pocas opciones, Leitschuh armó un sitio web de prueba de concepto. Si tiene Zoom instalado y visita ese sitio web, se le unirá automáticamente a una llamada y su cámara web se activará sin ninguna interacción de su parte, incluso si cerró Zoom antes de hacer clic en el enlace.

Peor aún, la desinstalación de Zoom no elimina el servidor web. El servidor web también puede reinstalar Zoom por sí solo. Entonces, si visita un enlace malicioso, puede reinstalar Zoom, unirse a una llamada e iniciar su cámara web, todo sin ninguna interacción de su parte.

Puede probar esto en la prueba de concepto de Leitschuh, pero tenga en cuenta que si tiene Zoom instalado, su cámara se iniciará y se unirá a una llamada con otras personas que prueban el sitio. Leitschuh notificó a Zoom de sus hallazgos junto con un período de gracia de divulgación de 90 días. Desafortunadamente, la compañía no hizo mucho para solucionar el problema.

Inicialmente, la compañía descartó todo como parte de las características que admite. Zoom finalmente implementó una solución leve que evita que la cámara se encienda, pero los actores maliciosos aún pueden obligar a los usuarios a unirse a una llamada y reinstalar Zoom. [Medio]

En otras noticias:

• Microsoft está introduciendo anuncios en Android: si tiene instalada una aplicación de Android de Microsoft, es posible que vea anuncios de otras aplicaciones de Microsoft. Pero no dentro de la propia aplicación. Microsoft está insertando sugerencias en los menús abiertos y compartidos de Android. Si comparte una foto con un amigo, es posible que vea OneDrive en la lista, incluso si no lo instaló. Tocar OneDrive te lleva a Play Store. Sutil pero asqueroso. [Policía de Android]
• Apple anunció una nueva línea de MacBook: Apple está revolucionando el mundo de las MacBook: ya no están el modelo de MacBook ni los modelos de MacBook Pro sin Touchbar. Pero cuando se van, una MacBook Air menos costosa con una pantalla mejorada toma el centro del escenario. Creemos que esta es la alineación más sensata en años. También creemos que debería esperar para comprar una MacBook de todos modos, debido a los problemas continuos del teclado. [ReviewGeek]
• Microsoft emitió una advertencia sobre malware difícil de detectar: Microsoft descubrió una campaña de malware, denominada Astaroth, que utiliza técnicas increíblemente avanzadas para evadir el descubrimiento. Astaroth se basa en las herramientas del sistema, como la herramienta de línea de comandos de instrumentación de administración de Windows (WMIC), para hacer todo su trabajo y enmascararse como actividad del sistema (una técnica de Living in the Land). Y nunca guarda archivos, sino que se ejecuta completamente en la memoria (un método sin archivos). Astaroth se entrega a través de correo electrónico no deseado con enlaces maliciosos, así que tenga cuidado con lo que hace clic. [ZDNet]
• Más de 1000 aplicaciones de Android ignoran sus opciones de permisos, lo rastrean de todos modos: los investigadores de seguridad descubrieron que muchas aplicaciones de Android lo rastrearían incluso si elige las opciones de permisos para evitarlo. La mayoría utiliza opciones alternativas; por ejemplo, Shutterfly extrae información GPS de los metadatos de su foto. Algunos incluso comparten datos de una aplicación a otra. Android Q debería resolver el problema, pero Android no es conocido por actualizaciones oportunas. [9to5Google]
• Instagram quiere detener el bullying: Instagram está probando nuevas funciones diseñadas para reducir el bullying en su plataforma. El primero es un proceso de IA que detecta cuando estás escribiendo algo despectivo y te pregunta si realmente quieres publicar el comentario. El segundo permitirá a los usuarios bloquear a los comentaristas. Un shadowban oculta los comentarios de todos, excepto del cartel, sin notificarlos. [Instagram]
• Spotify Lite es más pequeño, con menos funciones: la nueva aplicación Lite de Spotify para Android tiene un tamaño esbelto de 10 MB, lo que es ideal para dispositivos con almacenamiento limitado y países con velocidades de Internet más lentas. Por supuesto, el tamaño más pequeño significa menos funciones. Pero aún obtienes la parte más importante, la música, que es realmente todo lo que importa. Si bien ahora está disponible en 36 mercados de todo el mundo, EE. UU. no es uno de ellos. [Participar]
  
• Google dice que puedes conservar tus juegos de Stadia: Google Stadia es increíblemente intrigante. Pero una pregunta (bueno, muchas preguntas) surgió con fuerza: ¿qué sucede si un editor de juegos deja de admitir Stadia? ¿Pierdes el juego a pesar del dinero que gastaste? Google actualizó sus preguntas frecuentes y promete que mantendrás tus juegos en ese evento "salvo circunstancias imprevistas" (porque todas las empresas quieren margen de maniobra). [El borde]
• Los tweets extraños de Microsoft eran solo un anuncio de Stranger Things: los tweets de Microsoft han sido "extraños" últimamente, promocionando Windows 1.0 y otros retrocesos. Las referencias a 1985 lo convirtieron en un vínculo probable con Stranger Things (un espectáculo ambientado en 1985), y ahora eso se confirma con un paquete de temas y la descarga de la aplicación Windows 1.11. Si te gustan las cosas feas y realmente amas Paint, descárgalas ahora. [Ars Technica]
• YouTube regresa a FireTV y Prime Video obtiene soporte para Chromecast: Google eliminó YouTube de FireTV debido a que las dos compañías pelearon por la representación en las tiendas de la otra. Las empresas prometieron paz, y parece que por fin se está cumpliendo. Ahora encontrará YouTube en la mayoría de los dispositivos FireTV (salvo Echo Show). También a partir de hoy, Prime Video obtendrá soporte para Chromecast. Qué tiempo para estar vivo. [GeekWire]

RELACIONADO: Las tres cosas que Google Stadia necesita para conquistar la industria del juego

Las pantallas táctiles, con sus botones virtuales que se reconfiguran según sus necesidades, son una tecnología fantástica que transformó la forma en que vivimos. Eso es a menos que seas ciego. Las pantallas táctiles son una tecnología obtusa para cualquier persona sin vista: los botones carecen de sensación táctil, que es necesaria para encontrarlos y determinar su uso.

Las investigaciones quieren resolver ese y otros problemas. Están trabajando en una piel electrónica que podría interactuar con pantallas táctiles para proporcionar sensaciones táctiles. Piense en ello como las vibraciones de su teléfono celular, pero en una escala más pequeña que le da una idea de en qué dirección mover el dedo o qué tan fuerte empujar.

La idea es mantener la tecnología lo suficientemente delgada como para que puedas sentirla con el dedo, pero aún así incrustar circuitos que puedan interactuar con otras tecnologías y contigo. Los científicos esperan que la piel electrónica de un día pueda agregar la sensación de sensación y tacto a una mano protésica también. Todavía queda un largo camino por recorrer antes de que esto suceda, pero ahora realmente parece posible y no solo algo en el ámbito de la ciencia ficción. Eso es verdadero progreso. [Phys.org]