Menú principal

viernes, 30 de noviembre de 2012

Apple TV 5.1.1: Dos fallos de seguridad corregidos

El jueves 29 de Noviembre se publicó Apple TV 5.1.1 para equipos de segunda y tercera generación. Entre las novedades del producto se arreglaron también un par de bugs de seguridad que han sido corregidos en esta versión, tal y como se explica en el APPLE-SA-2012-11-29-1 Apple TV 5.1.1.


Los CVE de los bugs son el CVE-2012-3749, descubierto por Mark Dowd de Azimuth Security, Eric Monti de Square, y varios investigadores anónimos, que permite hacer un information disclosure de direcciones de memoria en el kernel, lo que puede ayudar a la creación de exploits.

El segundo de ellos es el bug con CVE-2012-3748, descubierto por Joost Pol y Daan Keuper de Certified Secure en colaboración con HP TippingPoint's Zero Day Initiative, que no es, ni más ni menos, que el bug que utilizaron para ganar el Mobile Pwn2Own de Amsterdam de este año.

Robo de datos por el jack de audio de un smartphone

Los headphones, auriculares o cascos de audio son utilizados en los smartphones para escuchar música o atender llamadas con unos sencillos controles que permiten interactuar con el teléfono para descolgar una llamada o subir y bajar el volumen del auricular. Por supuesto, si alguien fuera capaz de crear un conector jack malicioso podría detectar cuando ha llegado un mensaje - por el sonido que emite - qué número se está marcando o grabar las conversaciones. Si es un usuario de iPhone con Siri, podrían grabarse hasta los correos electrónicos que se escriben. Todo ello utilizando el jack de audio.

Figura 1: Descripción de los pines de conexión del jack de audio

Esto es lo que ha hecho el investigador de seguridad Atul Alex y que ha presentado en la MalCon. A día de hoy es un prototipo según cuenta en sus diapositivas, y ha programado todo haciendo uso de una placa Arduino, pero podría llegar a convertirse en una pieza tan pequeña que no se notase instalada en nuestros auriculares, como si fuera un keylogger de teclado de esos que parecen adaptadores USB.

Figura 2: Estructura con la placa Arduino

Esta técnica funciona para cualquier tipo de terminal, ya sea iPhone, Android, BlackBerry o Windows Phone, y como dicen nuestros amigos de Cyberhades, podría ser una evolución natural de los famosos ataques de Juice Jacking que se realizan con conectores de carga de terminales móviles. Por supuesto, detectar esto en un análisis forense va a ser muy complicado si no se tienen los auriculares a mano.

jueves, 29 de noviembre de 2012

Tiger Tex para iOS: Mensajes que se autodestruyen

Nos gustó mucho el artículo de HackPlayers "Qemar después de leer" donde hablaban de sistemas de mensajería que permiten al emisor del mensaje controlar que el mensaje enviado sea destruido una vez que el destinatario lo haya leído. Para ello nos referenciaban hacia sistemas de mensajería con cifrado efímero o que pueden ser eliminados por el emisor a gusto como Vanish o Burn Note que pueden ser utilizado desde la propia página web, permitiendo comunicaciones que no comprometan para siempre al emisor de ese mensaje.

Figura 1: Burn note deja 180 segundos pare visualizar la nota

Para el mundo de iOS hay una aplicación especialmente curiosa, que puede ser utilizada de forma individual o empresarial, llamada Tiger Tex y que permite el envío de mensajes de texto, fotografías, documentos de forma privada. Es decir, alternativas con mayor privacidad al SMS, iMessage o WhatsApp ya que se pueden recuperar mensajes borrados de WhatsApp.

Figura 2: Tiger Tex para iOS controla cuando se borran los mensajes en destinatario

Vamos a probarla una temporada y os contamos en el futuro nuestras conclusiones tras usarla, para ver si es posible hacer capturas de pantalla, copiar los mensajes o firmarlos con algún servicio tipo e-garante.

miércoles, 28 de noviembre de 2012

Ataques "man in the middle" en iOS con Fake CAs

Han sido publicadas las presentaciones de la conferencia Zero Nights realizada en Rusia esta semana pasada. Entre la lista de todas las presentaciones queremos destacar una de ellas que nos ha gustado mucho, impartida por el investigador Trosichev, en la que se explica cómo se pueden realizar ataques man in the middle utilizando un certificado digital de una CA con un mensaje muy sutil para conseguir que el usuario lo instale.

Figura 1: Fake CA que simula ser de Apple Inc.

La idea es similar a la que se plantea con el ataque dirigido con el troyano para iOS, pero haciendo uso de un certificado CA emitido por una entidad como Comodo, que viene en la lista de certificados de confianza en iOS, y consigue hacerse con el usuario - que debe hacer dos "taps" para instalarlo  -mediante un ataque de ingeniería social muy sutil, como puede verse en la imagen superior.

Desde Seguridad Apple os recordamos que de debéis tener mucho cuidado con los certificados digitales que aceptáis ya que pueden ser utilizados para instalar malware o hacer ataques de hombre en medio totalmente indetectables. No aceptes ningún programa o certificado digital que te venga por correo electrónico si no lo estás esperando por algún motivo.

martes, 27 de noviembre de 2012

Riesgos de privacidad al usar Speech to Text en iOS

Hace unos días, en El lado del mal se publicaba un articulo titulado "Dile cositas bonitas al oído a los chicos de Apple" en el que se alerta del riesgo de utilizar el servicio Speech to text en iOS. Este servicio, que está integrado en el teclado del sistema operativo iOS y que usan todas las aplicaciones, no procesa los mensajes de voz en el terminal - por eso necesita una conexión a Internet - y envía toda la grabación a los servidores de Apple donde se procesan los audios y se devuelve convertido en texto.

Figura 1: Speech to text integrado en el teclado. Si no hay datos se deshabilita.

Esto, hará que en los servidores de Apple queden registrado los audios y textos introducidos en una entrada de la agenda, escritos en un mensaje de correo electrónico - incluso si va cifrado - o al configurar una alerta del despertador con iOS. En definitiva, es una derivada más de los riesgos de seguridad de Siri, que lo ha llevado a ser bloqueado en muchas redes de empresas por problemas con la privacidad del servicio, tal y como es ofrecido por Apple.

lunes, 26 de noviembre de 2012

Los datos de los diputados robados o perdidos en iPads

Al comienzo de esta legislatura, a los diputados del gobierno se les entregaron dispositivos iPad en lugar de portátiles con Windows. Comparar un iPad con un sistema operativo móvil como iOS con un portátil con Windows es atrevido y osado, pues el número de funciones que se pueden realizar son infinitamente distintas. De hecho, en la paridad de funciones con WindowsApple comercializa Mac OS X, pero suponemos que los diputados del gobierno no "necesitan" tales funciones para gobernar un país.

El asunto es que las políticas de seguridad en equipos con Mac OS X o Windows 7 son un poco más fáciles de gestionar, mientras que los terminales iOS con iPhone o iPad se pueden configurar poco más a como vienen Out-of-the-box - incluso con MDMs-, pero nunca como un Windows o un Mac OS X, lo que llevó a que estos terminales iPad fueran bloqueados de la propia red del congreso de los diputados.

Figura 1: Arquitectura de File Vault 2 Full Disk Encryption en Mac OS X

Una de las diferencias fundamentales entre iOS y Mac OS X / Windows, es la posibilidad de cifrar el disco duro del sistema con File Vault 2 o Bitlocker y evitar que el dispositivo no arranque si no se proporciona una clave de descifrado. En iOS el sistema utiliza una clave que depende del usuario Passcode, y otra que depende del terminal UDID, lo que hace que el disco del terminal iPad siempre se descifre - al menos en su gran mayoría - independientemente de si se tiene el passcode o no.

Figura 2: Arquitectura de cifrado en iOS

Esto hace que las herramientas forenses puedan utilizar exploits o ataques en fuerza bruta para extraer todos los datos que se almacenan en dicho terminal, como ya os contamos con el reciente Análisis Forense de iOS6 con Oxigen Forensics.

Gracias a SecurityArtWork nos damos cuenta de que a nosotros también se nos ha pasado la noticia de que muchos de los iPads de los políticos han sido declarados como perdidos y robados, y muchos de ellos no tenían la función de Find my iPad activada - tal vez para evitar que les localicen a ellos -, y no se sabe exactamente todos los datos que se han podido perder junto con los iPads.

Figura 3: Find my iPad

Lo cierto es que los políticos deberían haber recibido un curso de uso de los iPads, además de dichos terminales, que les hubiera ayudado a tener claro cuáles son los riesgos de seguridad asociados a ellos, y cómo deben usarse para evitar casos como el de la ministra que twitteaba los records de sus juegos. Y sobre todo, conocer para qué pueden ser utilizados y para qué no, en función de sus limitaciones para el cumplimiento de la LOPD y el ENS.

domingo, 25 de noviembre de 2012

Malware para Mac OS X y OpenOffice: Gusano Bad Bunny

Continuando con nuestra serie dedicada a repasar el malware creado para tecnologías Apple, y centrándonos en virus encontrados en Mac OS X, no podemos olvidarnos de Bad Bunny, que fue descubierto en  el año 2007. ¿Qué lo hace digno de mención? Pues principalmente llamó la atención de que fuera uno de los pocos que no  hacía “discriminaciones” entre sistemas operativos y actuaba tanto en sistemas operativos Windows, como Linux o Mac OS X

Además, este malware tiene el dudoso privilegio de ser el primer virus - en este caso, gusano - que afectaba al programa de licencia libre OpenOffice. Una vez que el usuario abría un fichero de OpenOffice llamado badbunny.odg, se mostraba el siguiente mensaje:

Title: ///BadBunny\\\" Body: "Hey '[USERNAME]' you like my BadBunny?

Además, a la par, se ejecutaba una macro escrita en StarBasic contenida dentro del fichero y que causaba la infección. La forma de actuar de la macro era diferente en función del sistema operativo en la que se ejecutaba:
- En Windows creaba un fichero JavaScript, badbunny.js, que afectaba el comportamiento de mIRC y X-Chat, famosos clientes de chat IRC, causando que a través de ellos se compartiese de forma automática el fichero odg del virus con otros usuarios. 
- En Mac OS usaba para extenderse un script Ruby de entre dos posibles alternativas: badbunny.rb y badbunnya.rb. Al igual que antes, modificaba el comportamiento de MIRC y X-Chat para extenderse. 
- En Linux se creaban dos ficheros: Un script en Python de X-Chat llamado badbunny.py y un script en PERL, llamado badbunny.pl. El cometido de ambos es análogo al caso de Windows y Mac OS.
A parte, y como rasgo común en todos los sistemas operativos, este virus descargaba y mostraba al usuario una imagen de contenido adulto donde se podía ver a una persona disfrazada de conejo - de ahí el nombre de BadBunny -. Esta es la imagen sin censurar que se mostraba.

Figura 1: La imagen subida de tono de Badbunny

Como vemos, el modo de acción difiere en cada plataforma –diferentes scripts en distintos idiomas de programación - pero el fin es el mismo: infectar clientes de IRC para poder propagarse y mostrar la citada imagen al usuario.

Este malware se puede considerar como poco peligroso ya que la única acción del gusano, aparte de extenderse, era la de mostrar una imagen subida de tono. Además, y como nota curiosa que reafirma la intención no dañina de BadBunny, sus creadores lo mandaron directamente a una empresa dedicada a la seguridad informática, Sophos

Las palabras acerca del virus de Graham Cluley, consultor de seguridad de Sophos, fueron las siguientes cuando se toparon con él para analizarlo.
"The group responsible for writing the BadBunny malware don't seem to have much confidence in it spreading as they have sent it directly to our labs. The hackers have written plenty of StarBasic malware in the past, but the most 'in the wild' this one is likely to get is by displaying a picture of a furvert in the woods
Traducción:
“El grupo responsable de escribir el malware BadBunny no parecen tener mucha confianza en su propagación puesto que lo han enviado directamente a nuestros laboratorios. Los hackers han escrito un montón de malware StarBasic en el pasado, pero lo más "salvaje" sea probablemente la visualización de una imagen de un animalito pervertido en el bosque”
BadBunny fue catalogado más como una “prueba de concepto” – por ser multiplataforma y ser el primero en atacar OpenOffice - que como un virus con intenciones verdaderamente dañinas y alegaron que no tuvo difusión, ni se la vaticinaron en el futuro. Algo con lo que parece que acertaron.

sábado, 24 de noviembre de 2012

Compartir Internet: Aparecen 2 Conexiones en mi iPhone

No es la primera vez que alguien nos cuenta alertado que ha visto en su iPhone algo que le preocupa, pues cuando comparte la conexión a Internet para él solo, a veces aparecen dos conexiones en lugar de una. Algo como lo que puedes ver en la siguiente captura:

Figura 1: Compartir Internet con 2 conexiones a Internet compartidas

La explicación puede ser que alguien esté conectado a la red WiFi que crea tu terminal iPhone y por lo tanto es bueno que hagas comprobaciones no vaya a ser que alguien te esté espiando la red WiFi para, por ejemplo, ver con quién chateas. Sin embargo, la explicación también puede ser simple. Cuando se comparte una conexión a Internet con iPhone, se pueden usar tres canales diferentes para hacer la unión entre el equipo y el terminal iPhone, es decir, para hacer el Tethering. Estos son:
- La conexión WiFi.
- La conexión BlueTooth.
- La conexión USB.
Lo normal es que elijas uno de ellos en cada ocasión y deshabilites el resto. Por ejemplo, si estás enchufado y la batería no es un problema utiliza la conexión USB. Si tienes batería pero no tienes el cable USB entonces conecta por BlueTooth para evitar emisiones de tu red a grandes distancias y a atacantes molestos. Si tienes poca batería entonces usa la red WiFi que es la que menos consume.

Figura 2: Opciones de compartir Interntet con USB, WiFi y BlueTooth

El problema puede venir cuando compartas la conexión a Internet con WiFi y USB y conectes tu iPhone al USB de tu equipo. Si tu equipo también se conecta por WiFi, resultará que aparecen dos conexiones en lugar de una, y puede ser ese el problema. Aún así, si tienes dudas de si alguien te ha quitado la contraseña de la compartición de Internet en tu iOS, lo mejor es que cambies la contraseña de la red y pruebes a ver si en la siguiente conexión hay uno o más de uno en tu iPhone.

viernes, 23 de noviembre de 2012

Facturas falsas de Apple llevan a Black Hole y Zeus

Estamos en el Black Friday, el viernes en el que todas las tiendas rebajan sus precios y el día en que más electrónica y tecnología se compra, y por lo tanto caldo de cultivo ideal para los estafadores que quieren aprovecharse. Para ello, según informan en Naked Security, se está distribuyendo una campaña de spam en la que se envían falsas facturas de Apple con supuestas compras realizadas.

Figura 1: La falsa factura con los enlaces que llevan al kit de exploits Black Hole

Por supuesto, el objetivo de esta campaña es que el receptor de la misma haga clic en un hipervínculo que lleva a un servidor web en el que está alojado un kit de exploits BlackHole. El usuario obtendrá una página web como la que puede ver se a continuación.

Figura 2: La página que se obtiene. Por detrás se lanzan los exploits para infectar con Zeus

Pero por debajo se intentan lanzar exploits para Oracle Java, Adobe PDF y Adobe Flash, por lo que los usuarios que no estén actualizados y que no tengan un sistema antimalware actualizado y configurado con protección en tiempo real, serán infectados con un bot de Zeus, orientado como ya se conoce, al robo de todo tipo de credenciales, especialmente bancarias.

Por si acaso, os recomendamos tener mucho cuidado con este tipo de estafas, actualizar todo vuestro software y tener instalado un antimalware profesional con protección en tiempo real en vuestro Mac OS X. Además, si quieres conocer más sobre cómo funciona el mundo del cibercrimen os recomendamos la lectura del libro Fraude Online.

jueves, 22 de noviembre de 2012

Sale OS X Mountain Lion 10.8.2 Supplemental Update 2.0 ¿A la tercera va la vencida o habrá una 10.8.2 Update 3.0?

Primero Apple sacó OS X Mountain Lion 10.8.2, una actualización del sistema operativo que arreglaba bastantes fallos de seguridad. Después tuvo que sacar OS X Mountain Lion 10.8.2 Supplemental Update, para solucionar una serie de fallos de funcionalidad sin bugs de seguridad conocidos. Ahora ha sacado esta semana OS X Mountain Lion 10.8.2 Supplemental Update 2.0, una nueva actualización de la actualización que actualizaba la actualización del sistema operativo, pero no es para todos.... sólo para los Mac del 2012.

Figura 1: OS X Mountain Lion 10.8.2 Supplemental Update 2.0

No te extrañes si no lo has entendido, nosotros tampoco tenemos muy claro por qué Apple hace estas cosas. Además, la información que ofrece es tan explícita como lo que puedes leer en la imagen. Un problema con el keychain.

Ese keychain se usa para guardar passwords, que suelen ser importantes para la seguridad de los usuarios, pero Apple ha dado información cero. Habrá que investigar en foros a ver qué problema es ese del keychain. Si te sale la actualización de la actualización que actualiza la actualización en la Mac App Store, aplícala, si no... es que a ti no te hace falta actualizar. Apple dixit.

miércoles, 21 de noviembre de 2012

Curso de Análisis Forense de Dispositivos Móviles Online

Los días 17, 18, 19 y 20 de Diciembre de este año tendrá lugar el Curso de Análisis Forense de Dispositivos Móviles Online, en horario de 16:00 a 18:30 horas (horario peninsular de España), centrado en las herramientas y procedimientos necesarios para hacer un procedimiento de análisis forense a la SIM de smartphones, a terminales Andorid y a dispositivos iOS.

Figura 1: Análisis Forense a un iPhone 4S con iOS6 usando Oxygen Forensics

Allí podrás ver cómo realizar un análisis forense de iPhone 4S o iPhone 5 con iOS 6, utilizando entre otras herramientas como Oxygen Forensics para automatizar los procesos. Estos son los contenidos:

 AFDM02 Análisis Forense de Dispositivos Móviles Online

Descripción: Cada vez los dispositivos móviles son más importantes en nuestro día a día, llamadas, agendas, notas y fotografías, pueden ser utilizados para cometer un delito o fraude. La presente acción formativa proporciona los conocimientos y las habilidades necesarias para llevar a cabo una investigación sobre teléfonos móviles mediante diversas herramientas. Los alumnos adquirirán experiencia práctica con las imágenes del teléfono y el análisis de tarjetas SIM y tarjetas de memoria.

Objetivos: Al finalizar la acción formativa, los asistentes dispondrán de los conocimientos, procedimientos y herramientas disponibles, para analizar, de forma efectiva, auditorías de análisis forense específicas. Todo ello adaptado para cada uno de los sistemas operativos disponibles en los dispositivos móviles más utilizados hoy en día, tales como Android, Windows Mobile o iPhone.

Audiencia: Analistas forenses, técnicos de seguridad y cualquier persona con interés en la seguridad informática.

Requisitos: Para el correcto desarrollo de la formación es recomendable que los asistentes dispongan de conocimientos a nivel de usuario en el uso de smartphones.

Duración: 10 horas

Contenidos:

1. Introducción
- Telefonía móvil
- Análisis forense de dispositivos móviles
- Consideraciones legales

2. Tarjetas SIM
- Introducción a las tarjetas SIM
- Creación de un entorno de laboratorio
- Análisis de tarjetas SIM

3. Análisis de dispositivos
- Forense de Dispositivos móviles
Evaluación.
Adquisición.
Análisis.
Generación de informes.
- Análisis forense de Android.
- Análisis forense iOS.
- Versiones de iOS: 1x - 3.x, 4.x, 5 y 6
- Modelos de dispositivos:
iPhone: 3G, 3GS, 4 GSM y CDMA, 4S, 5
iPad: 1, 2, 3 y 4a generación
iPod Touch: 1a a 4a generación
4. Herramientas software
- Forense con Oxygen Forensics:
Captura de datos
Análisis de mensajes
Análisis de contactos
Análisis del log de eventos
Análisis de backups
Crackeo de cifrado de backups
Análisis de datos borrados
Información de geolocalización
Generación de informes
- Otras herramientas:
Device Seizure
Zdiarski Technique
Cellebrite
BitPim
Mobiledit

5. Consideraciones legales
- Normativas de Seguridad
- Cumplimiento LOPD
- Esquema Nacional de Seguridad.

Tienes toda la información del curso y el proceso de registro en la web de Informática64.

martes, 20 de noviembre de 2012

iWork o iMovie para Android: Una estafa en Google Play

La semana pasada hablamos de que en App Store se cuelan de vez en cuando aplicaciones maliciosas o  simplemente estafas, como el caso de NFC for iPhone 5, hoy toca hablar de la tienda de apps de Android, Google Play. No es que queramos cambiar el tono de este sitio para hablar de Android, pero es que nos ha llamado poderosamente la atención cómo es posible que se cuelen en Google Play aplicaciones como Pages, Numbers, iPhoto, Garage Band, iLife o iMovie pretendiendo venir desde Apple, inc y han fueron aprobadas sin generar una sospecha entre los revisores.

Figura 1: Las fake apps de Apple que se publicaron en Google Play

Google las retiró a las horas, pero suponemos que algunos usuarios se habrán gastado el dinero en ellas - esperamos que Google se lo haya devuelto ya - y lo peor, que no tuvieran malware e infectaran a los que las descargaron. Por supuesto, Apple no ha publicado aún ninguna estrategia de desarrollo de apps para Android, así que si vuelves a encontrarte algo así, ten mucha precaución.

lunes, 19 de noviembre de 2012

Oxygen Forensics: Análisis Forense iOS 6 en iPhone 4S/5

Oxygen Forensics en su última versión, liberada a finales de Octubre (30/10/2012), ha incluido el soporte de análisis forense de iOS6, y el soporte preliminar para iPhone 5, tal y como se puede apreciar en la siguiente captura:

Figura 1: Última actualización de Oxygen Forensics soporta iOS 6

Además la última actualización soporta Apple iPad 4 Wi-Fi y el nuevo iPad mini 1G Wi-Fi y hemos querido probarlo en Seguridad Apple, por lo que se ha hecho una prueba para comprobar que, efectivamente, Oxygen Forensics realiza el análisis forense, por ejemplo, a un iPhone 4S con iOS6, tal y como se aprecia en la imagen publicada a continuación:

Figura 2: Oxygen Forensics realizando un análisis forense a un iPhone 4S con iOS 6

Además Oxygen Forensics se puede utilizar como complemento para realizar auditorías de apps móviles, ya es posible ver la actividad generada por las aplicaciones, permitiendo abrir ficheros .plist con Oxygen Forensics Plist Viewer  - del que se puede descargar una versión de evaluación desde la web -, y que no sólo permite ver ficheros plist, sino que también puede mostrar cierta info interesante en otro tipo de archivos.

A continuación se muestra como dicho editor abre un fichero con extensión .bin, una app de la que ya se hizo una pequeña análisis en Seguridad Apple, y se comprobó que no almacena las contraseñas de manera adecuada, tal y como se aprecia en la siguiente captura:

Figura 3: Abriendo un fichero .bin donde se pueden ver las passwords en texto plano

Se puede decir que Oxygen Forensics es una de las mejores herramientas software comerciales para realizar un análisis forense a dispositivos móviles, a día de hoy, y es que después de la última actualización de definiciones (definition update), soporta en torno a 6200 dispositivos, además de 78 apps típicas en iOS y 48 en Android, con lo que facilita aún más el análisis en los dos sistemas operativos móviles líderes en el mercado. Además, Oxygen Forensics puede comprarse totalmente localizado en Español.

domingo, 18 de noviembre de 2012

Fue Noticia en Seguridad Apple: 5 al 18 de Noviembre

Como cada dos domingos estamos de vuelta con un repaso a lo que ha salido publicado en ese periodo dentro de Seguridad Apple y a alguna noticia más que, aunque no la hayamos publicado nosotros, nos parece más que conveniente referenciaros a ellas. Vamos a comenzar con el repaso:

El lunes 5 de Noviembre comenzamos con los bugs de seguridad corregidos en Apple Safari 6.0.2, una actualización de emergencia que soluciona solo 2 bugs, pero de alto nivel de criticidad, por lo que si aún no has actualizado estás poniendo en riesgo tu seguridad. También ese día os informamos de la disponibilidad de iPhone Configuration Utility 3.6.1 para Windows.

El martes de esa semana os informamos de la lista de seguridad Security Announces y del artículo de la knowledge base HT1222 de Apple que podéis seguir para estar informados de los nuevos expedientes de seguridad publicados por la compañía.

El miércoles le echamos un vistazo a las opciones de protección en iOS 6  contra compras indeseadas en la App Store a través de las ventas dentro de aplicaciones que se hacen con in-App Purchase. Ya sabéis, para evitar que vuestro hijo o familiar compre sin querer algo dentro de una aplicación que no deseas.

El jueves os informamos de la aplicación de ESET News para iOS que te permite estar informado directamente desde la compañía de seguridad que desarrolla uno de los antimalware para Mac OS X de mejor calidad: ESET CyberSecurity for Mac OS X.

El viernes de la semana pasada volvimos a echar un vistazo a la historia del malware en equipos Macintosh. En esta ocasión nos paramos en el Virus INIT 1984, un malware que se ejecutaba en Viernes 13 y que afectó a equipos con Mac OS 6 y Mac OS 7.

El sábado 10 de Noviembre tuvimos un nuevo expediente de seguridad desde Apple, en este caso de Apple QuickTime 7.7.3 para Windows que soluciona 7 bugs de seguridad críticos.

El domingo pasado la noticia fue para SprayTech, una funda para iPhone que incorpora un spray de pimienta para salir con tu móvil protegido. ¿Se permitirán estas fundas en las salas de fiesta?

El lunes publicamos un post que explica cómo realizar la comunicación entre aplicaciones a nivel de código echando un vistazo a los URL Schemas de los Inter-App Communication Methods. Revisando en el proceso algún detalle que importa tener presente para usarlos de forma segura.

Este martes y 13 tocó hablar Imuler.E, una nueva mutación del malware que está siendo utilizado en ataques dirigidos contra ONGs pro-Tibet, en este caso utilizando una supuesta fotografía de un grupo de simpatizantes.

El miércoles hablamos de cómo reportar fallos de seguridad en las web de Apple y de la página donde la empresa da crédito a los investigadores que colaboran con la protección de sus sistemas. Ese mismo día, además, tocó hablar de un bug de XSS descubierto en una web de Apple por un joven español de 16 años.

El 14 de Noviembre hablamos de cómo a Apple de vez en cuando se le cuelan aplicaciones en la App Store de forma inexplicable, como una app para hacer Internet Tethering, un emulador de máquinas recreativas y hasta una aplicación que supuestamente ofrece NFC para iPhone 5

Este viernes hablamos del expediente de seguridad de Microsoft que afecta a los productos Office para Mac 2008 y 2001 con varias vulnerabilidades de nivel crítico, lo que hace más que recomendable que se actualicen estos productos cuanto antes.

Por último, ayer sábado 17 de Noviembre, le dedicamos la entrada a la presentación que se ha impartido en las conferencias POC 2012 y que explica cómo se pueden encontrar bugs en el kernel de iOS.

Esto ha sido todo lo que hemos publicado, pero también ha habido algunas noticias que nos han llamado la atención, y que os pasamos a resumir en esta sección:
- Apple patenta pasar la página virtual: En CyberHades hacen una reflexión sobre si tiene sentido que Apple esté patentando cosas como pasar la página virtualmente, algo que se usa desde hace años. 
- Cargadores de smartphone de agua e hidrógeno gaseoso: En el blog de Think Big nos hablan de cómo los fabricantes están revolucionando la industria de la recarga de smartphones para conseguir que sea mucho menos dañinos para el medio ambiente. 
- Quemar después de leer: En HackPlayers analizan las herramientas con las que se pueden enviar mensajes que después de ser leidos sean destruidos. Algo útil para determinados entornos de alta privacidad y de la que tienes herramientas para iOS.  

- Robados iPad Minis por valor de 1.5 Millones de USD: El robo ha sido realizado en el aeropuerto de Nueva York JFK.
- Elegidos los finalistas del Premio Bitácoras 2012 al mejor blog de Seguridad Informática: Ya han salido los tres blogs elegidos por el público como finalistas del premio en este año. Entre ellos se encuentra el de nuestro compañero Chema Alonso "Un informático en el lado del mal". 
Y esto ha sido todo hasta aquí, que como se puede ver no ha sido poco. Nos vemos dentro de dos semanas en esta sección y cada día en Seguridad Apple.

sábado, 17 de noviembre de 2012

Encuentra tu propio bug en el kernel de iOS

El título de este post, pero en inglés, es decir, Find Your Own iOS Kernel Bug, es el título de la presentación que impartieron Chen Xiaobo y Xu Hao sobre cómo hacer ingeniería inversa en al kernel de iOS en las conferencias Power Of Community de este año - POC 2012 - de las que ya se han publicado todas las presentaciones.

Figura 1: Presentación "Find Your Own iOS Kernel Bug"

La presentación describe paso a paso cómo de be configurarse un entorno de debugging para poder hacer ingeniería inversa del kernel de iOS, explicando cómo configurar IDA, cómo hacer fuzzing estático y fuzzing dinámico y terminado la presentación con dos ejemplos de bugs descubiertos en el kernel.

Figura 2: Ejemplo número 2 de bug en código del kernel de iOS

Evidentemente la presentación no está al alcance de cualquiera, y es necesario poseer conocimientos de reversing para poder entender todos lo que allí se explica, pero hay que reconocer que en ella se explica muy bien cómo debe configurarse el entorno de debugging y puede ayudar a los que quieran comenzar a pasarse al mundo de la búsqueda de bugs en iOS.

viernes, 16 de noviembre de 2012

Microsoft corrige bugs en Office para Mac 2008 & 2011

Esta semana Microsoft ha publicado el boletín de seguridad MS12-076 en el que corrige varios bugs de seguridad de nivel crítico, que podrían llevar a un atacante a tomar el control de una máquina con el software vulnerable cuando la víctima abra un documento del paquete Microsoft Office especialmente manipulado. 

Figura 1: Descarga de Microsoft Office for Mac 2011 14.2.5 Update

Para solucionar estos fallos en la plataforma Mac OS X, Microsoft ha publicado las versiones Microsoft Office para Mac 2008 12.3.5 Update y Microsoft para Mac 14.2.5 Update, que puedes descargar desde Microsoft AutoUpdate o desde los enlaces de descarga. Los fallos son críticos, y desde Seguridad Apple te recomendamos que actualices cuanto antes.

jueves, 15 de noviembre de 2012

¿Son 100% confiables los controles de la App Store?

Las especulaciones y apuestas de todos decían que la tan esperada y ya usada por otros dispositivos tecnología NFC (Near Filed Communications) estaría en iPhone 5, ya que de hecho Apple está patentando cosas como la tarjeta de crédito virtual con tecnologías NFC, pero la realidad es que al final iPhone 5 vino sin NFC. Eso es lo que debería haber extrañado a Apple cuando se le coló en el App Store, pasando todos los controles de seguridad una aplicación llamada NFC for iPhone 5.

El caso es que los controles de Apple en las aplicaciones de la App Store son "leyenda" entre los desarrolladores de aplicaciones, pero no es el primer caso en el que se le cuelan aplicaciones que es imposible que cumplan lo que dicen, como también ha sucedido esta semana con IntelliScreenX for iPad & iPhone, una aplicación que necesita Jailbreak para funcionar y por eso está en Cydia.

Figura 1: IntelliScreenX for iPhone

A pesar de los esfuerzos por controlar las apps y la revisión de las features - recordemos que hasta tienen cuentas Facebook de testing - también se cuelan aplicaciones malware como Find & Call, o algunas que incumplen las políticas como aplicaciones de tethering o emuladores de máquinas recreativas como Mame.

Figura 2: Find and Call en la App Store

App Store es una buena solución para controlar lo que se distribuye entre los usuarios de iOS, pero no es 100% confiable - nada lo es - y a través de ella han llegado aplicaciones que han protagonizado grandes escándalos como Storm8, la prueba de concepto de Charly Miller con InstaStock o incluso malware para Windows, por lo que tener un poco de precaución a la hora de elegir qué instalar en tu dispositivo es un sabio consejo.

miércoles, 14 de noviembre de 2012

Cross-Site Scripting (XSS) en el dominio Apple.com

Hoy mismo hablamos de cómo se reportan y cómo Apple da crédito a los investigadores que informan de fallos en las webs de Apple.com, y a través de un comentario nos hemos enterado de que un joven español de 16 años, con nickname The_Pr0ph3t, ha publicado una vulnerabilidad de Cross-Site Scripting (XSS) en una dominio de Apple.com, que ha salido en The Hacker News.

Figura 1: Captura con el XSS ejecutándose en el dominio Apple.com 

El bug de XSS es por POST en el subdominio locate.apple.com y suponemos que el equipo de seguridad de Apple ya estará al tanto de ello. 

Figura 2: Detalle de una petición POST explotando el bug de XSS

Aunque la explotación de un XSS por POST suele ser más compleja que los XSS reflejados que se lanzan por GET - ya que estos suelen necesitar de una petición completa desde una web o un formulario, lo que obliga en muchas ocasiones a explotarlos en conjunción con ataques de phishing -, suponemos que Apple ya estará solucionando el bug.

Figura 3: Bug explotable por GET

Actualización: El bug es explotable también por GET, y está aún funcionando. Gracias por la aclaración en el comentario The_Pr0ph3t.

Fallos de seguridad en las webs de Apple

Las webs de Apple de vez en cuando sufren de fallos de seguridad, algunos de los cuales son aprovechados en campañas de distribución de malware, como cuando fue vulnerada en la operación Lizamoon, o por un ataque automatizado de SQL Injection que inyectó scripts en webs de Apple. Otros son simplemente defacements como el que se produjo en edseminars, o el volcado de datos de las webs en ataques de Anonymous dentro de la operación AntiSec.

Figura 1: Webs de Apple infectadas con scripts para distribuir malware

Sin embargo no todos los fallos en las webs de Apple son explotados en ataques, ya que son encontrados por investigadores de seguridad y reportados a la compañía para que los solucionen. Apple tiene una web en la que da crédito y agradece la colaboración de los investigadores, y puede verse en el artículo de la Knowledge Base HT1318.

Figura 2: Artículo HT1318

Desde Informática64 intentamos colaborar con Apple, y le hemos reportado ya un total de 12 fallos de seguridad en webs de la compañía. 4 de ellos se los reportamos en el año 2011, donde había fallos de configuración y vulnerabilidades XSS. Este año le reportamos el descubrimiento con FOCA PRO de 4 ficheros .SVN/Entries de los cuales uno de ellos llevó a descubrir una shell de comandos bastante peligrosa. A parte de estos 8 bugs, también le reportamos la existencia de BlackSEO de Viagra en su web, un fallo de mod_negotiation y multiple choices y algún que otro fichero .DS_Store en su web que daba más información de la necesaria.

Figura 3: Reconocimiento del reporte por parte de Apple

Si has descubierto algo en Apple.com, no dudes en reportárselo, siempre contestan y de buenas maneras. Eso sí, no esperes recibir un iPad o un iPhone 5 de agradecimiento, que esto lo hace todo el mundo con afán de ayudar.

martes, 13 de noviembre de 2012

Más ataques contra ONGs pro-Tibet con OSX/Imuler.E

Ya hemos hablado varias veces del troyano OSX/Imuler, utilizado en ataques dirigidos contra organizaciones pro-Tibet. En esta ocasión el malware ha vuelto a descubrirse con pequeñas modificaciones pero no con ningún cambio sustancial, ya que solo ha modificado la forma de ocultarse, eligiendo una fotografía de un grupo de personas del Tibet, según informa Intego.

Figura 1: Nueva foto utilizada para distribuir a OSX/Imuler.E

Está claro que el troyano debe estar funcionando muy bien a los atacantes, pues desde que se descubrió hace más de un año ya la primera muestra de OSX/Imuler oculta como un PDF han seguido realizando modificaciones al mismo y cambiando de forma de ocultarlo, siendo descubierto dentro de fotografías de modelos y hasta dentro de fotografías pornográficas.

Figura 2: El Dalai Lama utilizando un Mac

No es este el único malware que se ha utilizado para atacar a las organizaciones pro-Tibet y el Dalai Lama - conocido usuario de Mac OS X - ya que se descubrió también el uso de malware como OSX/Sabpab o de OSX/Tibet, lo que supongo que tendrá a todos los miembros objetivos en alerta contra este tipo de ataques.

lunes, 12 de noviembre de 2012

iOS inter-app communication methods: URL schemes

La mayoría de desarrolladores iOS saben que Apple confina las apps de terceros en sus sandboxes como medida de seguridad y conocen cuáles son los métodos de comunicación entre procesos, más conocido como IPC (Inter Process Communication) o también Inter-App Communication. Este mecanismo se basa en el manejo de esquemas URL personalizados (Custom URL Schemes). El primer paso es registrar el esquema URL deseado en el fichero Info.plist, tal y como se muestra en la siguiente captura de un ejercicio de ejemplo:

Figura 1: Registrando el esquema URL deseado para una app

Una vez hecho esto, hay que declarar el método application:handleOpenURL, para poder manejar las peticiones URL, tal y como se muestra en el siguiente ejemplo de código:

Figura 2: Ejemplo de código para manejar peticiones URL

Este método es el encargado de recoger las peticiones URL, que cumplan con el esquema declarado en el fichero Info.plist. Es decir, si nos encontramos en Safari, y se escribe la siguiente petición URL, tal y como se aprecia en la siguientes capturas, se pasarían datos a la aplicación, que tenga declarado el esquema URL “i64URL”.

Figura 3: Escribiendo una petición URL en Safari

Y, acorde al ejemplo de código mostrado, en el que se presenta una alerta con los datos recibidos en la petición URL, se presenta la captura de lo que ocurre:

Figura 4: App recibiendo datos a través de una petición URL

Hasta aquí todo bien. Pero hay que tener en cuenta varias cosillas en cuanto a seguridad. La primera es, que este método va a ser "deprecado" en cualquier momento, con lo que desde ya conviene utilizar el siguiente método:
- (BOOL)application:(UIApplication *)application openURL:(NSURL *)url sourceApplication:(NSString *)sourceApplication annotation:(id)annotation
La ventaja de utilizar este método es que permite validar la aplicación de origen que instanció la petición URL. Además se podría especificar, que sólo determinadas apps puedan invocar a nuestra app. A continuación, se presenta un ejemplo, en el que se autoriza sólo a Safari:

Figura 5: Ejemplo de código autorizando a Safari para realizar peticiones URL a nuestra app

Otro concepto básico en cuanto a seguridad sería aplicar unos buenos filtros de validación de los datos recibidos a través de la petición URL, antes de que ésta sea procesada. En el código de ejemplo, se muestra un filtro por longitud de la petición - extraído del ejemplo LaunchMe de la sección SampleCode de Apple Developer -, pero evidentemente habrá que aplicar una expresión regular o un filtro personalizado según la criticidad de los datos pasados, o según aplicación. Hay muchas aplicaciones que utilizan este sistema, como por ejemplo Credit Card Terminal:

Figura 6: Web de Innerfence presentando su app Credit Card Terminal

La compañía declara, que por temas de seguridad, utiliza APIs licenciadas por el MIT, que seguramente hagan las cosas bien aunque, como siempre, habría que hacer una auditoría de la app, debido a la criticidad de sus datos. Un ejemplo de de petición URL de esta app:

Figura 7: Petición URL de la app de Innerfence

Innerfence tiene publicada la API para que los desarrolladores puedan integrar Credit Card Terminal en sus apps. Si se descarga, se puede ver el código, y por ejemplo, como aplican sus expresiones regulares:

Figura 8: Expresiones regulares para filtrar datos recibidos en peticiones de URL

Por último cabe comentar un detalle, no de seguridad, sino en cuanto a usabilidad, y que comenta Innerfence en su blog. Es habitual, encontrar muchas apps que utilizan el sistema de esquemas URL, y en la mayoría de los casos, cuando desde una aplicación se lanza otra, el usuario se queda “aislado” en la otra aplicación, teniendo esto un pequeño impacto negativo, en la experiencia de usuario.

Lo ideal es que cuando una app lance a otra, una vez se haya terminado la tarea, desde la app destino, se pueda volver a la app inicial, y en el punto en que el usuario se encontraba. Para ello, Innerfence envía en la petición URL, una URL de retorno - tal como se aprecia en la figura 7 -, indicando con un parámetro, en este caso llamado record_id, a que punto de la app debe regresar. Dicha información, puede ser utilizada por la app destino, para poder realizar una nueva petición URL a la app inicial, y que le proporciona al usuario un plus en su experiencia con la app. A continuación, la petición URL, que haría la app destino, para regresar a la app origen:

Figura 9: Petición URL para volver a la app origen

Como conclusión, se va a recapitular los puntos principales de los URL schemes:
- Hay que tener mucho cuidado al utilizarlos. No siendo conveniente utilizarlos para pasar datos sensibles o críticos, ni contraseñas - ya que para eso hay otros métodos, como el keychain -.
- No deben utilizarse para realizar cambios en las configuraciones.
Hay que utilizar el método no deprecado, que además permite validar el origen de las invocaciones.
- Es muy importante realizar una validación exhaustiva, de los datos recibidos a través de las peticiones URL, antes de que estos sean procesados.
- Tener cuidado a la hora de declarar el esquema URL, ya que si es igual al de otra app, el comportamiento es impredecible.
Si deseas más información, puedes leer el libro de Desarrollo de aplicaciones iOS para iPhone & iPad, consultar la Apple URL Scheme Reference, o la siguiente Wiki. Si quieres aprender a programar dispositivos iOS en la web de Informática64 publicaremos las próximas convocatorias del Curso de Desarrollo de aplicaciones para iOS.
Artículos relacionados

Otras historias relacionadas

Entradas populares