Menú principal

domingo, 31 de marzo de 2013

Hoy me ha tocado a mí {infectarme con malware en mi Mac}

Pues sí, “hoy me ha tocado a mí”. Actualmente tengo una máquina MacBook Pro que por motivos de trabajo tuve que adquirir, ya que programo para iPhone & iPad aunque curiosamente no tengo ninguno de los dos. Cuando me compré mi equipo fui de aquellos que se creían que Mac y OS X son infranqueables. Me vendieron muy bien la moto. 

Después de mucho tiempo pensando que Mac y OS X son la seguridad informática en persona, un día pensé:
“Todos aquellos que me dicen que Mac no tiene virus, no tienen ningún AntiVirus instalado en su máquina, ¿cómo saben que no tienen virus? si no tienen ningún software que garantice eso”.
Así que después de esta reflexión tanteé algún AV entre ellos uno de prueba de ESET CyberSecurity para Mac, después de mi periodo de prueba con este AV y como no entraba ningún malware en mi “Mac”, lo desinstalé, ya que me ralentizaba un poco el sistema.

Tras tres años sin AV en mi sistema, hasta que un día veo algo que no me gusta ni un pelo, veo algo que nunca me había pasado antes en mi equipo y que me inquieta. Cada vez que introduzco la URL de un periódico que frecuento diariamente, me redirecciona a sitios webs de contenido erótico y algún que otro casino. Com
o tengo otra computadora, compruebo desde ahí si es que le ocurre algo a la web del periódico, y no, la web va estupendamente, es mi equipo.

Tras ponerme en contacto con Seguridad Apple, me responden muy rápido que lo primero debo pasar es un AV, que lo más probable es que hay algún malware. Instalo un AV y escaneo el sistema, y mi sorpresa es que cuando finaliza el análisis se encuentran 3 archivos sospechosos en mi equipo, de los cuales uno de ellos ha sido una descarga mediante Torrent.

Rápidamente anoto los nombres de estos tres personajes y los elimino. Los tres personajes, se llaman: ZboCheMan-D, JSRedir-J y ASFDldr-A. El segundo nombre ya me mosqueaba un poco, ya que contiene la palabra “Redir” en su nombre, pienso que puede ser el culpable, en Internet encuentro la siguiente información de cada uno.
ZboCheMan-d 
Este no parece peligroso para mi sistema, ya que es un malware para Windows de nivel bajo y como yo “tengo un Mac” no va a afectarme. No obstante, me preocupa que haya acabado en mi sistema, pues si me hubieran mandado uno peligroso de verdad para Mac - y a día de hoy sé que los hay - me lo hubiera comido.

JSRedir-J 
Dentro de la categoría virus y programa espía, este modelo se ha detectado en más de un 40% de las amenazas web registradas. Este malware se propaga mediante el correo electrónico, haciendo pasar por “Facebook” u otro truco, en un correo te advierten de que has sido etiquetado en una nueva imagen de algún amigo que tienes agregado, lo curioso es que el dominio desde el cual te envían este correo es @faceboook.com, no me he equivocado, contiene 3 “o”, donde te ofrecen un link para que checkes esa foto que tanto te interesa. La técnica es sencilla, infectar la caché del navegador y conseguir redirecciones a sitios de exploits o paneles de control de adware. Este afectó la navegación desde mi equipo y era el responsable de todo.

ASFDldr-A
Este malware, que de entrada me atrevo a deducir que es de origen chino ya que posee caracteres de este lenguaje en su definición, la función que realiza este malware en tu equipo es que hace una descarga de un fichero dañino, accede a recursos de internet: http://dvd2*********.net/media2, este último también de nivel bajo, pero que también me lo comí.
Al final, en mi Mac, que yo pensaba que no tenía malware, sufrí una infección por medio del navegador que hubiera podido terminar en desastre si en lugar de adware me hubieran lanzado un exploit desde un BlackHole para instalarme un bot para Mac OS X por cualquier 0day que exista. Así que he aprendido que hoy me había tocado a mí, y que tengo que tomar precauciones para que no me toque más veces. Ten cuidado no te vaya a tocar a ti.

sábado, 30 de marzo de 2013

Ataques D.O.S. y de Spam en iOS iMessages app

En un ataque producido este miércoles a algunos desarrolladores de herramientas populares de jailbreak - publicado por The Next Web - se han dado a conocer varios fallos de seguridad a la hora de gestionar los límites en la app de iMessages para dispositivos iOS que permiten realizar fácilmente ataques de denegación de servicio, haciendo imposible abrir la aplicación para leer los mensajes y dejando inutilizado el servicio.

Flooding de iMessages

El primero de los problemas es que iMessages no comprueba la velocidad con que se mandan los mensajes, así que con un sencillo programa escrito en AppleScript es posible enviar un flood de iMessages a la víctima hasta que el número es tan grande que la app para iOS no es capaz de renderizarlos y deja de funcionar. 

Figura 1: Flooding de iMessages hecho con un AppleScript

Rederización de mensajes complejos en iMessages

El mismo problema sucede, que termina anormalmente la app, cuando se mandan mensajes muy largos y muy complejos de renderizar, como los escritos utilizando caracteres Unicode para enviar mensajes escritos en Zalgo

Figura 2: Gran iMessage escrito en Unicode que tira la app de iMessages

Spam a través de iMessages

El último y, quizá más importante problema, es que estos ataques han demostrado que no hay ninguna opción antispam en iMessage, y teniendo que este servicio se puede utilizar de forma gratuita, cualquiera puede registrar cuentas de correo electrónico de usar y tirar, hacer una campaña de spam por iMessage, y saber que llegará a todos los poseedores de este servicio sin que nadie lo bloquee.

Figura 3: Spam enviado a varios desarrolladores iOS

Esto, que aún no es hecho por prácticamente nadie, puede convertirse en un problema serio para la usabilidad de iMessages si no se ataja de raiz pronto.

viernes, 29 de marzo de 2013

Apple bloqueará apps que lean el UDID desde el 1 de Mayo

Lleva ya mucho tiempo Apple diciendo que no va a permitir apps capturen el UDID (Unique Device IDentifier) de los dispositivos donde son instaladas, pero hasta el momento no había sido tan tajante a la hora de poner una fecha tope. Ahora, a partir del 1 de Mayo, tal y como se anuncia en la web de desarrolladores Apple, las apps que accedan al UDID no serán aprovadas.

Figura 1: Anuncio del rechazo de apps con UDID a partir del 1 de Mayo

Escándalos de privacidad

Apple ya ha tenido muchos escándalos con la privacidad de los usuarios, primero por el asunto de la base de datos consolidated.db que permitía reconstruir los lugares por los que había pasado un usuario y que llevó a que tuvieran que dar explicaciones en el gobierno americano y a sufrir demandas en masa en países como Corea del Sur.

Después Apple sufrió el escándalo de la privacidad debido a que instalaban el rootkit de Carrier.IQ para monitorizar absolutamente todas las acciones que realiza un usuario con un dispositivo iPhone o iPad con el fin de depurar posibles bugs de funcionamiento, pero que levantó ampollas en la opinión pública.
Figura 2: El panel de control de Carrier.IQ con todos los datos que captura de los usuarios

También le afectó el caso de los permisos de las apps y las fotografías, ya que se demostró que bastaba con dar permiso a una app para que accediera a la información GPS, y esta app podía acceder y robar tranquilamente todas las fotografías del dueño del terminal.

Para terminar de narrar los grandes escándalos de Apple y la privacidad, hay que terminar con el caso de los "anuncios relevantes" en iAD que identifican de forma única a los terminales y las cuentas de Apple ID, lo que hizo que se generase una gran controversia entre políticos de todos los países y expertos de seguridad del mundo.

Con todos estos escándalos sucedidos ya, a día de hoy, Apple ha recibido desde el gobierno de los USA varias advertencias, y la compañía está siendo mirada con lupa, pues políticos y jueces dicen que visto lo visto, no se fían de ellos.

Privacidad y UDID

Tras citar todos esos casos, es obligatorio hablar de qué tiene que ver el UDID en toda esta historia de la privacidad. Un UDID al final identifica de manera única a un dispositivo, y puede utilizarse para tracear los acciones de una persona concreta, al ser la mayoría de los terminales de uso personal.

Estos UDID han sido utilizados para comprobar las compras realizadas dentro de las apps, es decir, las llamadas In-App Purchases, pero Apple las prohibió. Cuando Alexy Borodin descubrió un método para saltar la comprobación de la API que Apple dio a los desarrolladores para identificar a los compradores legítimos sin usar UDID y comprar gratis todo dentro de las apps, saltó la polémica, ya que Apple utilizaba un API privada para identificar las compras legítimas, que tuvo que acabar liberando.

Figura 3: Con CA falso y un ataque man in the middle Alexy Borodin permitía compara gratis en in-app purchase

Este ataque se extendió también a las compras realizadas por la Mac App Store, por lo que Apple no terminó por prohibir definitivamente el uso de UDID, y aunque seguía diciendo que no se debían utilizar estos datos, permitió que apps de la App Store siguieran entrando y accediendo a estos datos.

Malware dirigido y UDID

Los UDID no solo tienen especial importancia para la privacidad, sino que también son esenciales en los ataques de malware dirigido a terminales iPhone o iPad donde se utilicen provisioning profiles. Si alguien quiere instalar un troyano en un terminal iPhone o iPad sin jailbreak, puede usar una distribución del troyano firmada por un certificado digital de desarrollador Apple. Para eso, debe crear un fichero de configuración indicando a qué terminal está dirigido, siendo el terminal indicado por medio de su UDID. Este es el truco que utiliza por ejemplo FinSpy para iPhone que ya fue detectado en uso tiempo ha.

Conocido esto, el grupo hacktivista anonymous denunció que había sido capaz de obtener un fichero con 1.000.001 UDIDs en una computadora de un miembro del FBI, lo que levantó las alertas sobre si el FBI estaba desarrollando alguna campaña de espionaje dirigido a personas concretas.

Figura 4: UDIDs en el fichero publicado por anonymous

Más tarde, los desarrolladores de la app BlueToad declararían que esos datos habían sido robados de sus servidores, ya que era información que recogía su app, pero quedó la duda de si estos datos habían sido hackeados por anonymous del servidor de la empresa, o la empresa los había vendido al FBI de verdad.

Al final, los UDID son un dato valioso que cualquier app que haya podido recolectar puede intentar vender en el mercado negro, donde seguro que muchas organizaciones compraran gustosamente.

Conclusiones

Llega un poco tarde la prohibición de Apple de recolectar el UDID, y vistos los números de apps descargadas ya en los dispositivos de todo el mundo, es difícil garantizar que los UDID de los clientes no estén ya en manos inapropiadas.

No obstante, cualquier medida de protección de los usuarios es buena, y está bien que se sigan dando pasos, pero para que estos tengan verdadera utilidad deberemos esperar a cambiar de dispositivo y tener un UDID nuevo que no haya sido recogido nunca, porque a día de hoy no hay garantía de que no esté ya en manos de los malos.

jueves, 28 de marzo de 2013

Google Chrome "el más buggy en 2012" arregla 11 CVEs

Desde Google se ha lanzado esta semana la actualización de Google Chrome 26 para sistemas operativos Microsoft Windows, OS X y Linux, corrigiendo 10 vulnerabilidades, de las cuales 2 tienen nivel highly critical, 4 son importantes y 5 son de nivel bajo. De todos ellos, uno de ellos ha sido obtenido por el programa de recompensa de bugs Pwnium con 1.000 USD, tal y como se puede ver en el informe de la versión publicado por Google.

Estas actualizaciones de Google Chrome se despliegan automáticamente en todos los usuarios, y puedes comprobar si ya la tienes instalada en tu equipo yendo al menú desplegable y seleccionando la opción de Información. Allí te llevará a esta pestaña de configuración donde podrás comprobar si tienes la versión 26. Si no es así, dale a buscar actualizaciones.

Figura 1: Google Chrome 26 en OS X Mountain Lion 10.8.3

Hay que recordar que Google Chrome durante el año 2012 fue uno de los programas con más fallos de seguridad descubiertos, tal y como reporta en su informe Secunia, en el que se puede ver que Google Chrome casi alcanzó los 300 bugs de seguridad.

Figura 2: Datos de fallos de seguridad en software en el informe Secunia

Por ponerlo en contexto, Mozilla Firefox tuvo 257 y Microsoft Internet Explorer 40, lo que dejó a Google Chrome como el navegador de Internet con más bugs descubiertos en 2012.

miércoles, 27 de marzo de 2013

Twitter para iPhone arregló el bug de Address Bar Spoofing

Hace un tiempo que hablamos de la mala configuración de seguridad que tenía la previsualización web embebida desde Twitter para iPhone. En ella, se producía un Address Bar Spoofing que no permitía al usuario visualizar correctamente la URL mientras con lo que los atacantes podrían sacarle provecho por medio de ataques de Phishing.

Figura 1: Aspecto anterior de previsualización web en Twitter para iPhone

Este bug fue corregido en la siguiente versión de esta herramienta, y actualmente Twitter para iPhone muestra la URL de esta manera.

Figura 2: Aspecto actual de previsualización web en Twitter para iPhone

Como se puede ver, el espacio no da para que salga toda la URL, lo que en caso de una vulnerabilidad de XSS que se produzca en un parámetro al final de la URL será difícil de detectar, pero al menos lo más flagrante, la suplantación de host, sí que queda claramente a la vista. 

martes, 26 de marzo de 2013

Cambiar las puntuaciones de Game Center con trampas

Muchos usuarios en Game Center aparecen con puntuaciones imposibles - al menos jugando a muchos de los juegos - donde el valor más grande que aparece es el 9.223.372.036.844.775.807, que corresponde con el valor máximo posible para un entero sin signo. Esto se hace por medio de una manipulación en el cliente de las peticiones, ya que es el propio juego el que envía este valor al panel de control de puntuaciones.

En HackPlayers han hecho la demostración con el juego Cut The Rope, y para ello es tan sencillo como instalar el certificado utilizado por la aplicación proxy de auditoria que utilices - en su caso lo hacen con Burp Proxy, por lo que tienen que instalar el certificado de PortSwigger - y modificar la petición que envía el juego al terminar la partida. La petición de Cut The Rope es la siguiente:

POST /WebObjects/GKGameStatsService.woa/wa/submitScores HTTP/1.1
Host: service.gc.apple.com
User-Agent: gamed/4.10.17.1.6.13.5.2.1 (iPhone4,1; 6.1.2; 10B146; GameKit-781.18)
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Accept: */*
Some-Cookies: have been removed to make this shorter
Content-Type: application/x-apple-plist
Connection: keep-alive
Proxy-Connection: keep-alive
x-gk-bundle-version: 2.1
Content-Length: 473
x-gk-bundle-id: com.chillingo.cuttherope

<?xml version=”1.0″ encoding=”UTF-8″?>
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0″>
<dict>

<key>scores</key>
<array>
<dict>
<key>category</key>
<string>1432673794</string>
<key>context</key>
<integer>0</integer>
<key>score-value</key>
<integer>12345</integer>

<key>timestamp</key>
<integer>1361998342937</integer>
</dict>
</array>

</dict>
</plist>
Como se puede ver, hay que modificar el valor score-value, y lo que se obtendrá en el Game Center es lo que nos muestran en la siguiente captura.

Figura 1: Modificación de la puntuación en Cut The Rope

Un truco sencillo basado en un esquema de man in the middle que sin duda utilizan los cheaters para pelearse o para amañar concursos que se hagan en base a puntuaciones del Game Center. Tenedlo en cuenta.

lunes, 25 de marzo de 2013

Serio bug en iForgot obliga a Apple a cerrar el servicio

Todo sucedió muy rápido el viernes, casi coincidiendo con el anuncio de que Apple había lanzado el servicio de verificación en dos pasos de las cuentas Apple ID, y todo fue un poco caótico. Os narramos los acontecimientos.

A través de una comunicación se hizo público que existía un exploit que permitía cambiar la contraseña de cualquier usuario a través del servicio de recuperación de contraseñas de Apple, llamado iForgot. Para que el exploit tuviera éxito sólo era necesario conocer la cuenta de correo electrónico y la fecha de nacimiento de la persona poseedora de la cuenta. Con ello se conseguía cambiar la contraseña ya que no se pedía una validación extra enviando un correo electrónico a la cuenta de la víctima para confirmar el cambio.

Figura 1: Servicio iForgot de Apple

Muchos usuarios corrimos a activar el servicio de verificación en dos pasos, para darnos cuenta de que sólo era posible hacerlo en algunos países, y, que además en ellos, el número de peticiones había sido tan alto que debían esperar 3 días hasta que se pudieran aprovisionar los recursos necesarios para ofrecerles ese servicio.

Figura 2: Apple avisa de una espera de 3 días hasta configurar Verificación en 2 pasos

Como solución temporal, muchos usuarios decidimos modificar la fecha de nacimiento a una fake para evitar que ésta pudiera ser averiguada por técnicas de hacking con buscadores o procedimientos OSINT, algo que no se puede garantizar de la fecha correcta, que puede estar en bases de datos oficiales.

Figura 3: Servicio iForgot parado

No hubo que esperar mucho, ya que rápidamente Apple reaccionó, y tiró abajo el servicio iForgot durante varias horas hasta que consiguió solucionar el problema y volverlo a levantar, para tranquilidad de los usuarios de las cuentas Apple ID, donde no olvidemos, muchos tenemos asociados datos bancarios que podrían ser utilizado por cibercriminales especializados en Fraude Online que campan por la iTunes y la App Store.

domingo, 24 de marzo de 2013

Fue Noticia en Seguridad Apple: Del 11 al 24 de Marzo

Hoy llegamos, como cada dos domingos, al día de repaso de lo publicado durante estos últimos 14 días en Seguridad Apple

Comenzamos con los resultados del concurso de exploiting Pwn2Own, donde en esta ocasión Apple Safari salió indemne, eso sí, pagaban menos por su explotación, lo que pudo influir negativamente en el interés de los exploiters.

El 12 de Marzo el artículo se lo dedicamos a la aplicación de HTTPs por defecto en la App Store, lo que soluciona varios ataques que se han producido durante este tiempo con terminales iOS en redes inseguras.

El miércoles de la primera semana la noticia se la dejamos a otro de esos ladrones en modo EPIC FAIL, ya que acabó publicando sus fotos fumando "no-sabemos-qué" en el muro del Facebook de su víctima.

El día siguiente nos hicimos eco de la publicación de parches de seguridad para Microsoft Office 2008 y 2011 para equipos mac que debes aplicar a tus sistemas.

El viernes 15 de Marzo Apple puso las actualizaciones de seguridad de su sistema operativo de equipos Mac con OS X 10.8.3 Mountain Lion y el Security Update 2013-001. Junto a ellos vinieron Apple Safari 6.0.3 para OS X Mountain Lion & Lion y Apple Safari 5.1.8 en Mac OS X Snow Leopard.

Para el sábado de la primera semana nos hicimos eco de un par de estudios sobre malware en dispositivos móviles. Uno realizado por la empresa F-Secure y otro realizado por la consultora Lacoon y presentado en la pasada Black Hat Europe 2013. Dignos de leer.

El domingo pasado le echamos un ojo a la avalancha de actualizaciones de Apple Boot Camp, que permite en algunos equipos Mac sistemas Windows 7 y en otros Windows 8, lo que permitirá actualizar los SSOO en algunos equipos con arranque dual.

El lunes de esta semana comenzamos con una actualización del firmware para MacBook Pro Retina SMC Update v1.1 que soluciona un error "extraño" en los equipos de 15" con Retina, así que debes aplicarla cuanto antes.

El martes otra de ladrones en modo EPIC FAIL, en este caso una mamá ladrona que se dejó tirar fotos contenta con el nuevo iPad y acabaron en el backup online de la víctima. De ahí fueron a la TV local. Acabó yendo a la comisaría y alegando que se lo había "encontrado".

Esa misma noche Apple publicó iOS 6.1.3 para arreglar el bug de saltarse el passcode en iOS 6.X y un bug con los Maps en Japón, aunque cuando se publicó el Security Advisory pudimos ver que arreglaba también los bugs de evasi0n, lo que mataba el jailbreak.

El miércoles de esa semana publicamos la presentación de Stefan Esser sobre la explotación de iOS que había impartido en la CanSecWest Conference 2013.

Este pasado jueves 21 de Marzo la noticia fue para un adware creado para equipos OS X llamado Yontoo, cuyo funcionamiento se basaba en instalar plugins con prácticas grey-ware en los navegadores Mozilla Firefox, Google Chrome y Apple Safari. Estaba, entre otras cosas, atacando la propia página de Apple para robar los enlaces de venta de productos... algo que obligaría a Apple a reaccionar muy rápidamente.

Este viernes os explicamos el nuevo método descubierto para saltarse el passcode en iOS 6.1.3 pero solo en dispositivos sin Siri, es decir, iPhone 3GS o iPhone 4. Por supuesto, esto dejó en bastante mal lugar a Apple, ya que esta actualización había salido para acabar con un bug similar.

Por último ayer sábado os confirmamos que Apple ya detecta Yontoo a través de XProtect y la novedad de la verificación en dos pasos en Apple ID que la compañía ha aplicado en USA, UK, Nueva Zelanda, Irlanda y Australia.

Y esto ha sido todo en Seguridad Apple, pero han pasado muchas más cosas, que os vamos a referenciar en otros blogs, para que no os perdáis las cosas que creemos que os interesa saber y no han tenido hueco en nuestro blog:
- La batería del iPhone Sucks: En The Next Week analizan el - para ellos - peor fallo de Apple iPhone: el consumo de batería, donde muestran unas métricas muy interesantes sobre este problema. 
- Problemas de Seguridad en WhatsApp: En HackPlayers recopilan todos los problemas de seguridad de WhatsApp, donde hablan entre otros casos de cómo recuperar mensajes borrados de WhatsApp con Recover Messages
- Apple compra una compañía de Geolocalización GPS para interiores: Por unos 20 millones de dólares, Apple se ha hecho con esta nueva empresa para mejorar sus aplicaciones de geo-localización en dispositivos móviles. 
- Actualización de Apple TV 5.2.1: Al mismo tiempo que se publicó iOS 6.1.3 se puso en circulación la actualización de Apple TV 5.2.1, que según el Security Avisory arregla los bus del jailbreak evasi0n que afectaba a este producto. 
- Conferencias de ShmooCON: En Cyberhades han recuperado todos los vídeos de las sesiones allí impartidas, y entre ellos, hay un par de charlas que no os podéis perder sobre iOS: "Apple iOS Certificate Toomfolery" y "Protecting Sensitive Information on iOS Devices". 
- Hacking y Seguridad VoIP, El libro que todo administrador de Asterisk debería tener: En Sinologic analizan el libro de Hacking y Seguridad VoIP en detalle, para los profesionales de Asterisk
- Comienza la segunda generación de Talentum Startups Short Track: Con un nuevo grupo de jóvenes que comienzan sus proyectos tecnológicos, con el objetivo de aprender y mejorar el mundo con tecnología.
Y esto ha sido todo por ahora, que esperamos que os mantengan bien informados, y poder veros dentro de dos semanas en el próximo resumen y cada día en Seguridad Apple.

sábado, 23 de marzo de 2013

Apple actualiza firmas de XProtect para detectar a Yontoo

Ayer mismo tuvo lugar la última actualización de firmas para XProtect, la solución de seguridad basada en detección de ficheros maliciosos descargados de Internet por medio de firmas de archivos que proporciona Apple integrada en OS X. En esa última actualización aparece ya la firma para el adware para Mac OS X Yontoo, aunque lo ha llamado de otra forma.

Figura 1: firma para adware Yontoo en XProtect

Si quieres comprobar el contenido de XProtect en tu sistema, recuerda que puedes ir a la carpeta /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/ y abrir el contenido de XProtect.plist. En la imagen superior hemos abierto este contenido con el editor de ficheros Plist que viene con XCode. Por último, te recordamos que para entender mejor este sistema de seguridad puedes leer el artículo XProtect no es un antimalware profesional.

Apple añade "Verificación en dos pasos" para Apple ID usando códigos por SMS pero sólo en algunos países

Esta semana Apple ha activado lo que denomina "Verificación en dos pasos" para todos los usuarios que quieren fortificar las cuentas de Apple ID mediante el uso de la posesión de dispositivo móvil como elemento de verificación de identidad. Este sistema ya lo aplican desde hace tiempo Google o Microsoft en servicios como Hotmail, y tiene ventajas de seguridad para muchos entornos.

El funcionamiento es sencillo,  si el dueño de la cuenta ha activado la verificación en dos pasos, cada vez que se va a acceder a un servicio basado en Apple ID, como por ejemplo la compra de música o aplicaciones por iTunes, desde Apple se enviará un mensaje SMS con un código que llegará al número de teléfono asociado. Este número se requerido una vez que se haya introducido la contraseña.

Figura 1: Esquema de funcionamiento de verificación en dos pasos

Ventajas de activar verificación en dos pasos en el Apple ID

Asociar un factor de autenticación dinámico a la cuenta de Apple ID es útil cuando se usa esta identificación desde un equipo que pueda contener malware, ya que aunque se robe la contraseña, esta no será útil para siempre y no podrá usarse en el futuro. El atacante sólo podría robar la sesión y no desactivar la verificación en dos pasos - ya que para ello se requiere verificación en dos pasos -, lo que para herramientas como ElcomSoft Phone Password Breaker que gestiona los backups con cuentas de Apple ID, dejaran de funcionar de momento.

Figura 2: Backups de iClouds gestionadas por ElcomSoft Phone Password Breaker

Eso hace que, si un atacante consiguiera robar la cuenta y el código de SMS enviado por Apple en la máquina en el momento en el que la víctima lo introduzca, el dueño del Apple ID podría requerir la recuperación de la cuenta por medio de un mensaje al dispositivo móvil.

Riesgos de activar la verificación en dos pasos en el Apple ID

Por supuesto, asociar la verificación en dos pasos asociándola a tu iPhone, hace que toda la seguridad de tu Apple ID requiera en la pérdida del iPhone, donde el atacante que se haga con tu teléfono no necesitará sacar la contraseña de Apple ID - que es de lo más protegido en iOS - sino que le bastará con solicitar una recuperación basada en SMS. Esto, implicaría que tiene que tener el PIN de la SIM y el passcode del terminal, así que esos son los factores que debes fortificar, y tener activados los servicios de Find My iPhone para poder borrar los datos en caso de pérdida.

Por último, si solo usas Apple ID desde el teléfono, esto supondría una carga extra de trabajo en el proceso de verificación que tal vez no merezca la pena, ya que las muestras de malware que roben la password de Apple ID son cero, y tras la fortificación de la App Store con HTTPs las posibilidades de perderla en una red se han reducido bastante.

Para activar este servicio puedes leerte las FAQ del servicio, donde entre otras cosas, además de explicarte los pasos para activarlo, podrás leer que sólo está disponible en USA, UK, Irlanda, Australia y Nueva Zelanda, así que si no vives en esos países tu fortificación de cuenta seguirá dependiendo de la cuenta de correo asociada y las preguntas de seguridad que ya se introdujeron hace tiempo.

viernes, 22 de marzo de 2013

Cómo saltarse el passcode en iPhone 4 con iOS 6.1.3

El día después de que se publicara a nivel mundial la nueva versión de iOS 6.1.3 que había sido especialmente creada para solucionar el ya conocido bug de saltarse el passcode en iOS 6.X, que además solucionaba un problema con los Maps en Japón, al mimos tiempo que parcheaba los bugs explotados por evasi0n para realizar jailbreak, se ha descubierto ya una nueva forma de saltarse la pantalla de bloqueo.

El fallo se produce solo en los terminales que no tienen Siri, es decir, hasta iPhone 4, y no en iPhone 4S o iPhone 5, y vuelve a producirse al generarse el evento de No SIM cuando se realiza una llamada con el Control de voz. Algo similar al bug que permitía saltarse el passcode en iOS 5.0.1.


Como en otras ocasiones, este bug no permite acceder a todo el sistema operativo, pero sí que permite acceder a la agenda de contactos y las fotografías. Lo peor de todo es el mal ruido que genera entre la opinión pública al ver que Apple arregla un fallo e introduce otro similar.

jueves, 21 de marzo de 2013

Yontoo: Un adware que troyaniza navegadores en OS X

Desde la firma de seguridad Dr. Web han alertado del comportamiento malicioso de una extensión de adware desarrollada para sistemas Mac OS X y Windows llamada Yontoo. Este software tiene todas las características del grey-ware, es decir, de solicitar la aprobación para su instalación en el equipo por parte del usuario, con tácticas muy agresivas, para ofrecer ofertas, descuentos y oportunidades en la web, que al final son manipulaciones en las páginas visitadas.

Una vez instalado, se convierte en una extensión de los navegadores Google Chrome, Apple Safari o Mozilla Firefox en sistemas Mac OS X, desde donde va a interceptar todas las páginas web, para modificarlas a su antojo.

Figura 1: Yontoo instalado como extensión del navegador

La propia página de Apple es troyanizada para modificar los enlaces a los productos que se ofrecen, robando por tanto todos los clics de navegación del usuario.

Figura 2: Enlaces en Apple.com manipulados por Yontoo

Si tienes un antimalware profesional para Mac OS X puedes actualizar las firmas, que las compañías antimalware han comenzado a firmar este software, pero puedes revisar las extensiones de tus navegadores para ver si lo tienes instalado. En Apple Safari puedes ir a Preferencias -> Extensiones, y si la encuentras desinstalarla. Haz de forma análoga lo mismo en Google Chrome y Mozilla Firefox, para ver si se encuentra en el resto de tus navegadores.

miércoles, 20 de marzo de 2013

Explotación de vulnerabilidades en iOS 6: 280 días después

Ese es el título de la charla que Stefan Esser, conocido exploiter de iOS, ha impartido en la pasada CanSecWest Security Conference 2013, de la que se han publicado ya todas las presentaciones. Dicha conferencia, que hemos subido a SlideShare para que puedas disfrutar online, continua la línea de trabajo de la conferencia dada por Mark Dowd sobre estrategias de explotación del kernel de iOS.


La conferencia está disponible para descarga desde la siguiente URL en formato PDF:
- iOS 6 Exploitation: 280 days later.

martes, 19 de marzo de 2013

Sin Jailbreak: Apple cierra los bugs de evasi0n en iOS 6.1.3

En primer lugar Apple puso disponible la actualización de software en los terminales, luego creo la página de soporte para iOS 6.1.3, y ahora ha lanzado el Security Advisory APPLE-SA-2013-03-19-1 iOS 6.1.3 donde se especifican los CVE solucionados. Visto lo visto, parece que de momento habrá que esperar a volver a tener un jailbreak disponible.


Ente ellos se encuentra el CVE-2013-0980, conocido como el bug que permite saltarse el passcode en iOS 6, además de 4 CVEs relativos a los evad3rs, es decir, a los creadores de evasi0n, la herramienta para hacer jailbreak en iOS 6, con lo que parece que de momento no habrá más jailbreak. Además, completa la lista el CVE-2013-091, que permitiría ejecutar código arbitrario en el navegador por medio de una página maliciosa que explota un bug en el renderizador de imágenes SVG.

iOS 6.1.3 arregla el bug de saltarse el passcode

Hoy mismo Apple ha puesto desplegada la actualización iOS 6.1.3, una pequeña actualización de solo 18 MB que según dice en las especificaciones soluciona el bug de acceso local al terminal saltándose el passcode en iOS 6.X y mejora los mapas en Japón.

Figura 1: Información disponible sobre iOS 6.1.3 en las actualizaciones de software de iOS

En estos momentos, el contenido de seguridad no ha sido publicado, ni tan siquiera la web de descarga de Apple, pero sí que aparece el firmware disponible en los terminales y está listo para descarga directa en la web de ios.e-lite.org.

Mama ladrona se tira fotos contenta con el iPad robado

Las historias de ladrones que roban tecnología y acaban haciendo un EPIC FAIL por no saber cómo funciona son ya muchas, y puedes pasarte un buen rato leyendo sus fiascos. En esta ocasión es la historia de una mamá ladrona que en el estado de California, concretamente en el condado de Fresno, a principios de este mes de Marzo decidió que era buena idea robar el iPad a otra mujer, y ya en el coche dejó que sus hijos la hicieran unas bonitas fotos contenta de su "éxito" sin pensar que estas pudiera estar saliendo de su iPad.

Lo que no sabía esta "buena" mujer es que las fotos se estaban subiendo a la nube, donde la auténtica dueña las estaba recogiendo para llevarlas a la Policía, publicarlas en Facebook, desde donde acabaron después publicadas en la televisión local.

Figura 1: La sospechosa contenta haciéndose fotos con el iPad robado

En las fotos aparecía la mujer con su familia, y fue tanto el revuelo que ella misma apareció en la comisaría para traer el iPad y decir que no lo había robado, que se lo había encontrado, algo que no ha impedido que fuera acusada de apropiación indebida y tenga que enfrentarse a la justicia,... y al escarnio público de sus vecinos.

lunes, 18 de marzo de 2013

MacBook Pro Retina SMC Update v1.1

Si tienes un MacBook Pro de 15 pulgadas con pantalla retina, debes instalarte esta actualización que Apple ha puesto en circulación para evitar un raro problema con los gráficos que hace que empiece a tener mal rendimiento a la hora de renderizar frames. 

Figura 1: MacBook Pro Retina SMC Update v1.1

Para ello, descárgatela del artículo de la knowledge base DL1559 y sigue las instrucciones detalladas en el artículo HT1237. Antes de poder instalarla, asegúrate de tener actualizado tu OS X Lion a una versión 10.7.5 o superior o tu OS X Mountain Lion a una versión 10.8.2 o superior.

domingo, 17 de marzo de 2013

Apple actualiza Boot Camp para soportar Windows 8

Junto con las actualizaciones de OS X Mountain Lion 10.8.3 y Mac OS X Security Update 2013-001, desde Apple pusieron un buen conjunto de actualizaciones de software de Boot Camp, el software que permite instalar más sistemas operativos en los equipos Mac.

El número de actualizaciones es alto, por lo que vamos a ver si somos capaces de explicaros qué está disponible para cada uno de vuestros equipos, ya que no en todos se podrá instalar la nueva versión de Microsoft Windows 8.
Boot Camp Support Software 5.0.5033: Actualización para equipos MacBook Air de mediados de 2011 en adelante, MacBook Pro de mediados de 2010 en adelante - MacBook Pro de 13 pulgadas de mediados de 2010 no está soportado, Mac Pro de principios de 2009 en adelante, Mac mini de mediados de 2011 en adelante, iMac de mediados de 2010 en adelante, para instalar Windows 7 x64 o Windows 8 de x64.

Boot Camp Support Software 4.1.4586: Actualización para MacBook Pro de 13 y 15 pulgadas de mediados de 2012, para instalar Windows 7 x64. 
Boot Camp Support Software 4.0.4326: Actualización para MacBook Pro de 13 y 15 pulgadas de mediados de 2012, para instalar Windows 7. 
Boot Camp Support Software 4.0.4033: Actualización para MacBook Air de mediados de 2011 y Mac mini de mediados de 2011 para instalar Windows 7. 
Boot Camp Support Software 4.0.4131: Actualización para equipos MacBook de finales de 2006 hasta mediados de 2010, para MacBook Air de principios de 2008 a finales de 2010, MacBook Pro Core 2 Duo, 2.4/2.2GHz de principios de 2008 a finales de 2011, Mac Pro de mediados de 2006 a mediados de 2010 y equipos iMac de principios de 2006 a mediados de 2011, para instalar Windows 7.

Boot Camp Support Software 4.0.4255: Actualización para equipos MacBook Air de mediados de 2012 y MacBook Pro Retina, de mediados de 2012 para instalar Windows 7 en ellos.
Dependiendo de tu equipo Mac podrás instalar una actualización u otra, y podrás tener Windows 7 o Windows 8 con arranque dual.

sábado, 16 de marzo de 2013

Malware en dispositivos móviles en el año 2012

La compañía de seguridad F-Secure ha publicado un informe con el malware encontrado en sistemas operativos móviles durante el año 2012, donde indudablemente Android se lleva la palma en cuanto a número de muestras encontradas. Centrándonos en los dispositivos móviles de Apple, es decir, iPhone, iPad e iPod Touch, el número de muestras localizadas para terminales sin jailbreak se reduce a dos: Find and Call, que fue encontrado en el App Store, y FinSpy, que utiliza distribución basada en ataques dirigidos con provisioning profiles.

Figura 1: Calendario de acontecimientos en malware durante 2012

Sin embargo, la empresa Lacoon Mobile Security presentaba esta semana en Black Hat Europe una charla titulada Practical Attacks against Mobile Device Management (MDM) en la que ofrecía los resultados de dos estudios realizados durante Marzo de 2012 y Octubre de 2012 localizando el porcentaje de equipos infectados usando análisis de tráfico en un operador de comunicaciones. Según su estudio, 1 de cada 3.000 equipos en el mes de Marzo y 1 de cada 1.000 en el mes de Octubre, estaban infectados con algún malware.

Figura 2: Datos ofrecidos por Lacoon Mobile Security en Black Hat Europe 2013

Lo sorprendente es que según sus datos, los dispositivos iOS, tenían más malware que los de Android en cuanto a troyanos de espionaje instalados - con jailbreak realizado - tipo iKeyGuard o FlexiSpy. Sea como fuere, está claro que hay que tener cuidado con tu dispositivo iPhone y que hay que evitar perderlo de vista en manos peligrosas.

viernes, 15 de marzo de 2013

OS X Mountain Lion 10.8.3 y Mac OS X Update 2013-001

Apple ha publicado una gran cantidad de actualizaciones de software para la plataforma (Mac) OS X que debes instalar ya en tus equipos. Vamos a intentar informaros de las principales novedades en seguridad en cada una de ellas en varios posts. Este primero vamos a dedicárselo a la actualización base del sistema operativo.

OS X Mountain Lion 10.8.3

En esta actualización hay un total de 21 CVEs solucionados que no todos afectan a la versión OS X Mountain Lion. La mayoría con un impacto de nivel crítico dentro de la seguridad del sistema, lo que hace que debas instalarlo lo antes posible.

Figura 1: OS X Mountain Lion 10.8.3 en la Mac App Store

Puedes descargar esta versión desde la Mac App Store o desde los siguientes artículos de la knowledge base:
- OS X Mountain Lion 10.8.3 Update
- OS X Mountain Lion 10.8.3 Update (Combo)
Puedes ver todos los CVE corregidos en el artículo HT5672. Algunos de los fallos corregidos más significativos que afectan a OS X Mountain Lion son:
- CVE-2013-0969: Control de preferencias del sistema con VoiceOver aún con la pantalla bloqueada.
- CVE-2013-0967: Permite ejecutar un Applet Java incluso si el Plug-in está deshabilitado.
- CVE-2013-0966: Fallo en mod_hfs_apple de Apache que permite saltarse credenciales en acceso a directorios protegidos por HTTP.
- CVE-2011-3058: Fallo en la interpretación de caracteres EUC-JP que permite hacer ataques XSS.
- CVE-2013-0963: Fallo en la cadena de confianza de los certificados AppleID que llevan a confiar en cadenas vacías.
- CVE-2012-2088: Fallo que permite ejecución de código en el sistema a partir de imágenes TIFF.
- CVE-2013-0976: Ejecución de código por medio de visualización de imágenes maliciosas.
- CVE-2012-3749: Revelación de direcciones de memoria por medio de un fallo en el kernel descubierto por Mark Dowd.
- CVE-2013-0970: Ejecución de llamada de FaceTime automática al hacer clic en un enlace de Messages.
- CVE-2012-3525: Un atacante puede re-enrutar mensajes federados con Jabber.
- CVE-2013-0971: Bug en PDFKit que permite ejecutar código arbitraría con solo abrir un documento PDF.
- CVE-2013-0971: Buffer Overflow en Quick Time que permite ejecutar código desde una película maliciosa.
- CVE-2013-0973: Bug en Software Update que permite inyectar código en el texto de marketing de las aplicaciones y llevar a ataques de ingeniería social.
Además de estos bugs, también se han bloqueado los certificados robados a TURKTRUST que podrían utilizarse para hacer ataques man in the middle, y, desde que Apple ha dejado el viejo discurso de que en Mac OS X no hay malware, ha empezado a tomárselo más en serio y publicar una Malware Removal Tool que se ejecutará nada más descargarse la actualización para eliminar el malware más común en los sistemas Mac OS X, del que intentamos ir informando en este blog.

Apple Safari 6.0.3 y Apple Safari 5.1.8

Esta versión también incluye la nueva versión del navegadore Apple Safari 6.0.3 con, por supuesto, fallos de seguridad corregios. En esta versión se han solucionado un total de 17 bugs que están disponibles en el artículo de la Knowledge Base HT 5671. En el Security Update 2013-001 para Snow Leopard viene la versión de Apple Safari 5.1.8.

BootCamp y Sudo

También se ha modificado el sistema para que Boot Camp permita el arranque dual con sistemas Windows 8, por lo que se han puesto disponibles nuevas versiones de este software para todas las plataformas, de lo que os hablaremos en otro post. Por desgracia, parece que no se ha parcheado el bug de sudo, con lo que aún será posible realizar los ataques de elevación de privilegios en local en todos los equipos con OS X Moutain Lion.

Mac OS X Sercurity Update 2013-001

Además de los bugs descritos en las versiones servidoras de Mac OS X Snow Leopard y Mac OS X Lion se han solucionado algunos en PostgreSQL, Wiki Server y Podcast Producer Server. Todos los CVE solucionados están disponibles en las siguientes actualizaciones que puedes descargar vía Web o vía Software Update.
- Security Update 2013-001 Mac OS X Lion
- Security Update 2013-001 Mac OS X Lion Server
- Security Update 2013-001 Mac OS X Snow Leopard
- Security Update 2013-001 Mac OS X Snow Leopard Server
Si eres administrador de una red con muchos equipos con Mac OS X, esperamos que tengas un viernes tranquilo, que son muchos los bytes que hay que descargarse hoy para estar seguro.

jueves, 14 de marzo de 2013

Microsoft parchea Office 2008/2011 for mac en el MS13-26

El el último boletín de seguridad publicado este martes por Microsoft, el MS-13-026, la compañía ha publicado actualizaciones de seguridad de nivel importante que afectan a los paquetes ofimáticos para los equipos Mac.

Figura 1: Software afectado por las vulnerabildiades de MS13-026

Si tienes Microsoft AutoUpdate instalado en tu Mac OS X habrás recibido un aviso con la nueva actualización del software, pero si no lo tienes instalado te recomendamos que te instales cuanto antes las nuevas versiones publicadas, que puedes obtener desde las siguientes URLs de descarga:
- Microsoft Office 2008 for Mac 12.3.6 Update
- Microsoft Office for Mac 2011 14.3.2 Update
Si quieres estar al día de todo el software que Microsoft publica para equipos Mac, te recordamos que existe un sitio web donde se encuentran las últimas versiones de todas ellas en Mactopia.

miércoles, 13 de marzo de 2013

Un fumeta postea en tu Facebook con el iPhone robado

Esta es otra historia de ladrones de iPhone que no solo roban tu terminal, sino que que hacen uso de la vida contenida en él, como el del ladrón que usurpó la identidad en la red de contactos para ligar, el que subía sus fotos a iCloud después de robar el iPhone en un crucero o el ladrón del MacBook que se grababa bailando. Es un ladrón en modo #Epic_FAIL.

La historia comienza cuando la señorita Estrada de 27 años y su tío, sufrieron un robo del terminal en la ciudad de New York al ser asaltadas por un hombre. Este tipo de robos es muy común en esta ciudad, donde ya se ha alertado muchas veces a los ciudadanos mediante vídeos que explican el modus operandi de este tipo de delincuentes.

Figura 1: Fotos del ladrón fumeta publicadas en el Facebook de la víctima 

Lo curioso es que, el ladrón se debió encontrar con el terminal sin bloquear con passcode, y empezó a utilizarlo sin preocuparse de nada más, lo que llevó a que en algún momento, tras hacerse unas fotos fumando algo que genera una fumata blanca más vistosa que la del cónclave papal, acabara publicándolas en la cuenta de Facebook de la víctima asociada en el terminal.

La dueña ha denunciado este hecho a la policía, y se está intentando localizar al susodicho para detenerle, así que se ha pedido la colaboración ciudadana para que denuncie quién es al equipo de New York CrimeStoppers. Estaría bien que le pillaran por publicar y le metieran en la cárcel por hacer algo que no se debe hacer nunca: Publicar en las redes sociales cuando estás drogado.

martes, 12 de marzo de 2013

Apple implementa HTTPs por defecto en App Store

El movimiento de Apple hacia HTTPs ya se veía venir. Hace ya algún tiempo fue implementado en iTunes, y con lo que consiguió proteger a los usuarios contra la censura de apps en sitios como China, donde las utilizadas para privacidad estaban bloqueadas. Ahora el paso se ha dado en la App Store, donde se aplicaban ataques clásicos de esquemas de man in the middle por culpa de no  cifrar correctamente el tráfico. Aquí algunos ejemplos:

- Robo de contraseñas de App Store: Como la petición se hace en HTTP, el atacante podría interceptar la petición y devolver un falso cuadro de login para robar la contraseña, tal y como se ve en el siguiente vídeo.


Esta credencial se podría utilizar para después descargarse el backup de iCloud con herramientas como ElcomSoft Phone Password Breaker.

- Intercambio de apps: El usuario solicita la app que quiere instalar por medio de su ID, pero si el hombre en medio cambia ese ID por el de otra app, la víctima acabaría instalado otra app dentro de su sistema.


Esto podría utilizarse para descargar software malicioso dentro de sistemas que se conectasen a redes WiFi comprometidas.

- Falsas actualizaciones: Podría lograrse manipular la página donde se muestran las actualizaciones disponibles en la App Store, y que el usuario atacado instalara una nueva app.


Por supuesto, también se podría sacar información de las apps instaladas de un usuario, o bloquearle la posibilidad de que se instale uan determinada app, como sucede en países que aplican la censura.

Con este movimiento, como dicen en Una al día, se acaban de una vez todos estos posibles ataques, algo que los usuarios de iOS agradecerán sin duda, pues no todo el mundo está teniendo cuidado de las redes que utiliza para actualizarse sus apps.

lunes, 11 de marzo de 2013

Pwn2Own: Apple Safari aguantó, pero también valía menos

Todos los años cuando llega el concurso Pwn2Own de exploiters en busca de 0days para las principales plataformas todo se revoluciona. Este año no iba a ser distinto, sino incluso peor con la cantidad de dinero que se estaba poniendo en juego por la búsqueda de vulnerabilidades. En la web de HP del concurso de ZDI puede verse la tabla de premios, en la que se puede apreciar que Apple Safari sobre OS X Mountain Lion se pagaba un poco más que la mitad de lo que se paga por un ataque a un Windows 7 con Google Chrome.

Por supuesto, Google poco antes del concurso parcheo los últimos bugs que tenía en la guantera, algo habitual en la casa del buscador antes de este concurso, pero aún así, el día uno cayeron todos lo grandes navegadores de Internet, a excepción de Apple Safari.

Figura 1: Premios entregados por cada objetivo en el concurso Pwn2Own 2013

Eso sí por desgracia Java, soportado en Apple Safari en las últimas versiones del framework también cayó, y el segundo día termino por caer otro software ampliamente utilizado por los cibercriminales, Adobe Flash Player y Adobe Reader, por lo que hay que preocuparse de nuevo por la seguridad de toda esta plataforma.

Figura 2: Objetivos conquistados y orden de conquista

Google Chrome ya ha actualizado su navegador, Mozilla Firefox lo ha hecho, pero solo en plataforma Windows, y mientras nos quedamos a le espera en la plataforma Mac OS X a que el navegador de la Fundación Mozilla salga también aquí, y a que Oracle y Adobe nos vuelvan a parchear sus plugins para la web.
Artículos relacionados

Otras historias relacionadas

Entradas populares