Menú principal

miércoles, 22 de octubre de 2014

iOS 8.1: Apple Pay, Poodle y el bug que muestra tu clave

Se esperaba que iOS 8.1 fuera liberado esta semana y así ha sido. Diferentes CVEs han sido parcheados en esta nueva versión del sistema operativo, la cual ofrece también mayor estabilidad con la nueva familia de iPhone. En la publicación de la actualización se puede ver, al menos, 5 CVEs entre los que se encuentran el bug de publicación de contraseñas en los teclados predictivos y el ya famoso bug de Poodle en SSL que también afecta a iOS. Esta es la lista detallada de los CVE corregidos en esta versión.
  • CVE-2014-4428. Disponible desde iPhone 4S y superior. La vulnerabilidad residia en conexiones no cifradas, por lo acciones maliciosas por parte de un atacante podrían desembarcar en un spoofing.
  • CVE-2014-4448. Los archivos podían ser transferidos a un directorio de aplicación y no ser cifrados con clave generada por HW. 
  • CVE-2014-4449. Un atacante en una red de área local podía forzar a que iCloud tuviera fugas de información debido una incorrecta validación del certificado TLS.
  • CVE-2014-4450. Quicktype aprende contraseñas y podría anunciarlas en el autocompletado, por lo que, como ya hablamos en Seguridad Apple, es algo peligroso para las fugas de información.
  • CVE-2014-3566. Un atacante puede descifrar datos protegidos por SSL 3.0. Esto es un parche para el famoso Poodle.
Para actualizar a iOS 8.1 podemos realizarlo a través del software de actualización a través de los dispositivos iOS. También podemos realizarlo a través de Apple iTunes. Además, en esta versión se activa ya Apple Pay para todo el mundo, aunque solo para tarjetas emitidas en USA. El resto de tarjetas deberán esperar.

martes, 21 de octubre de 2014

El gobierno Chino haciendo Man in The Middle a iCloud

Ya hemos hablado muchas veces del Gran Firewall que usa el gobierno de la República Popular China para analizar e interceptar las comunicaciones. Cualquier mecanismo de evasión en el pasado ha sido bloqueado, como por ejemplo comunicaciones vía sistemas VPN o HTTPs. De hecho, no sentaron demasiado bien cosas como el uso de HTTPs para todas las conexiones a las tiendas de apps, aunque por desgracia la implementación de Apple no sea perfecta y cargue contenido vía HTTP abriendo la puerta a los ataques de SSL Strip.

Ahora, desde Ars Technica podemos ver que el gobierno está utilizando certificados firmados por ellos mismos para el dominio de Apple iCloud, lo que les permitiría acceder a los usuarios y contraseñas de cualquier usuario que se conecte a ellos aceptando la alerta de la conexión.

Figura 1: Certificado falso usado para firmar el dominio iCloud.com en China.

Una vez que tengan el control de las credenciales, todos los servicios asociados, como por ejemplo backups, servicios de localización o almacenamiento de documentos quedarán bajo supervisión del gobierno. Si viajas a China, ten mucho cuidado con dónde te conectas que ya ves cómo las gastan.
Artículos relacionados

Otras historias relacionadas

Entradas populares