MuySeguridad Recaps XXX: cuidado con tu cámara, configura cookies en Chrome, TPM

España es un país Android. Por eso las vulnerabilidades que afectan a este sistema operativo se encuentran entre las que más preocupan a los usuarios. Una de las últimas y más graves ha sido confirmada esta semana por Google: un bug en el software de cámara de los teléfonos puede facilitar a cualquier atacante con experiencia acceder a nuestra información más confidencial.

Pero en los MuySeguridad Recaps de esta semana te contamos además muchas más cosas. Por ejemplo, que Twitter ha habilitado un nuevo sistema de autenticación de doble factor sin que tengamos que utilizar nuestro número de teléfono; que Microsoft va habilitar DNS sobre HTTPS en Windows 10 o esas vulnerabilidades TPM que potencialmente pueden afectar a miles de dispositivos.

En el apartado práctico, te mostramos cómo configurar correctamente la gestión de cookies en Google Chrome para mejorar tu privacidad mientras navegas.

Kaspersky encuentra decenas de vulnerabilidades en aplicaciones VNC

Kaspersky ha encontrado 37 vulnerabilidades de seguridad en aplicaciones VNC, muchas de las cuales han pasado desapercibidas durante los últimos 20 años y las más graves podrían permitir a los atacantes comprometer un sistema objetivo de forma remota.

VNC (Computación Virtual en Red) es un protocolo de código abierto (similar al servicio RDP de Microsoft) para uso compartido del escritorio gráfico. Está basado en basado en RFB (Remote FrameBuffer) y se usa en tareas de ayuda técnica remota, en educación para que un profesor comparta la pantalla con los alumnos o para investigadores.

Twitter habilitará 2FA sin necesidad de número de teléfono

2FA, conocido como «doble identificación» o «verificación en dos pasos», es uno de los mecanismos de seguridad más importantes de la industria tecnológica a la hora de autentificar usuarios e identidades y prevenir el robo de cuentas.

Twitter, como la mayoría de grandes servicios ya lo usaba, pero exigía el uso de SMS y con ello la entrega de un número de teléfono. Esta implementación no es la más confiable y mucha culpa la tienen las mismas compañías como Facebook que convirtiendo la seguridad en negocio ha estado vendiendo el número de teléfono a los anunciantes sin conocimiento ni consentimiento expreso del usuario.

Google confirma la vulnerabilidad de la app de cámara de Android: «cientos de millones» de usuarios afectados

Google ha confirmado la grave vulnerabilidad de la cámara de Android revelada por Checkmarx hace unos días y que afecta a las aplicaciones de Google y Samsung.

La vulnerabilidad (CVE-2019-2234) permite saltarse las restricciones de permisos de Android, posibilitando que los atacantes tomen el control mediante acceso remoto de la aplicación de la cámara de Google o Samsung, pudiendo abrir los sensores de imagen sin conocimiento del usuario.

Microsoft habilitará DNS sobre HTTPS directamente en Windows 10

DNS sobre HTTPS es un -controvertido- protocolo de seguridad en Internet que cifra las conexiones DNS y las oculta sobre el tráfico HTTPS común, haciendo imposible que los ISP espíen el tráfico de Internet y sepan qué sitios web está visitando un cliente. Hay que recordar que actualmente y de manera general las solicitudes de DNS se envían a través de conexiones UDP de texto sin formato.

Cómo configurar las cookies en Google Chrome

A pesar de haber sido acusado de ser un spyware, Google Chrome es capaz de ofrecer bastante privacidad, si bien el hecho de que esté atado al ecosistema del gigante de Mountain View siempre dejará la puerta abierta a dudar de si la privacidad ofrecida es total o no.

Que Chrome sea criticado a nivel de privacidad no significa que no haya incluido mejoras en esa faceta. Por ejemplo, en la pasada primavera Google le introdujo mejores controles de las cookies, siendo este tipo de movimientos posibles respuestas a Firefox, cuya fortísima apuesta por la privacidad obliga al gigante de Mountain View a mover ficha ante un posible auge del movimiento en favor de la protección de los datos de los usuarios.

Vulnerabilidades en TPM afectan a millones de dispositivos

Un equipo de investigadores de ciberseguridad  ha reveladodetalles de dos nuevas vulnerabilidades de CPU potencialmente graves que podrían permitir a los atacantes recuperar claves criptográficas protegidas dentro de chips TPM fabricados por STMicroelectronics o Intel.

Trusted Platform Module (TPM) es uno de los «módulos de plataforma confiables» más utilizados por la industria tecnológica. Una solución de seguridad basada en hardware diseñada para almacenar y proteger información confidencial incluso cuando el sistema operativo se ve comprometido, gracias al criptoprocesador seguro que almacena claves de cifrado.