miércoles, 28 de noviembre de 2012

"Rompiendo" el Whatsapp de tus amigos.

Buenas a todos!
Hoy os voy a enseñar como dejar pillado el Whatsapp a tus contactos. Esto se produce por un fallo en la programación de Whatsapp que produce que cuando enviamos cierto mensaje cargado de emoticonos la app empieza a ir muy lenta y tenemos que salir de ella. Esto es una buena forma de gastar algunas bromas a nuestros amigos, ya que puede ser realmente molesto, pues no basta con cerrar la app, sino que deberás de reinstalarla o eliminar el historial para que la app no cargue mas el mensaje.

Antes que nada decir que la app se queda pillada en telefonos Android, en iPhone (iOS) solamente se cierra la app cuando entramos a la conversación en la que se encuentra el mensaje. No he podido probarlo en otros sistemas.

Y ahora os dejo la imagen del mensaje que debeis enviar:

Ese es el mensaje que debes enviar, esos emoticonos (negro y blanco, negro y blanco) una y otra vez, cuantas mas mejor (en un mismo mensaje)!

ACTUALIZACION: Para los que no teneis esos emoticonos os los dejo en este tuit para que los copiéis y peguéis directamente: https://twitter.com/segura201093/status/273804873185763328

Creo que con otro también funciona, pero no estoy seguro.

Y esto es todo por hoy! No seais malos y no hagais muchas bromas con esto!! :P

PD: Agradecería que comentaseis si os ha funcionado en otras plataformas y demás :)

miércoles, 21 de noviembre de 2012

XSS en 500px.com

Hola a todos!
En esta entrada os dejo un fallo XSS en la web http://500px.com . Quizá no la conozcáis, es una web parecida a Instagram. En ella puedes subir tus fotos para que el resto de usuarios la vean, la voten etc.. y también puedes vender tus fotos :)

Bueno, pues os dejo el PDF del reporte! (en ingles): http://dl.dropbox.com/u/60013026/500px.pdf

Bueno, hasta aquí la entrada de hoy! Nos leemos en la próxima! ;)
Por cierto, comentad vuestras opiniones y sugerencias!

sábado, 17 de noviembre de 2012

Dejando KO a móviles Android con LINE

Buenas a todos!
Hoy os cuento un bug de LINE, la nueva aplicación que quiere competir con Whatsapp.



El otro día mientras la probábamos @MBAMIME y yo, encontramos un bug en la app para Android. El bug se produce cuando el móvil Android nos hace una llamada desde LINE. Cuando recibimos la llamada dejamos que suene un ratito y pulsamos "Answer" (responder) y rapidamente al responder en cuanto aparezca que esta conectando y aparezca el boton "END CALL" le damos en END para finalizar la llamada. Es decir, respondemos y en cuanto aparezca el boton de finalizar la llamada le pulsamos, solamente una vez! En ese momento nuestro móvil acabará la llamada y el móvil que nos llamó que usa android quedará bloqueado esperando conectar. No hay manera de volver a hacer que el móvil responda, solo se puede reiniciar.
Si lo hacemos al revés con un dispositivo iOS (iPhone) la app también se queda como bloqueada y no responde, pero en este caso si se puede cerrar pulsando Home y sacandola de la multitarea.

La prueba fue con un iPhone 4S iOS 6.0.1 y un Samsung Galaxy S SCL con Android 2.6 . No hemos podido probar con otras versiones de Android ni con otros dispositivos, asique si ustedes pueden probarlo y comentar si también se produce este bug se lo agradecería :)

Y esto es todo por hoy.
Si lo prueban y funciona en otros dispositivos Android no hagan muchas bromas!! :P

martes, 13 de noviembre de 2012

Defcon 20

Hola a todos!
Hoy os traigo todo el material de la 20º edición de la Defcon, una de las más viejas y populares convenciones de Hackers del mundo. Se llevó a cabo los días 26, 27, 28 y 29 de Julio de este año.

Gracias al blog de seguridad informática (y de informática en general) CyberHades tenemos los materiales: http://www.cyberhades.com/2012/11/13/material-de-la-defcon-20/

Os dejo también el enlace al video de YouTube de la exposición del gran Chema Alonso!
http://www.youtube.com/watch?v=2HTiHdezBTY
Blog de Chema Alonso: http://www.elladodelmal.com/

Nos leemos en la próxima! :)

sábado, 10 de noviembre de 2012

Fallos XSS Tuenti [Canales]

Hola a todos!
Os dejo los fallos XSS de Tuenti que os dije en la anterior entrada, pero antes tengo que contaros lo ocurrido.
El viernes 2 de Noviembre reporté un fallo de seguridad en los canales de páginas de Tuenti, que es el que os pondré al final de la entrada en PDF para que lo veáis. Ese mismo día lo arreglaron y también encontré otros dos fallos que tenían que ver también con los canales de páginas Tuenti. Como ya os dije en la anterior entrada, he estado trasteando con los fallos para ver hasta que punto se podía llegar.
Hasta este jueves 8 de noviembre he podido investigar un poco estos fallos, pensaba reportarlos hoy y publicarlos en cuanto se arreglasen, pero como digo, el jueves por la tarde comencé a recibir visitas a mi perfil de Tuenti, llegando a recibir 14 visitas en unos 20 minutos, algo que me pareció bastante raro pues la media de visitas a mi perfil es de 1 o 2 a la semana. Por la noche me puse a seguir trabajando con lo fallos, ¿y que pasó? Pues que de repente los fallos habían sido corregidos, sin reporte ninguno. Uno de los fallos tenia que ver con el estado y el panel de novedades, como ya os dije, el otro estaba en los mensaje privados. El de los mensajes privados nadie lo conocia, solamente yo.
Asique no se que hubieseis pensado vosotros pero yo la única explicación que encuentro a todos estos acontecimientos es la siguiente:
Los administradores de Tuenti estuvieron visitando mi perfil para intentar ver que fallos había descuebierto. Posiblemente no pudieron ver nada, asique entraron a mi cuenta y seguramente miraron algún registro de mis estados para ver donde estaba el fallo de los estados. Al entrar a mi cuenta me miraron los privados y descubrieron el fallo de seguridad de los privados. Una vez conocidos los fallos los arreglaron.

Esta es la historia, no tengo pruebas pero es la única explicación que tengo para esto.
Y ahora os explico los fallos!

Os dejo el pdf del primer fallo que si pude reportar a Tuenti, del resto no puedo dejar pdf por que no lo tengo preparado, os explico más abajo en que consistían.


El primer fallo tiene que ver con el estado, como ya os dije, y es que usando el link del canal de página y publicándolo usando el estado, cuando tus amigos ven tu estado se inyecta el código del nombre del canal en su panel de novedades. Así de simple.

El segundo es igual pero en los mensajes privados. Mandas un mensaje privado con el enlace a los canales de una pagina con código y este se inyecta el abrir el privado.

Todos estos fallos se producen por que Tuenti automáticamente pone mas "bonito" el link y no lo muestra, sino que muestra una fotito del vídeo  añadiendo información como las visitas y el nombre de canal en el que esta el video, que en nuestro caso el nombre de canal coincide con el nombre de la página, que es código.

Y esto era todo. Si tenéis alguna duda o sugerencia dejad comentarios o poneos en contacto conmigo a través de mi Twitter.
Nos leemos en la próxima, en la que probablemente os enteréis de los fallos antes que Tuenti, si quieren conocerlos antes, que cotilleen mi perfil ;)