Menú principal

lunes, 31 de diciembre de 2012

Los posts de Seguridad Apple seleccionados en 2012

El año 2012 se acaba hoy mismo, y mañana ya hacemos borrón y cuenta nueva con el nuevo. Sin embargo, el que se nos va ha dado para mucho, y en Seguridad Apple nos ha dado para publicar 415 posts durante los últimos 12 meses, lo que es una buena cantidad de cosas. Como se acaba, hemos querido seleccionar los posts que nos parecen más interesantes y que pensamos que no te deberías perder antes de que termine el año. Aquí los tienes por temas.

Sobre iPhone & iPad & iOS

Este año salió el iPad 3 y la revisión de iPad 3 a la que podríamos llamar el New new iPad. También apareció iOS 6 y el nuevo iPhone 5, consiguiéndose que aún no se haya podido sacar un jailbreak estable para el terminal. Sin embargo, también fue el año en que se coló malware en la App Store, en el que más incidentes de privacidad hubo con apps y en el que aparecieron los primeros troyanos para iOS como ataques dirigidos. Estos son los artículos que os hemos seleccionado:
Entrar en los USA con un pasaporte escaneado en un iPad
250.000 USD por un exploit remoto de iOS no es tan caro
- Hijacking de Facebook en iOS: Demostración
- Steve Wozniak y Siri: Los hijos rebeldes de Apple
- Descifrar la base de datos de mensajes de Whatsapp
- Ópticas militares utilizan iPhone & iPad para visión digital
- iCloud delata al ladrón: Aventuras de un iPhone robado
- Proteger iPhone & iPad frente ataques al passcode
- iPhone Configuration Utility: Políticas de seguridad en iOS
- LinkedIN para iOS vulnerable a ataque de Hijacking
- Hacking de in-App Purchase: Prueba de Concepto
- El malware de Windows que se distribuyó por la App Store
- Descubierto adware en Cydia para hacer Click-Fraud
- Instalar Metasploit en iOS
- Desplegar iPhone & iPad en la empresa: Apple Configurator
- FinSpy para iOS: Troyanos gubernamentales para iPhone & iPad
- iAd te vigila: Bloque de anuncios de interés en iOS
- Liberado Jail0wnMe para hackear iPhones sin actualizar
- Mundo Hacker TV: Demos de hijacking de apps en iOS
- Explotar un CSRF+Default Password desde Mail en iOS
- Análisis Forense de iOS 6 y iPhone 5 con Oxygen Forensics
Sobre Mac OS X

Este año ha sido el año en que Apple lanzó OSX Mountain Lion, en que por fin Oracle comenzó a distribuir Java para Mac y en el que el malware para OSX se convirtió en un verdadero quebradero de cabeza con FlashBack. Estos son los artículos que hemos seleccionado de OS X en este año.
- El 1 % de los ordenadores Mac del mundo está infectado con FlashBack Trojan
Analizar binarios en Mac OS X desde Windows con IDA Pro
Melasudo: robar la password de un sudoer en Mac OS X con ingenio
La privacidad en Apple Safari
- Ataque a un Mac OS X con Applet y un portal cautivo usando Metasploit
- Análisis de memoria RAM en Mac OS X con Volatility Framework
- Rootkits en el firmware de MacBook Air metidos por ThunderBolt
- LatigOSX Script: análisis y fortificación de Mac OS X

Sobre Apple

También sobre la propia Apple surgieron muchas noticias, algunas de ellas de carácter más general y otras por polémicas concretas, que también las hubo, como el caso de los mapas, la privacidad de los usuarios y las guerras de patentes entre compañías. De todo lo que generó Apple os hemos seleccionado estos artículos.
- Apple responde a Mat Honnan, el periodista hackeado
Apple acusado de extorsión por una fabrica de tablets española
- Informe de la resolución del robo del iPad de Steve Jobs
- Mapas de Apple y peligros para la seguridad nacional
- Fallos de seguridad en las webs de Apple

Son muchos más las noticias, y los artículos que se nos quedan en el tintero, pero esto debe ser un resumen y no una lista de todos ellos. Además, este año fue el que publicamos el Libro de Desarrollo de Apps en iOS para iPhone & iPad, el año en que cumplimos 2 años de vida, pasamos el millón de visitantes y los 1.000 artículos publicados, así que esperamos que el año que viene nos depare cosas buenas a todos.

domingo, 30 de diciembre de 2012

Fue Noticia en Seguridad Apple: del 17 al 30 de Diciembre

Y pasito a pasito, y casi sin habernos dado cuenta de ello, estamos llegando al último domingo del año 2012 en el que nos toca hacer el resumen bi-semanal de noticias. Aún estando en estas señaladas fechas navideñas hemos seguido la actualidad en el mundo de las tecnologías Apple y la Seguridad, y como siempre ha dado que hablar. Vamos con el resumen de todo lo que ha salido publicado por aquí.

Comenzamos el lunes 17 de Diciembre con la aparición de Apple iTunes 11.0.1 que solucionaba de urgencia varios bugs en la versión 11 tanto en plataformas Microsoft Windows como Mac OS X.

El martes de esa semana le echamos un ojo a Find My iPhone 2.0.1, que en la nueva versión añade, entre otras cosas, la opción de "Cómo llegar" desde tu posición hasta la ubicación en la que se encuentre tu dispositivo perdido. Ese mismo día tuvimos también actualizaciones de los módulos WiFi para Mac, MacBook e iMac, además de algún parche para Thunderbolt y pantallas Retina

El miércoles Apple anunció iOS 6.0.2 sin dar apenas información. Solo dijo que arreglaba algo con la WiFi, pero la información suministrada fue cero. Algo que molestó mucho a la comunidad IT y responsables de seguridad.

El 20 de Diciembre le dedicamos la entrada a echar un vistazo a las novedades que ofrece Oxygen Forensics Suite 2012 4.6, que en su última versión supera el número de 6.000 dispositivos soportados.

Para el viernes 21 de Diciembre nos topamos con una noticia un tanto peculiar, la retirada de un juego de Bob Esponja de la App Store por problemas de privacidad y por no cumplir las leyes del juego americanas. Con lo majo que son Bob Esponja y su amigo Patricio.

El sábado pasado, un bug en iOS 6 Mobile Safari de los gordos, ya que permite desde un servidor web habilitar remotamente JavaScript en el terminal del cliente, algo que puede utilizarse de manera maliciosa.

El domingo pasado le dedicamos la noticia a algo más navideño, en concreto a decorar el árbol de navidad con CubeeCrafts con motivos de Apple, como el Macintosh Classic, o de nuestra querida FOCA. Con ellos conseguiras no solo tener el mejor y más geek árbol de navidad, sino que además detectarás a tus iguales en la cena.

Este lunes tocamos un tema peculiar, la censura del Gran Firewall Chino y el movimiento de Apple para ofrecer todas sus apps de iTunes a través de HTTPs, lo que ha permitido que durante un tiempo se hayan escapado de la censura del gobierno.

Este martes volvimos a revisar algo que nos llamó la atención en Mac OS X Snow Leopard, que siguió inseguro en Mac OS X Lion, y que no se ha arreglado en la actual versión del sistema operativo. Las redes WiFi Ad-Hoc son inseguras en OS X Mountain Lion.

El 26 de Diciembre le dedicamos la entrada a hablar del script listManifest.py que permite hacer un proceso de análisis  forense de los manifest.mdbd que se hacen en cada copia de seguridad de un dispositivo iPhone o iPad en Apple iTunes.

El jueves dejamos una pequeña sugerencia para solucionar la desaparición de un disco desde Finder, ya que había sucedido ya a varias personas. Con Disk Utility tienes la opción de verificar y reparar el dicos en caso de que haya sido provocado por falta de espacio o un cierre inesperado del sistema.

El viernes 28 de Diciembre, día de los Santos Inocentes, quisimos aportar nuestro granito de arena a esta tradición de gastar bromas, y publicamos una supuesta patente inventada por Apple del Firewall para dispositivos iOS. ¿Será una broma o seguro que existe?

Por último, ayer sábado, echamos un ojo a las posibilidades para averiguar cuál era el IMEI y el Número de Serie de un iPhone o iPad robado o perdido, una vez que ya no tienes el terminal en tu posesión, con el objetivo de que puedas denunciar su robo o pérdida y solicitar el bloqueo del mismo en las operadoras.

Hasta aquí todo lo que publicamos en Seguridad Apple, pero desde hace ya un tiempo nos gusta referenciaros a temas que no hemos podido tocar, pero que nos parecen de interés. Aquí tenéis la lista de otros posts que no debes perderte.
- Riesgos de privacidad con Siri: En Blog Think Big, nuestro compañero Chema Alonso explica cómo funciona Siri a la hora de hacer un reconocimiento biometrico de voz. 
- Java 7 Update 10: Por fin la compañía Oracle ha actualizado su popular framework para permitir controlar mucho mejor los niveles de seguridad
- Instagram y la no verificación de cuentas de e-mail: Si eres usuario de Instagram, ten cuidado a introducir tu dirección de e-mail, que ésta no es validada, y se pueden producir situaciones no deseadas
- Concurso para revolucionar las cabinas de teléfono de Nueva York: La ciudad de New York ha sacado un concurso para mejorar las cabinas de teléfono de la urbe. ¿Con que nos sorprenderán las propuestas que se hagan?
Y hasta aquí el resumen de estas dos semanas. No os preocupeis que aunque se acabe el año seguiremos dando la lata todos los días por aquí y cada dos semanas en el resumen.

sábado, 29 de diciembre de 2012

Saber IMEI y Número de Serie de un iPhone o iPad robado

Si has perdido tu teléfono móvil iPhone o has sido víctima de un robo y no has sido capaz de localizarlo con los servicios de Find My iPhone, entonces debes denunciarlo en la comisaría y proceder al bloqueo del mismo en las redes de las operadoras de telefonía. Para hacer esto, necesitas dos números de tu terminal: El IMEI y el Número de Serie.

Figura 1: IMEI y Serial Number de un iPad en su parte posterior

Ambos números debes ponerlos en la denuncia que pongas en la Comisaría de Polícia para que así pueda localizarse en caso de recuperase en el futuro el terminal. El IMEI lo tienes que utilizar para pedir a la Operadora que lo bloquee y no pueda ser utilizado por otros usuarios en ninguna otra operadora móvil. Esto está pensado para disuadir a los compradores de terminales de dudosa procedencia. Para obtener esos dos números puedes hacerlo de varias formas con, y sin el terminal, así que si ya no lo tienes en tu posesión puedes acceder a ellos. 

En la caja de distribución del terminal

Busca en tu caja de iPhone o iPad, y podrás encontrar unas pegatinas en la parte posterior en las que están todos los números de tu dispositivo. Entre ellos, por supuesto, estarán tu IMEI y tu Número de Serie, así que si tienes las cajas tienes los números.

Figura 2: IMEI y Serial Number en la caja de distribución de iPhone o iPad

En el Backup que hayas hecho con iTunes

Con cada backup que se hace con Apple iTunes en tu computadora se genera un fichero llamado info.plist que contiene estos números de serie. El archivo no está cifrado, así que solo necesitarás un visor de archivos Plist. Si tienes un Mac OS X, con el propio Finder puedes visualizar el contenido.

Figura 3: IMEI y Número de Serie en fichero info.plist de un Backup

Para encontrar este fichero debes ir a las rutas de los backups de iPhone y de iPad que están en:
[Windows Vista / 7 / 8] C:\Users\(usuario)\AppData\Roaming\Apple Computer\MobileSync\Backup\(hash)\info.plist
[Windows XP] C:\Documents and Settings\(username)\Application Data\Apple Computer\MobileSync\Backup\(hash)\info.plist
[Mac OS X] ~/Library/Application Support/MobileSync/Backup/(hash)/info.plis
t
De tu backup en la nube

Si no tienes ningún backup a mano, pero tienes iCloud, puedes descargar todo el backup de Apple iCloud y convertirlo a un backup de Apple iTunes con herramientas como ElcomSoft Phone Password Breaker. Una vez en local, puedes acceder a tu archivo info.plist y conocer esos datos.

Figura 4: Elcomsoft Phone Password Breaker descarga backups de Apple iCloud

En la operadora de telefonía

Si el terminal te lo ha dado una operadora, es probable que ellos lleven un registro de los datos de tu terminal. Para ello, ponte en contacto a través de sus sistemas (web, número de teléfono de asistencia, o personándote en una tienda) y solicita esa información para la denuncia.

Contactando con Apple

Si has registrado tu dispositivo en Apple para tener tu garantía, entonces los datos de tu dispositivo están asociados a tu Apple ID y necesitarás ponerte en contacto con un iGenius para obtener esta información. Si tienes problemas, vete a un Apple Store y que te ayuden con el proceso.

En el dispositivo antes de perderlo de vista

Por último, si aún tienes tu iPhone, y como buena práctica, deberías guardar esta información en algún sitio, por si en el futuro la necesitas y no tienes un backup a mano, ni el terminal te lo dio una operadora y no eres de los que te gusta guardar las cajas de distribución de los teléfonos. Para ello, te puedes ir a Ajustes, General, Información y acceder a todos estos datos, marcar una llamada al número *#06# o mirar en la parte posterior de tu dispositivo como se ve en la figura 1 con un iPad.

Figura 5: Información de IMEI y Número de Serie en Ajustes de iOS

Si te han robado o has perdido un terminal, denuncia en la comisaría y bloquea el IMEI, para que los que se dedican a estas malas prácticas lo tengan un poco más complicado a la hora de hacer negocio con el crimen.

viernes, 28 de diciembre de 2012

Apple patenta el Firewall para terminales iOS

Aviso: Este post fue una broma del día de los inocentes en España.

Con el tema de las patentes ya no nos vamos a sorprender con nada. No bastante con que hay patentes para cosas como el clic o el doble-clic, que ahora las grandes compañías como Apple patentan soluciones de seguridad clásicas. En este caso el Firewall de red, pero aplicado a dispositivos móviles.

Figura 1: Patente presentada por Apple para Firewall de Mobile OS

Por supuesto, a través de Apple el portavoz ha dicho que las patentes que solicita la compañía se deben nada más que a estrategias defensivas contra los llamados Patent-Trolls, o empresas que únicamente se dedican a vivir de denunciar a las empresas que hacen innovación por medio de patentes absurdas. Según palabras de John K. Theo, portavoz de la división mobile de Apple:
"Apple jamás va a demandar a ninguna empresa por usar un firewall en un dispositivo móvil, pero necesitamos estas patentes para proteger la innovación en nuestros productos y garantizar un futuro más seguro a nuestros usuarios"
Esperamos que esto sea así, y no tengamos más juicios sumarísimos como el de las luchas entre Apple, Samung y el resto de las empresas en el mercado de las comunicaciones móviles.

jueves, 27 de diciembre de 2012

No aparece el disco en Mac OS X: Reparar con Disk Uitlity

Si eres usuario de un Mac OS X seguramente habrás tenido el problema de que un Volumen, ya sea una partición de un disco físico o un pendrive conectado a tu sistema no aparezca cuando abres Finder en la zona de accesos directos a Volúmenes. En el caso de pendrives lo más habitual es que tenga un nombre repetido - como el típico NO NAME - y esté montado pero no lo veas en los accesos directos, así que basta con que inspecciones tu Mac haciendo clic sobre él en Finder para ver los dispositivos conectados.

En el caso de los discos duros es más raro, y si se da lo más probable es que hayas tenido un cierre desordenado del sistema, que no tengas espacio en la partición del disco e impida que se gestione bien el desmontado del File System o que haya un fallo físico.

Para revisar las distintas posibilidades tienes que ir a la Utilidad de Discos. Allí tienes dos botones que te pueden ayudar o no. Si el fallo se debe a un problema lógico, como un mal desmontado o un agotamiento del espacio disponible, debería bastar con que hagas una Verificación del disco - y no de ningún problema - y una Reparación, lo que hará que vuelva a funcionar todo normalmente. 

Figura 1: Reparación del disco Windows con la Uitlidad de Discos de OS X Mountain Lion

Si la verificación da algún problema, pero el disco se puede reparar, lo mejor es que vayas teniendo tu copia de seguridad a punto por lo que pueda pasar. Además, antes de seguir, verifica que el disco duro de tu Mac no es uno de los que deben ser sustituidos por defecto de fabricación, que ya hemos tenido un par de programas con los discos Seagate [1] [2].

miércoles, 26 de diciembre de 2012

Análisis Forense de manifest.mdbd con listManifest.py

En Security By Defatult, Alejandro Ramos (@aramosf) autor del ya popular libro "Hacker Épico", ha publicado un script llamado listManifest.py, que permite analizar el fichero Manifest.mbdb, de formato binario, que se genera cada vez que se hace un backup de un terminal iOS con Apple iTunes en un sistema Microsoft Windows o Mac OS X. Este fichero tiene contiene un listado del resto de archivos que componen la copia de seguridad, así como sus propiedades, lo que lo hace especialmente útil para los analistas forenses y pentesters. La estructura de los registros en Manifest.mbdb sigue el siguiente esquema:

Figura 1: Estructura de registros en Manifest.mdbd

Analizando estos datos es posible conocer qué protección de seguridad se ha configurado a cada fichero de una aplicación, ya que desde iOS 4 el sistema operativo permite especificar un nivel de seguridad diferente para ca nuevo fichero mediante una serie de atributos. Para conocer más sobre los niveles de protección, puedes leer la guía que publicó Apple sobre iOS Security.

Figura 2: atributos de iPhone Data Protection

Con estos atributos son importantes se define por ejemplo que un adjunto de un correo electrónico tendrá el máximo nivel de seguridad, pero si se abre con otra aplicación, pasará a tener el nivel de seguridad que se haya especificado en esa aplicación, cambiando por completo sus propiedades de seguridad. Los distintos tipos de atributos son:

Figura 3: Explicación de atributos de iPhone Data Protection

Para analizar Manifest.mbdb, Alejandro Ramos ha creado listManifest.py, un script en Python que  genera un fichero en formato CSV con toda la información disponible en él. El informe en CSV tiene los siguientes campos: permisos, inodo, uid, guid, tamaño, clase, fecha de modificación, fecha de acceso, fecha de creación, hash sha1, dominio, nombre de la aplicación, nombre del fichero y propiedades y abierto con una hoja de calculo, tiene este aspecto.

Figura 4: Informe de resultados en Manifest.mdbd

Este tipo de información es analizada automáticamente por herramientas de análisis forense profesionales, como Oxygen Forensics, pero gracias a estudios como éste es posible conocer mejor las tripas de cómo funciona el sistema de protección y seguridad de un terminal iOS.

martes, 25 de diciembre de 2012

Las WiFi Ad-Hoc aún son inseguras en OS X Mountain Lion

Que Apple haga este tipo de cosas ya empieza a no extrañarnos, así que vamos a dedicarle poca literatura a este post, que estamos en Navidad. La idea es que las redes WiFi Ad-Hoc en equipos Mac OS X Lion solo permitían el uso de cifrado basado en WEP, algo que se conoce como romper establezcas la clave que establezcas y en tiempos ridículos. 

Figura 1: Crear una red WiFi Ad-Hoc

Esta semana nos acordamos de esto y fuimos a comprobar si OS X Mountain Lion habían mejorado esta debilidad de seguridad, para descubrir que no es así. Para probarlo tú mismo, ve al icono de tu conexión WiFi, como ves en la Figura 1, y selecciona la opción de crear red, donde te saldrá el cuadro de diálogo que ves en la Figura 2.

Figura 2: WiFis Ad-hoc en OS X Mountain Lion solo permite cifrado WEP de 40 o 128 bits

En él sólo se puede seleccionar la opción de WEP 40 bits y WEP 128 bits, ambos inseguros. Así que, evita lugares públicos para usar estas conexiones, y si tienes un AP WiFi al que puedas conectar los dos equipos por medio de un WPA2-PSK con una password bien compleja, mejor que mejor. 

lunes, 24 de diciembre de 2012

HTTP-s y la censura de iTunes en el Gran Firewall Chino

Hace poco Apple ha habilitado el soporte de HTTP-s para la mayoría de las consultas de la tieneda de iTunes, lo que hace que la búsqueda de aplicaciones y la descarga de las mismas estén siendo realizadas bajo conexiones cifradas HTTP-s. Esto, como explican en GreatFire.org ha hecho que aplicaciones para VPNs, tradicionalmente filtradas por el Firewall Chino ya que evitan la inspección de tráfico, estén pudiendo ser descargadas ahora mismo. Esto puede comprobarse desde la siguiente web, que intenta conectarse a una URL desde detrás del firewall para ver si es posible o no.

Figura 1: Test de censura de URLs en Greatfire.org

Sin embargo, no creemos que el gobierno Chino permita que esto pase mucho tiempo, y comience de nuevo a inspeccionar este tráfico como suele hacer, mediante un proceso de SSL bridging con HTTP-s en el que genera un nuevo certificado para el sitio que quiere inspeccionar, pero firmado por una CA controlada por el gobierno - como hace con la mayoría de los servicios HTTP-s de Internet. Es decir, hay dos tramos de cifrado HTTP-s, tal y como se puede ver en la siguiente imagen:

Figura 2: Esquema de funcionamiento de un SSL Bridge con HTTP-s

De esta forma, el tráfico entre los clientes y el firewall va en HTTP-s cifrado con el certificado que tienen controlado, descifran el tráfico, lo analizan, y si consideran que debe pasar, vuelve a cifrar el tráfico entre el firewall y el servidor de iTunes, utilizando el certificado oficial de iTunes

Figura 3: Certificado original usado por itunes.apple.com

Para mitigar este tipo de ataques de SSL Bridging en HTTP-s por parte de gobiernos de dudosas prácticas, el investigador español Yago Jesús (@YJesus), de Security By Default, publicó SSLCop, una herramienta que en sistemas Microsoft Windows elimina la confianza en las CAs de determinados países.

Figura 4: SSL Cop permite revocar las CAs de determinados países en Windows

En sistemas Mac OS X hay que hacerlo manualmente - aunque haya habido bugs que lo evitaban -, y en los terminales iOS, por desgracia, no es posible dejar de confiar en una CA que Apple haya introducido en los equipos, lo que deja poco de elección en las manos de los clientes, y en este tipo de situaciones no puede defenderse - como ya pasara con las CAs de Comodo hace ya más de un año -.

domingo, 23 de diciembre de 2012

CubeeCrafts de Apple y Seguridad en tu árbol de navidad

Seguro que una gran mayoría de vosotros tendrá un árbol en vuestra casa lleno de bolitas de colores y guirnaldas con brillantina. Es lo que tienen estas fechas, las tradiciones nos esperan año tras año, pero si quieres dejar tu huella en la decoración del mismo y darle un toque más geek al árbol que te acompañará en tu cena, puedes hacerlo.

En Cyberhaces publicaron un post en el que recopilaban una serie de recortables navideños geek para decorar tu árbol familiar que pueden hacer que sea único en las reuniones familiares, y que te permitirá detectar si alguien de la cena tiene tus mismas aficiones.

Entre la lista de recortabales que hay disponibles, hay alguno con tono muy "Apple", como este CubeeCraft de Macintosh Classic que puedes currarte imprimiéndolo a color en un folio, pegándolo en una cartulina, y luego siendo un poco manitas con tijeras y pegamento.

Figura 1: CubeeCraft de Classic Macintosh

Si no te convence este, o quieres que sea mucho más Apple tu árbol, puedes hacerte alguno de la lista que hemos generado buscando en Internet, en la que tienes el PaperCraft de Steve Jobs - o este otro de Steve Jobs más sencillo -, el CubeeCraft del iPhone 3G, el iPhone 4, o el iPhone original, el de iPad, el Mac Pro, este PowerMac G5, un iMac G4 o un PowerBook G4. Tienes para elegir y entretenerte en familia.

Figura 1: PaperCraft de Steve Jobs con iPhone


Pero si quieres darle un toque muy "Seguridad", te recomendamos que te hagas este sencillo CubeeCraft de nuestra querida FOCA que hizo un fan. Eso sí, es obligatorio que mantengas el espíritu del color rosa para que sea auténtica.

Figura 3: CubeeCraft de Fear the FOCA

Si alguien viene a la cena y reconoce tus CubeeCrafts de Apple o el de la FOCA, seguro que vas a tener mucha conversación esa noche, porque si no... ¿qué haces tú leyendo este blog? Felices Fiestas desde el equipo de Seguridad Apple e Informática64.

sábado, 22 de diciembre de 2012

Un fallo de seguridad en iOS 6 permite habilitar JavaScript desde una web vista en Safari usando Smart App Banner

En Apple Insider han publicado un nuevo bug de seguridad en iOS 6 que tiene implicaciones - y muy serias - para la privacidad de los usuarios de dispositivos iPhone, iPad, iPod Touch o iPad mini con sistema operativo iOS 6, ya que este fallo permite a cualquier página web que se esté visitando desde el terminal habilitar el soporte para la ejecución de cualquier código en lenguaje JavaScript dentro de Apple Mobile Safari, aunque previamente el dueño del dispositivo lo haya desactivado explícitamente en las opciones de configuración del navegador.

El bug existe en la característica de Smart App Banner, que permite promocionar una aplicación de App Store desde el navegador, para lo que se puede comprobar si la app en cuestión está ya instalada - para abrirla - o si no lo está - para abrir el enlace en la App Store -. El uso de esta función en una página web habilita JavaScript en el dispositivo, lo que es un fallo de seguridad bastante grave para la privacidad de los usuarios.

Para probar este fallo puedes conectarte con tu dispositivo con iOS 6 a la web que Apple Insider ha publicado como PoC (Proof of Concept) con JavaScript desactivado en tu navegador. Después entra en la web, y comprueba como se te ha activado otra vez el soporte para JavaScript.

Figura 1: PoC en iOS6 en el que se habilita JavaScript desde una web

Impacto de Javascript en la seguridad de los usuarios

El soporte de JavaScript en los navegadores es algo que muchos usuarios no quieren tener habilitado por motivos de privacidad y seguridad. El lenguaje JavaScript ha sido utilizado en muchos esquemas de ataque Client-Side, como el robo de cookies de sesión - Session Hijacking - por fallos de XSS - lo que llevó a que a las cookies se les pudiera añadir el flag HTTP-Only -, para vigilar a los usuarios como se puede ver en esta PoC de JAPI Tracing, lo que podría hacerse mediante el análisis de la huella digital de las conexiones.

Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets

En un esquema de infección mayor, desde Informática 64 trabajamos en el estudio y análisis de las posibilidades que tiene el uso de JavaScript para crear una botnet para robar contraseñas, y hacer ataques dirigidos, y puedes ver todo el trabajo en Owning bad guys {and mafia} with Javascript botnets y en el vídeo que tines incrustado.

viernes, 21 de diciembre de 2012

App de Bob Esponja retirada por problemas de privacidad

Según cuenta la historia en un blog del New Your Times, el juego para iOS BobSponge Dinner Dash ha sido retirado de la App Store después de que se interpusiera una reclamación en Estados Unidos a través de la FTC por incumplir la ley federal para los juegos online para menores debido a varias irregularidades.

Figura 1: La app de Bob Esponja retirada de la App Store

La aplicación, la cual no hemos podido probar ya que está retirada, porque parece que Bob Esponja - además de poner Burguers Cangreburgers - recolectaba datos de los niños pidiéndoles su nombre y su dirección de correo electrónico para enviarles un boletín de noticias, algo que hacía sin ningún tipo de control parental, exigido por la ley. En segundo lugar solicitaba a los jóvenes permiso para enviar notificaciones mediante el envío de globos de mensajes, lo que incita al juego en cualquier momento, lo que está prohibido por la ley. La última de las quejas que han interpuesto ha sido que la aplicación recogía el UDID del usuario, lo que atentaría contra la privacidad de los niños generando una base de datos de nombre, dirección de correo, versión de dispositivo e UDID de todos los jugadores.

La aplicación de Bob Esponja está temporalmente fuera  hasta que Nickelodeon modifique su comportamiento. Algo similar que sucedió con una aplicación Mobbles, inspirada en los Pokemon. Parece que los juegos de los niños no son tan infantiles como puedan parecer en un principio.

jueves, 20 de diciembre de 2012

Oxygen Forensic Suite 2012 versión 4.6: Novedades


Hace muy poco Oxigen Forensic Suite 2012 fue actualizada a la versión 4.6 añadiendo entre otras cosas, soporte para iPhone 5 y para iOS 6, algo que pudimos probar en Seguridad Apple, haciendo un análisis forense de un iPhone 4S con iOS 6.

En esta versión se han superado los 6.000 dispositivos soportados, encontrándose entre ellos algunos tan populares como los nuevos Amazon Kindle Fire HD, HTC One Plus X, Samsung Galaxy Note II y más de 200 nuevos dispositivos móviles. Vamos a ver un poco más en detalle las características del producto.

Figura 1: Analizando un iPhone 4S con iOS6 usando Oxygen Forensic Sutite 2012 4.6

Soporte para iPhone 5, iOS 6

La última versión ahora cuenta con la compatibilidad forense con Apple iPhone 5, abriendo así la puerta a los expertos forenses para poder investigar la historia de utilización de los usuarios con smartphones de última generación de Apple. La versión Oxygen Forensic Suite 2012 v.4.6 añade soporte completo para la última versión de iOS, permitiendo a los usuarios forenses el acceso y el análisis de la información de una amplia gama de dispositivos que utilizan iOS 6, como son iPhone 3GS, iPhone 4, 4S y 5, la 4º y 5º generación de iPod Touch, iPad mini, iPad 2 y el nuevo iPad.

Soporte para archivos WAL para bases de datos SQL

La última versión añade la posibilidad de análisis de escritura anticipada de los logs - archivos WAL - disponibles en los dispositivos móviles. Las bases de datos de WAL mantienen el caché temporal de la información para ser inscrita en grandes bases de datos de los dispositivos móviles. La información disponible para el análisis desde los archivos WAL incluye contactos, mensajes y datos de aplicación. El soporte que fue añadido para analizar archivos WAL abre una oportunidad para que los expertos puedan reunir información completa y completamente actualizada del propietario de los dispositivos móviles que se encuentren en proceso del análisis forense.

Soporte para cifrado y descifrado de Imágenes DMG realizadas por terceros

El soporte añadido para las imágenes DMG permite a los usuarios de Oxygen Software acceder a las imágenes DMG cifradas y descifradas que fueron guardadas por las aplicaciones de terceros fabricantes, como Cellebrite, Elcomsoft, Lantern Lite o similares. Las características de análisis de firmas de la suite de Oxygen, tales como Timeline, Contactos agregados y Estadísticas de Comunicación, están disponibles para todas las imágenes DMG que fueron añadidas, como también a la información que se ha borrado. También permite acceder a los datos de usuario almacenados en muchas aplicaciones populares.

Algunas otras novedades
• Se ha añadido soporte para los siguientes dispositivos Android: Acer Liquid Gallant E350, HTC One X Plus, LG E970 Optimus G, Motorola RAZR M 201M, Samsung GT-N7100 Galaxy Note II, Sony Xperia LT25i Mobile, ZTE Nova V6500, entre otros. 
• Aplicaciones. Se ha añadido soporte LinkedIn para iOS y Android. También se ha añadido soporte para el navegador Google Chrome Web para iOS y Android. Además, se ha añadido soporte para el navegador Web Dolphin para dispositivos iOS. Por último, hay que citar que se ha mejorado el soporte para múltiples aplicaciones para dispositivos iOS y Android, incluyendo Google+, Dropbox, Instagram, Facebook, Mobile Spy, Twitter, etcétera. 
• Conexión. Se ha añadido la detección de dispositivos con el sistema operativo Android chino. Ahora se les reconoce como MTK chip de los dispositivos basados en Android.
Estas son algunas de las principales novedades que aporta Oxygen Forensic Suite 2012 4.6 y que como podéis observar, ayudan a limar los detalles de cualquier investigación forense en la que tenga que ver un dispositivo móvil Apple, Android, BlackBerry, WindowsPhone, etc... Si estás interesado en probar o comprar esta solución, puedes ponerte en contacto con nosotros.

miércoles, 19 de diciembre de 2012

Apple publica iOS 6.0.2 sin apenas dar explicaciones

Como si fuera un político al que no le interesara para nada tener informada a la opinión pública, Apple ha lanzado iOS 6.0.2 con la única explicación que podéis ver en la imagen siguiente: Arreglar un fallo que puede impactar en la WiFi. Y eso es todo amigos.

Figura 1: Toda la información que Apple ofrece sobre iOS 6.0.2

¿Qué puede impactar en la WiFi? Pero... ¿qué quiere decir? ¿Que pueden hackear la WiFi? ¿Es un bug para un D.O.S. remoto? ¿Es para que vaya más rápido? ¿Hay un 0day on the wild?¿Es para que funcione bien en WiFis de 5GHz? Danos algo más de información, Apple, que tenemos redes de empresas con cientos de iPhones, iPads e iPads mini que gestionar, y tengo un plan de gestión de riesgos que me obliga a priorizar el trabajo en función de niveles de criticidad y no puedo desplegar actualizaciones sin saber a qué afectan.

Pues no, no hay más información ni en la web de seguridad, ni en el expediente, ni nada. Suponemos que, habiendo salido este lunes otro conjunto de actualizaciones para las WiFi de 5GHz irán por ahí los temas, pero poco más. Además, esperamos que Apple se digne a informarnos en unos días de los CVE que arregla - si es que los hay -.

Por si los necesitas, aquí van los enlaces de descargas directas, para que puedas ir guardando las imagenes en tu almacén de bakup de emergencia:
- iPhone 5 (A1428 AT&T)
- iPhone 5 (A1429)
- iPad mini GSM
- iPad mini CDMA
- iPad mini WiFi
Por si no ha quedado claro en el artículo, la gestión de actualizaciones de Apple nos parece Horrorsa, ya que nos actualiza iOS 6.0.1 el 1 de Noviembre y ahora iOS 6.0.2 sin dar ninguna información. Es un acto despótico hacia los profesionales técnicos enorme.

martes, 18 de diciembre de 2012

Acualizaciones de WiFi, MacBook Retina y EFI para iMac

Este lunes Apple ha puesto en circulación nuevas actualizaciones que te ayudarán a mejorar el funcionamiento de tus equipos MacBook e iMac en conexiones WiFi de 5Ghz, así que atento a ver si alguna de ellas te afecta y tienes que instalarla:

- Mac Wi-Fi Update 1.0: Esta actualización mejora el funcionamiento de AirPort cuando se trabaja con redes WiFi a 5Ghz, lo que hará que tu equipo trabaje mucho mejor en redes de alta frecuencia. 
- MacBook Pro Retina EFI Update v1.1: Esta actualización está recomendada para equipos MacBook Pro de 13" de finales de 2012. Con este nuevo firmware se mejora el rendimiento en procesos de hibernación, el soporte de enrutamiento vía Thunderbolt, se mejora un bug en los monitories HDMI y se mejorar la compatibilidad cuando se usan redes WiFi de 5GHz
- iMac EFI Update 2.0: Actualización recomendada para todos los iMac de finales de 2012 que arregla fallos de rendimiento generales en proceso de hibernación y uso de Thunderbolt, además de mejorar la compatibilidad con redes WiFi de 5Ggz.
Por último, si quieres tener todo actualizado, os informamos también de que se publicó Digital Camera RAW Compatibility Update 4.03, para dar compatilibad a cámaras Canon EOS 6D y Nikon 1 V2 en iPhoto '11 y Aperture 3.

Find My iPhone 2.0.1 te ayuda a llegar hasta tu iPhone

Hace unos días Apple actualizó la popular - y útil - herramienta para localizar los dispositivos iPhone o iPad, cuando estamos a punto de perder los nervios porque no encontramos nuestro teléfono o nuestro tablet. Hasta el momento la utilidad mostraba dónde se encontraba nuestro iPhone, pero no cómo llegar hasta la ubicación donde se encontrase. Esto obligaba a las personas, en pleno momento de crisis, cambiar entre la aplicación de mapas y la aplicación de Find My iPhone para llegar hasta él.

Ahora mismo, la versión de Find My iPhone 2.0.1 evita esta necesidad, agregando la función de "cómo llegar" al dispositivo desde la ubicación actual.

Figura 1: la función de cómo llegar a tu iPhone perdido

Así que todos deberíais actualizar lo antes posible a esta versión y si no la tienes instalada, configurarla ahora no vaya a ser necesario que la necesites en el futuro y no la tengas lista.

lunes, 17 de diciembre de 2012

Apple iTunes 11.0.1 para Mac OS X y para Windows x64

Al poco de aparecer la nueva versión de iTunes, Apple ha tenido que publicar de urgencia Apple iTunes 11.0.1 por las quejas de algunos clientes al detectar que algunas funciones no estaban funcionando. En esta nueva versión, disponible para equipos Mac OS X y Windows de 64bits se han corregido los siguientes problemas.

Figura 1: Apple iTunes 11.0.1 disponible para Mac OS X y Windows x64 
- Un bug que hacía que las nuevas compras no aparecieran en la librería de Apple iCloud si iTunes Match estaba activo.
- Un fallo que dejaba a iTunes bloqueado cuando realizaba búsquedas en grandes librerías de contenido.
- Un bug que hacía que el botón de AirPlay no apareciera cuando era esperado.
- Se añade la capacidad de mostrar el contenido duplicado.
Además parece que se han arreglado otros fallos de estabilidad y mejora del rendimiento, y aunque de nuevo se hace referencia a información de seguridad, en el la web de la knowledge base destinada a esta información, no se muestra nada aún de la versión de iTunes 11 o iTunes 11.0.1. Cosas de Apple.

domingo, 16 de diciembre de 2012

Fue Noticia en Seguridad Apple: Del 3 al 16 de Diciembre

Y una vez más, fieles a nuestra cita de un domingo de cada dos semanas, llegamos al post de repaso que resume todo lo acontecido en este blog - y en algunos otros sitios - sobre la seguridad y las tecnologías Apple. En primer lugar, lo que hemos publicado.

El lunes 3 de Diciembre tuvimos noticia de OSX/Dockster.A, un backdoor para Mac OS X que se descubrió a través de Virus Total, pero del que no se sabía por dónde o cómo se estaba explotando. Sin embargo, a las pocas horas saltó la noticia de que estaba siendo distribuido a través de una web hackeada del Dalai Lama.

El martes un recordatorio para dejar actualizado tu software con las nuevas versiones de Apple iTunes 11, Apple Remote Desktop Client 3.6.2, Apple Remote Desktop Admin 3.6.1, Apple iClout Control Panel 2.1 para Windows, ThunderBolt Firmware Update 1.1 y LED Display Software Update 1.1. Fundamental tener el sistema siempre Up to date.

El 5 de Diciembre un curioso artículo sobre cómo, mirando el panel de desbloqueo con passcode de un terminal, es posible obtener información de lo complejo o no que es crackear el passcode de un terminal iOS. Un detalle curioso de seguridad publicado en la Black Hat Abu Dhabi 2011.

Para el jueves de la semana pasada publicamos una PoC curiosa con iPhone de cómo aprovecharse de la carga de imágenes en correos electrónicos de un terminal iOS para explotar una vulnerabilidad de CSRF (Cross-Site Request Forgery) en un router con una contraseña por defecto sin cambiar. Un curioso ejemplo de que la suma de pequeños fallos de seguridad puede explotarse de maner sorprendente uniendo todos ellos.

El viernes pasado apareció OS X Server v2.2 Update, con una buena cantidad de nuevas características, entre las que hay que destacar la posibilidad de implantarlo en una empresa para hacer caché de aplicaciones compradas por los clientes de la red en la Mac App Store o de integrarse con Active Directory en las políticas de seguridad de despliegue. Un paso claro de Apple en la dirección de las empresas.

El sábado 8 de Diciembre publicamos una revisión al fallo de Address Bar Spoofing de Safari en iOS 5.1 que había sido arreglado en iOS 5.1.1, pero que en iOS 6 tiene un comportamiento bastante peculiar, al dejar la barra de navegación en blanco. Un comportamiento de Address Bar Clearing, que no pensamos que sea lo más adecuado cuando se quiere evitar engaños a los usuarios menos conocedores de los riesgos de seguridad.

El domingo de la semana pasada nos paramos en la noticia de la contratación de Kris Paget por parte de Apple, algo que para muchos fue la contratación del "salvador" de Windows, y que nos apetecía aclarar de forma sensata en un artículo, ya que el título de salvador nos parece demasiado grande para un solo hombre.

Este lunes aprovechamos para dejaros una conferencia de Kris Paget sobre seguridad GSM y hablaros de las formaciones posibles en tecnologías móviles, que van desde la compra de los libros de Hacking de comunicaciones móviles o Desarrollo de aplicaciones iOS para iPhone & iPad, a la asistencia a las formaciones que comienzan mañana de Desarrollo de aplicaciones Android o el curso online de Análisis Forense de Dispositivos móviles.


Este martes la noticia fue para los maps de Apple en iOS, que junto con el regreso de Google Maps para iOS, hubo que hablar de una ruta en Australia que estaba enviando a los viajeros a una carretera cortada a 70 kilómetros del destino en mitad del desierto. Algo que llevó a la Policía a advertir a los viajeros de no usar iPhone para guiarse por allí y de reportarlo a Apple para subsanarlo.

El miércoles apareció SMSSend.3666 la primera rogue application para Mac OS X que, bajo el aspecto de ser una aplicación para escuchar música de una red social, estafaba a usuarios engañándoles para darse de alta en un servio de pago mensual por el envío de contenidos por SMS.

Ese mismo día salió otra ruta en los maps de iOS, también en Australia, que podría convertirse en una trampa mortal, ya que envia a los viajeros en mitad del desierto cuando van a la ciudad de Mountain Isa.

El jueves hicimos otra parada para actualizar software y tener los equipos al día. En este caso las actualizaciones fueron para Mac mini EFI firmware Update 1.7, Epson Printer Drivers v2.28 for OS X, Lexmark Printer Drivers v3.0 for OSX y Apple iWork 9.3 A actualizar.

Este viernes Apple actualizó XProtect para detectar a SMSSend.3666 en las descargas de Internet, pero os recordamos que XProtect no es un antimalware profesional, aunque este movimiento de Apple sea de agradecer.

Por último, ayer sábado, quisimos echar un ojo atrás en la historia del malware en Mac OS X para hablar de AppleScript.THT, un troyano escrito en AppleScript que se distribuyó a través de una vulnerabilidad de Apple Remote Desktop en el año 2008.

Hasta aquí todo lo que hemos publicado en Seguridad Apple, pero también queremos destacar otras noticias que no hemos podido tratar, pero que nos parecen muy interesantes para que estéis al día en ellas.
- SmartPhones para tratar enfermedades: En el blog de ThinkBig se publica un interesante artículo sobre cómo el uso de los dispositivos móviles puede ayudar en la medicina moderna. 
- Actualización de Adobe Flash Player: Si tienes Adobe Flash Player en tu Mac OS X es hora de que actualices a la última versión, publicada en el advisory APSB12-27 de Adobe que corrige tres CVE de nivel crítico. 
- Los estudiantes que tienen iPhone no son trabajadores: Esa es la frase que el entrevistador le dijo a un estudiante en China que fue rechazado por tener un iPhone. Según el entrevistador, los estudiantes que tienen un iPhone es porque se lo han regalado sus padres y no saben lo que es sacrificarse en el trabajo. 
- ¿Sustituirá la Soft-SIM a la SIM física? Son varios los intentos de sustituir las SIM físicas por SIM basadas en software, pero los riesgos de seguridad están todavía por solucionar. En este artículo algunas reflexiones sobre ellos.
Y hasta aquí ha llegado el resumen, esperamos veros aquí dentro de dos semanas y cada día en Seguridad Apple.

sábado, 15 de diciembre de 2012

Un troyano para Mac OS X en AppleScript del año 2008

Hoy volvemos a echar un vistazo a la historia del malware en sistemas operativos Mac OS X con el troyano AppleScript.THT. Al igual que los creadores de malware aprovecharon el lenguaje HyperTalk para crear con él en Mac OS todos los virus de  HyperCard, el lenguaje AppleScript introducido en los equipos Mac OS X tras la compra de la empresa NeXT fue aprovechado también para hacer un troyano, que fue descubierto hace ya unos años allá por el 2008.

AppleScript.THT fue un troyano que afectó a los equipos Mac OS X Tiger 10.4  y Mac OS X Leopard 10.5. Este troyano explotaba una vulnerabilidad en Apple Remote Desktop Agent para ejecutarse con privilegios de administrador. Dicho troyano se distribuyó por Internet como un AppleScript y fue clasificado como de nivel crítico.

Figura 1: Apple Remote Deskotp

Una vez que se ejecutaba oculto en el sistema, permitía al atacante tener acceso remoto, de esta manera, podría registrar las pulsaciones del teclado, es decir, actuar como un keylogger, tomar capturas de pantalla, fotografías con la cámara y ejecutar cualquier comando en el sistema. Cuando el troyano está instalado en el equipo se ubicada en la carpeta / Library / Caches carpeta bajo el nombre AStht_06.app.

A día de hoy el lenguaje AppleScript sigue estando presente y funcional en los equipos Mac OS X actuales, pero no se han descubierto más muestras de malware que hagan uso de él.

viernes, 14 de diciembre de 2012

Apple actualiza Xprotect para detectar a SMSSend.3666

Tras la aparición del malware SMSSend.3666 que bajo la apariencia de ser una aplicación para escuchar música de una red social en Mac OS X realizaba estafas a las víctimas registrándolas en servicios de pago SMS, Apple ha actualizado XProtect para poder detectar el instalador cuando se descargue desde Internet.

Figura 1: SMSSend.3666 aparentando bajo la apariencia de VKMusic 4 for Mac

Esto está muy bien, pero los usuarios deben tener en cuenta que XProtect no es un antimalware profesional ya que se basa solo en firmas de ficheros y no en todas las medidas que ofrecen las soluciones antimalware profesionales para Mac OS X. De hecho, si echas un vistazo al número total de firmas que reconoce XProtect verás que son muy, muy pocas.

Figura 2: Firma de detección para OSX/SMSSend.i en XProtect.plist

Puedes hacerlo, abriendo el fichero XProtect.plist que se encuentra en la siguiente ruta de tu Mac OS X Snow Leopard, Mac OS X Lion u OS X Mountain Lion:

/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

Este servicio lo utiliza Apple como medida de urgencia para bloquear un fichero determinado en una crisis de seguridad con malware - como hizo con el troyano para Mac Hellraiser, OSX/Imuler o FlashBack - pero no protege de todas la mutaciones, ni de todo el malware que aparece, ni de los comportamientos maliciosos de aplicaciones supuestamente benignas.
Artículos relacionados

Otras historias relacionadas

Entradas populares