Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Investigador hackea el sistema de rastreo de arresto domiciliario
Las pulseras de rastreo para el tobillo que algunos criminales se ven obligados a usar después de ser sentenciados a arresto domiciliario pueden ser hackeadas, permitiéndoles salir de casa e ir a donde quieran sin que la policía se entere.
En el DEFCON de este año, el investigador de seguridad William "Amm0nRa" Turner demostró su exitoso hackeo de un pulsera de rastreo fabricada por la compañía Taiwanesa GWG International, el investigador se las arregló para obtener una mediante ingeniería social contra la compañía.
Los viejos sistemas de rastreo corrían a través de líneas telefónicas y usaban frecuencias de radio para la proximidad de la pulsera de tobillo. Únicamente la pulsera de GWG International utiliza GPS y las frecuencias de radio de corto alcance para determinar la ubicación del portador, además de una red celular para enviar esa información al sistema central de vigilancia operado por las agencias judiciales.
El investigador se las arregló para eludir el sistema antiextracción y para manipular la protección de detección colocando la pulsera dentro de una jaula de Faraday (en este caso, un rollo de dos dólares de papel aluminio) para bloquear la señal de telecomunicaciones real y estimular a la pulsera a conectarse a una red falsa que él mismo creó.
Esto le permitió capturar el mensaje de advertencia que el dispositivo envía a la policía en caso de que se abra la pulsera. Retiró la tarjeta SIM del dispositivo, la puso en su teléfono y envió un mensaje a otro teléfono con el fin de averiguar el número de teléfono asociado a la tarjeta SIM.
Con esa información en las manos, pudo usar un servicio de suplantación de SMS en línea para mandar un mensaje falso especialmente diseñado que "dijo" a la policía que el criminal estaba aún en casa.
Turner probó la técnica en un dispositivo en particular, pero dijo que hay muchos que funcionan de manera similar y tienen probablemente las mismas vulnerabilidades.
No informó a GWG International de sus hallazgos antes de presentarlos en la DEFCON debido a las malas experiencias que tuvo cuando trató de reportar vulnerabilidades en el pasado.
Turner dijo que para llevar a cabo este tipo de ataque se necesita cierta dosis de conocimiento en tecnología, pero también mencionó que es posible que alguien con las habilidades necesarias automatice el ataque y lo venda a aquellos que lo necesiten.
