Menú principal

jueves, 31 de octubre de 2013

Moderm SmartPhone Forensics: iCloud & Find My iPhone

En la pasada Hack in The Box 2013 en Malaysia, investigadores de la empresa Elcomsoft impartieron una sesión sobre el análisis forenses de los sistemas operativos utilizados por los más modernos smartphones. Entre ellos, por supuesto, centraron gran parte de su atención en iOS y la necesidad de analizar los datos almacenados en Apple iCloud o Find My iDevice para poder hacer el análisis forense. La presentación se puede descargar ya en formato PDF desde: Moderm SmartPhone Forensics.
 
Figura 1: Presentación de Moderm Smartphone Forensics

Parte de la presentación se basa en explicar lo que ya habían publicado anteriormente en varias charlas, en las que había contado el problema de que el 2nd Factor no esté aplicado a Apple iCloud, que permitiría a cualquiera que tuviera la contraseña e hiciera un análisis del protocolo.

Figura 2: Explicación del sistema de autenticación en Apple iCloud

Estas tecnologías son las que ellos mismos utilizan en su herramienta de ElcomSoft Phone Password Breaker, que como ya vimos permite gestionar los backups online.

Figura 3: ElcomSoft Phone Password Breaker

En la sesión analizaron el protocolo paso a paso, explicando cómo interactuar con él y obtener ficheros, contactos, citas, etcétera, mediante las llamadas necesarias a la web, pero también lo hicieron con otros servicios, como son Find My iDevice, que permite localiza la ubicación de un dispositivo en cualquier momento.

Figura 4: Protocolo de Find my iPhone para localizar la ubicación

La presentación también habla de otras debilidades en otros modelos de smartphones como Windows Phone o BlackBerry, y se centra en otros detalles a la hora de adquirir los datos, como la detección de la complejidad del passcode mirando el teclado de un dispositivo iOS.

miércoles, 30 de octubre de 2013

Reemplazo de baterías de energía en terminales iPhone 5S

Los nuevos terminales iPhone 5S están anunciados en la web de Apple como dispositivos capaces de aguantar hasta 10 horas hablando por teléfono en una red 3G y hasta 250 horas en stand-by, lo que les coloca como uno de los terminales con más aguante del mercado. Pero no todos los usuarios están teniendo la misma suerte, y algunos se quejan de tener problemas con las baterías, lo que lleva a que el dispositivo se descargue rápidamente y por el contrario tarde mucho en cargarse.

Figura 1: Características de las baterías en iPhone 5S según la web de Apple

Según el New York Times, Teresa Brewer de Apple, ha confirmado estos problemas y ha dicho que se debe a un problema en la fabricación de algunas baterías que se solucionará contactando con los clientes y cambiándoles las baterías a terminales afectados.
“We recently discovered a manufacturing issue affecting a very limited number of iPhone 5S devices that could cause the battery to take longer to charge or result in reduced battery life". “We are reaching out to customers with affected phones and will provide them with a replacement phone.”
Para conocer mejor el funcionamiento de las tecnología y maximizar su rendimiento, Apple tiene en la web información que explica cómo trabajan sus baterías, para entender mejor el proceso de carga en los diferentes ciclos y su efectividad.

Figura 2: Características de las baterías de Apple

Es recomendable que leas ese artículo, ya que te enseñará a cuidar mejor la batería de tu terminal y conseguir que dure más. En cualquier caso, si tu dispositivo comienza a tener problemas con la batería, Apple tiene un programa de sustitución de las mismas en la web para usuarios de iPad, iPhone, iPod Touch o equipos MacBook.

Figura 3: Programa de reemplazo de baterías en Apple

Así que, si tu iPhone 5S tiene problemas con la batería estáte atento por si Apple ha intentado contactar contigo vía tu cuenta de Apple ID y si estás teniendo problemas con la batería con otros dispositivos por el uso, aprende a cuidarla más o pide un reemplazo de la misma para disfrutar de un equipo como nuevo.

martes, 29 de octubre de 2013

Los nuevos iMac necesitan más actualizaciones

El inicio de los nuevos iMac de finales de 2013 no ha sido muy fino en cuanto a software se refiere, y en nada de tiempo se ha tenido que actualizar todo el software que acompaña a estos productos. La primera actualización - de la que ya os hablamos - fue el iMac EFI Update 2.1, que salió a finales de Septiembre para solucionar los problemas de instalación de Windows 7 y Windows 8 en estos equipos.

Figura 1: iMac EFI Update 2.1

Después han salido esta semana dos nuevas actualizaciones, también para los iMac de finales de 2013. La primera de ellas es iMac SMFC Firmware Update 1.1, para mejorar las funcionalidades de Power Nap, también conocido como Safe Sleep, que permiten al sistema guardar datos antes de entrar en modo suspensión. Con esta funcionalidad, los equipos pueden también realizar tareas de mantenimiento como actualización de software del sistema o apps y se ha mejorado la función para que se puedan realizar estas tareas sin incrementar el consumo de energía y no sea necesario activar los ventiladores de los discos y generar ruido.

Figura 2: iMac SMC Firmware Update 1.1

La última de las actualizaciones que ha salido esta semana pasada has sido una actualización solo para iMac con OS X Mountain Lion 10.8.5, es la iMac 10.8.5 Supplemental Update 1.0, que está destinada a solucionar unos problemas con los equipos que llevan la tarjeta gráfica NVIDIA GeForce GT 750M.

Figura 3: iMac 10.8.5 Supplemental Update 1.0

Si tienes un flamante iMac de los que se han fabricado a partir de Septiembre de 2013, ya sabes que tienes software que actualizar para evitar cualquier tipo de problema y tener el equipo a pleno rendimiento.

lunes, 28 de octubre de 2013

iOS 7: Nuevo cambio de hora, mismos errores de Apple

Los problemas con los cambios de hora en iOS no son nuevos. Desde que comenzamos a escribir en este blog hemos estado siguiente problemas con el cambio de horario de verano a invierno, con el cambio de hora de invierno a verano e incluso con el cambio de año, donde se han perdido alertas, movido reuniones y ha afectado al modo do not disturb. Muchos fallos con la gestión internacional de la hora para los ingenieros de Apple. Y este sábado por la noche tuvimos de nuevo cambio de hora de verano a hora de invierno, y volvió a haber errores con ello.

En este caso el problema se detectó en el Calendar de iOS 7.0.3, provocando que current time estuviera mal situado una hora con respecto a la hora real, lo que genera que las alertas de proximidad de las reuniones estuvieran descolocadas.

Figura 1: Current time mal configurado en Calendar de iOS 7

Si tienes iOS 7.0.3 ya instalado en tu sistema, te recomendamos que revises a ver si en tu sistema también está mal configurada la hora, que comienza una semana y no querrás perderte ninguna de las reuniones que tengas planificadas.

domingo, 27 de octubre de 2013

Fue Noticia en Seguridad Apple: Del 14 al 27 de Octubre

Como cada dos semanas volvemos con el resumen de todo lo publicado en Seguridad Apple y en general en el mundo de la seguridad relacionado con las tecnologías Apple para que no se os pase nada de lo que ha sucedido y podáis enteraros de todo lo acaecido por aquí.

El 14 de Octubre hablamos del bug de Stored XSS que publicó el investigador Roy Castillo para la app de Gmail para iOS y por que ganó una bounty de 5.000 USD. Bug La inyección XSS se hacía en el nombre de una cuenta de Google Analytics, permitiendo que cada vez que se abría el mensaje en la app de Gmail para iOS se ejecutara el Stored XSS.

El martes os comentamos de una manera en la que pudieran proteger vuestras conversaciones para no ser espiado por WhatsApp. Una manera fácil de asegurar la privacidad de las conversaciones, después de que se publicara una debilidad en el sistema de cifrado de WhatsApp, con una VPN en cualquier red en donde se vaya a utilizar WhatsApp. Comentamos también algunas  soluciones útiles para poder hacer esto.

El miércoles también publicamos en relación a otro "bug" que nos ha llamado mucho la atención porque creemos que no es para nada un bug. Con el, "supuestamente" se puede saltar la restricción de Sim Lock Screen en terminales con con iOS 7.0.1 o iOS 7.0.2.

El jueves hablamos de las nuevas versiones de Java 6 y Java 7 publicadas para OS X Snow Leopard, Lion y Mountain Lion. Como se comenta en el artículo, en estas actualizaciones de seguridad se corrigen un total de 38 CVEs, publicados.

El viernes comentamos las distintas maneras conocidas en las que se llevar a cabo Client-Side Attacks y Phishing en iOS, recalcando siempre lo cauteloso que debemos ser a la hora de navegar con nuestro terminal.

El sábado comentábamos de la posibilidad interceptar los mensajes de iMessage, basándonos en las presentaciones de un grupo de investigadores de seguridad de QuarksLab. Un tema bastante interensante en donde se han expuesto los argumentos de este grupo y de Apple en un intercambio de opiniones que han tenido según la funcionalidad de este servicio.

El domingo 20 de octubre se comentaron los famosos fallos del Acelerómetro, el Giroscopio y el Compás Magnético, que presentaban los terminales iPhone 5S, que han hecho que muchas apps no funcionaran correctamente.

El lunes comentamos la noticia de que Apple finalmente ha reconocido el fallo en los discos en equipos MacBook Air, y la publicación por parte de de esta compañía del programa de reemplazo del disco por uno nuevo para aquellos equipos que tengan discos que no se puedan actualizar.

El martes se publico acerca de una lavadora para sistemas Mac OS X por parte de Intego. Esta curiosa utilidad se enfocaba en la limpieza del disco duro de tu sistema Mac OS X, sirviendo de soporte a  sus usuarios para realizar tareas de mantenimiento diario de los equipos.

Ese mismo martes se publicaron las novedades de seguridad del nuevo OS X Maveriks tras su puesta en circulación ese mismo día y la aparición de una nueva versión iOS 7.0.3 para solucionar tres bugs de saltarse el passcode, soporte de iCloud KeyChain y arreglo de bugs en iMessage.

El miércoles 23 de Octubre se resumieron los últimos Security Advisories de todos los productos de Apple. Entre ellos se encuentran iOS 7.0.3, OS X Mavericks, Safari 6.1, KeyNote 6.0, OS X Server 3 y iTunes 11.1.2.

El viernes 25 de Octubre comentamos distintas aplicaciones de tipo malware encontradas en Google Play para Android. La gran mayoría de ellas son adware que simplemente simulan ser la aplicación de mensajería WhatsApp.

Para terminar este periodo, el último artículo se lo dedicamos a las novedades en seguridad de Apple Safari 7.0 sobre OS X Mavericks, que permite correr plugins en sandbox, ejecuta cada sitio web en una pestaña, permite hacer listas blancas y listas negras por sitios, etcétera.

Esto ha sido todo lo que hemos publicado durante esta semana, pero también han pasado otras cosas que creemos que merece la pena revisar, y os las dejamos aquí resumidas para que no te las pierdas.
- Más escándalos de espionaje de la NSA: Según parece se han espiado a varios digantarios políticos de países amigos de EEUU, como son Francia y Alemania, algo que no ha sentado nada bien. 
- Se anuncia el primer malware de Firefox OS: En una próxima conferencia se va a explicar cómo se podría hacer un malware, pero ¿es realmente malware lo que hay? 
- Premios bitácoras 2013 de seguridad informática: Este galardón lo han ganado en el pasado blogs como Security By Default, InfoSpyware o El lado del mal. Este año ya han comenzado las votaciones. 
- Revisión técnica de OS X Mavericks: El fantástico blog de Ars Technica hace una revisión en profundidad de OS X Mavericks que merece la pena leer. 
- Rara foto de equipos Apple 1 apilados para su venta: Una foto curiosa de la historia de Apple que muestra cómo fueron los inicios. 
- Microsoft publica Microsoft Office 2011 for Mac 14.3.8 Update: En el último aluvión de parches de Microsoft también se actualizó el software para Mac solucionando varios bugs. ¡Actualiza! 
Y hasta aquí os dejamos, para que podáis estar informados. Os vemos dentro de dos semanas en esta sección y cada día en los artículos de Seguridad Apple. ¡Que tengáis un domingo fantástico!

sábado, 26 de octubre de 2013

Más seguridad de Apple Safari 7.0 en OS X 10.9 Mavericks

Con el lanzamiento de OS X 10.9 Mavericks ha venido también Apple Safari 7.0, donde como ya vimos en su Security Advirosry se habían arreglado 21 CVEs de seguridad. Además de ese arreglo de bugs, y de las novedades en cuanto a funcionalidad que ofrece, hay algunos detalles respecto a la seguridad que son dignos de contar, así que vamos a intentar resumirlos en este artículo de forma concisa.

Un proceso para cada pestaña

Desde hace mucho tiempo se reclamaba una opción similar a ésta. Google Chorme e Internet Explorer desde hace tiempo hicieron la división de procesos por pestañas, haciendo que si una pestaña se bloquease por culpa del mal funcionamiento de la web renderizada en ella, el sistema pudiera seguir funcionando. Esta opción se ha metido por fin en Apple Safari 7.

Figura 1: Monitor de Actividad con Apple Safari 7.0 en OS X Mavericks

Para comprobarla basta con abrir varias pestañas en un Apple Safari 7 y luego abrir el Monitor de Actividad, ir a la vista de Energía y desplegar Apple Safari 7. Allí se podrá ver lo que aparece en la imagen, un proceso para cada pestaña de navegación, y procesos independientes para plug-ins y módulos de red.

Plug-ins en Sandbox: modo Safe o Unsafe

En la parte de gestión de plug-ins ahora los más populares corren en una sandbox, para mitigar el impacto de los posibles bugs en Adobe Flash, Apple QuickTime, Microsoft Silverlight u Oracle Java en la seguridad global del sistema. Para configuralos hay que ir a las Opciones de Seguridad.

Figura 2: Gestión de plugins en Apple Safari 7.0

En las opciones de un plug-in, si corre en la sandbox, tendremos la opción de ejecutarlo también fuera de ella en caso de que de problemas de seguridad. Ese modo es el modo llamado "Unsafe".

Figura 3: Adobe Flash Player corre en modo Safe y puede pasar a Unsafe

Cuando un plug-in no tiene la opción de correr en modo Unsafe, es que está siendo ejecutado ya fuera de la sandbox, ya que esa posibilidad solo existe para los plug-ins que Apple ha permitido ejecutarse en modo sandbox.  Si se selecciona la opción de Ask, se podrá ejecutar en unos sitios sí, y en otros sitios no de forma permanente, creándose listas blancas y listas negras.

Opciones de Autofill

Estas características no son nuevas, pero viendo el reciente descubrimiento de nuestro compañero en Eleven Paths, que permitía robar los datos de Autofill en Google Chrome a un usuario, creemos que tal vez es bueno recordar que Apple Safari 7.0 también tiene esas opciones, y que por defecto están activadas.

Figura 4: Opciones de Autofill configuradas por defecto

Revisa su configuración si no quieres utilizarla, y mira los datos que tienes marcados para usar con Autofill. Incluso las contraseñas se pueden rellenar con Autofill, así que darle un vistazo para ver lo que has dejado en manos de tu navegador puede ser una buena opción.

Figura 5: Opciones de Autofill para contraseñas

Recuerda que hay herramientas para extraer las contraseñas almacenadas en ellas en local, como Apple Safari Decryptor que las recupera en caso de que alguien tenga acceso al sistema.

Actualizaciones de componentes automáticas

Además de las opciones de seguridad de los plug-ins para la sandbox, tienes que tener presente que puedes configurar para ellos la actualización automática cuando haya una nueva versión, algo que te lo recomendamos para evitar tener versiones out-of-date que puedan incluso ser bloqueadas por una nueva actualización de Apple Safari o de XProtect.

Figura 6: Opciones de Actualizaciones Automáticas para plug-ins

Más opciones de privacidad

Por último, nos gustaría recordarte que las opciones de privacidad para Apple Safari que recogimos en la serie de tres artículos siguen siendo válidas, así que si usas este navegador, te conviene darles una lectura en detalle.
- Privacidad en Apple Safari: El Historial de Navegación
- Privacidad en Apple Safari: Las Descargas
Privacidad en Apple Safari: La Caché y las Cookies
Ahora solo debes configurar el navegador a tu gusto, para que las opciones de seguridad y privacidad sean de tu agrado y puedas usarlo sabiendo cuáles son los límites a los que llega la protección de tu Apple Safari.

viernes, 25 de octubre de 2013

El malware se aprovecha de WhatsApp en Google Play

Desde hace varios meses, desde Eleven Paths se ha estado siguiendo el comportamiento de los creadores de apps maliciosas en las distintas tiendas de aplicaciones de dispositivos móviles orientadas al mundo del fraude online. Entre los datos que se han ido descubriendo, hay uno que es especialmente significativo y constante: apps maliciosas que simulan ser WhatsApp en Google Play, para Android.

En las siguientes imágenes se pueden ver varias apps que han sido detectadas durante los últimos tiempos, y todas ellas llevan invariablemente el bien grande la marca de WhatsApp en el nombre de la app, lo que no parece que sea muy difícil de detectar para alguien en Google Play si estuvieran haciendo una revisión en profundidad de las apps.

Figura 1: Whatsapp Free, descubierta el 14 de Septiembre de 2013

Figura 2: Whatsapp - Free, descubierta el 14 de Octubre de 2013

Figura 3: Whatsapp 2013 free, descubierta el 19 de Octubre de 2013

Figura 4: gratis Whatsapp, descubierta el 20 de Octubre de 2013

Ayer la app fraudulenta del día que descubrió nuestro compañero Sergio de los Santos (@ssantosv) en Google Play es la que podéis ver en la siguiente captura. De nuevo sigue el mismo patrón, pero esta vez con el mismo nombre exactamente, y de nuevo activa durante más tiempo del deseable.

Figura 5: Falso WhatsApp Messenger, descubierto en Google Play el 23 de Octubre de 2013

Esta última de nuevo era un adware que machaca al usuario con publicidad constante. Todas además tienen logos similares, pero exactamente el mismo, al de la app de WhatsApp para Android, que puede verse a continuación.

Figura 6: WhatsApp Messenger original en Google Play

Desde luego los controles de subidas de apps maliciosas en Google Play no son ni parecidos a los que existen en la App Store, que aunque muchos critican por los duros que son en muchas ocasiones, hay que reconocer que en cuestión de apps maliciosas no son nada malos.

Figura 7: Malware descubierto para smarphones en 2012

El número de apps maliciosas descubiertas en App Store es ínfimo, comparado el número de apps maliciosas descubiertas en Google Play, donde llegaron a colar hasta apps de, supuestamente, Apple iWorks publicadas por Apple Inc.

miércoles, 23 de octubre de 2013

Security Advisory: iOS 7.0.3, OS X Mavericks, Safari 6.1, KeyNote 6.0, OS X Server 3, iTunes 11.1.2 y mucho más

Esta vez no ha pasado mucho tiempo desde que Apple ha publicado el software hasta que se ha podido acceder a los Security Advisories de todos los productos, así que vamos a intentar resumirlos todos en un único artículo con toda la información, además de todas las herramientas extras, plugins y drivers disponibles.

iOS 7.0.3 [APPLE-SA-2013-10-22-1 iOS 7.0.3]
Ya hablamos en detalle de esta actualización. Se solucionan 3 CVE con salto de restricciones de passcode, se añade iCloud Keychain al sistema, y se solucionan bugs de funcionamiento con iMessage, el Giroscopio y los famosos Blue Screen Of Dead.
OS X Mavericks 10.9 [APPLE-SA-2013-10-22-3 OS X Mavericks v10.9]
Además del soporte de iCloud Keychain del que ya hablamos, en esta nueva revisión de OS X se han solucionado 54 CVEs dentro del sistema operativo, en todas las areas del sistema, ya que hay bugs en el Firewall, el módulo de Python, el Kernel, Coregraphics, los servicios de red, etc... 
También, para los que quieren migrar desde versiones anteriores a OS X Mountain Lion se han publicado dos herramientas que ayudan en el proceso y que mantengan la compatibilidad en la red:
- Migration Assistant Update for Mac OS X Lion v1.0
- Migration Assistant Update for Mac OS X Snow Leopard v1.1
- Workgroup Manager 10.9
Para terminar, además la semana pasada se pusieron una serie de nuevos drivers disponibles para los sistemas Mac y OS X que aprovechamos para recordarte:
- MacBook Pro (Retina, 13-inch, Late 2013) Software Update 1.0
- Canon Laser Printer Drivers v2.11 for OS X
- HP Printer Drivers v.2.16.1 for OS X
- ProApps QuickTime Codecs v1.0.3

- iPhoto Library Upgrader 1.1
Apple Safari 6.1/Apple Safari 7.0 [APPLE-SA-2013-10-22-2 Safari 6.1]
Si aún no has pasado a OS X Mavericks, entonces en esta actualización se corrigen 21 CVEs, muchos de ellos aportados desde el Google Chrome Security Team, otros reportados por investigadores independientes. Todos estos CVE han sido parcheados en la versión Apple Safari 7.0 que viene con la nueva versión de OS X.
OS X Server 3.0 [APPLE-SA-2013-10-22-5 OS X Server 3.0]
En la versión servidora de OS X se han corregido 7 CVEs, 5 de ellas en el Profile Manager, una de ellas en FreeRADIUS y la última en la propia server.app, que han sido ya corregidas. OS X Server 3.0 está disponible para descarga desde la Mac App Store.
Apple iTunes 11.1.2 [APPLE-SA-2013-10-22-8 iTunes 11.1.2]
En esta nueva actualización de Apple iTunes 11.1.2, según el Security Advisory se corrigen un total de 24 vulnerabilidades. La nueva versión de Apple iTunes está disponible para descarga, además de vía Software Updates y Mac App Store, en la siguiente URL de soporte de Apple: DL1615
Apple Remote Desktop
Esta herramienta aún es mantenida en dos ramas. La versión 3.5.4 ha publicado el APPLE-SA-2013-10-22-6 Apple Remote Desktop 3.5.4 en la que se soluciona un único bug de ejecución de código arbitrario. En la rama más evolucionada 3.7 se ha publicado el APPLE-SA-2013-10-22-7 Apple Remote Desktop 3.7 donde se soluciona un único CVE de seguridad. Las nuevas versiones de software se pueden descargar desde: Apple Remote Desktop Client 3.7 y Apple Remote Desktop Client 3.5.4. También se ha actualizado el software de la versión servidora de Apple Remote Desktop 3.7 Admin.
Apple KeyNote 6 y Plugin de Pages [APPLE-SA-2013-10-22-4 Keynote 6.0]
En este caso se ha publicado esta nueva versión con un solo CVE que podría hacer que el equipo no funcionara después de una suspensión del sistema. La nueva versión de Apple KeyNote está disponible vía Software Updates y Mac App Store, y además se ha publicado un plugin para Pages que permite añadir citas: Pages EndNote Plug-in v2.0.
Como puedes ver, si eres un usuario de tecnologías Apple, te toca trabajar un poco y actualizar todo el software de tu plataforma, porque entre todos los CVE solucionados podemos contar bastantes más de cien, así que para atacarlos desde raíz, pierde un rato y actualiza todo tu software.

martes, 22 de octubre de 2013

OS X Mavericks: Novedades en Seguridad

Como estaba previsto el día 22 de Octubre Apple ha puesto en circulación la nueva revisión del sistema operativo OS X Mavericks, con una buena cantidad de novedades que ya puedes ver en la web. Esta vez la revisión de OS X tardó un poco más de un año, pero ya está disponible en la Mac App Store como una actualización gratuita de más de 5.7 GB de espacio.

Figura 1: OS X Mavericks como descarga gratuita en la Mac App Store

Esta nueva versión trae muchas novedades anunciadas, como las pestañas en Finder - esperemos que de esta herramienta hayan arreglado alguna cosa más - pero en el área pura de seguridad no hay demasiadas novedades anunciadas a priori, aunque seguramente vayamos descubriendo pequeños detalles poco a poco.

Sí que hay que destacar la inclusión del servicio de iCloud Keychain que permite almacenar contraseñas y datos personales en iCloud, y que haciendo uso del Generador de Contraseñas se convertirá en un auténtico Password Manager en la nube.

Figura 2: Generador de Contraseñas en Apple iCloud Keychain

Entre las funciones también se encuentra el almacenamiento de datos de tarjetas de crédito para poder hacer las compras desde los datos en iCloud. ¿Será el almacén de los datos de los usuarios de Apple? También se anunciado una mejora energética y mayor eficiencia a la hora de ejecutar aplicaciones, tal y como anuncian en la siguiente comparativa.

Figura 3: Comparativas de rendimiento y eficiencia de navegadores en OS X Mavericks

El resto de novedades parecen más de funcionalidad pura y dura que de seguridad, como son las notificaciones desde páginas web, la gestión de múltiples pantallas, revisiones en la aplicación de Mapas y el Calendario o una nueva actualización de Apple Safari para que sea más fácil la navegación multi-device. Nosotros estamos probándolo ya, y te iremos contando más cosas en breve.

Apple iOS 7.0.3: Tres bugs de saltarse el passcode menos, soporte de iCloud KeyChain y arreglo de bugs en iMessage

Hace unas horas que Apple ha puesto en circulación la nueva actualización de iOS 7.0.3 para solucionar algunos de los problemas acrecientes que se le habían acumulado y añadir alguna función más, por lo que si tienes un iPhone 4 o superior o un iPad 2 o superior, ya puedes instalar la nueva revisión.

Figura 1: Contenido de seguridad en iOS 7.0.3

En esta versión, lo primero que hay que citar es que se han arreglado tres bugs para saltarse el passcode del terminal y poder realizar llamadas. De las tres formas distintas que se citan en el Security Advisory de iOS 7.0.3 solo se conocía públicamente una de ellas, por lo que suponemos que las otras dos habrían sido reportadas de forma privada a través de los canales de reporte de fallos a Apple.
 - CVE-2013-5144
 - CVE-2013-5162
 - CVE-2013-5164
Además de estos fallos, Apple también ha solucionado los bugs de funcionamiento conocidos con iMessage, aunque no ha cambiado para nada el funcionamiento del sistema y asumimos que habrá resulto algunos de los problemas de estabilidad que generaban el Blue Screen Of Death. Otros de los problemas que se han solventado han sido los provocados por el cambio de fabricante en el Giroscopio de iPhone 5S e iPhone 5C añadiendo funciones de compatibilidad a valores anteriores.

Figura 2: El nuevo Giroscopio en iPhone 5S & iPhone 5C comparado con el viejo

Por último, hay que citar que por fin se ha activado la anunciada característica de iCloud Keychain que permitiría a los usuarios almacenar contraseñas en Keychain dentro del servicio iCloud y que fue eliminada a última hora en el lanzamiento oficial de iOS 7.

Intego publica una "Lavadora" para sistemas Mac OS X

El popular fabricante de soluciones de seguridad para sistemas Mac OS X ha publicado una curiosa utilidad a la que ha bautizado como Lavadora "Intego Mac Washing Machine 2014" y cuyo objetivo es limpiar el disco duro de tu sistema Mac OS X, ayudándote a localizar las manchas. La herramienta está disponible de momento sólo en idioma Inglés - de la que ya puedes descargarte una versión de evaluación desde la web del producto en MacWhashingMachine.com -, pero anuncian que estará disponible en otros idiomas durante el mes de Noviembre.

La herramienta está pensada no como solución de seguridad, sino más bien como herramienta de soporte a usuario, ya que realiza tareas de mantenimiento diario del equipo, como pueden ser:

Figura 1: Intego Mac Washing Machine 2014
- Localizar los archivos duplicados en el sistema.
- Localizar ficheros que no se utilizan y están ocupando espacio en el disco.
- Organizar el Dock de OS X con las aplicaciones que más se usan.
- Crear smart folders para ayudar a localizar mejor los archivos.
- Organizar el escritorio colocando cada archivo en su sitio.
Como se puede ver, no tiene nada que ver con las soluciones antimalware a las que nos tienen acostumbrados, pero desde aquí queríamos hacernos eco de esta nueva iniciativa de los creadores de uno de los blogs decanos de la seguridad en tecnologías Apple  "The Mac Security Blog", para desearle el mayor de los éxitos. 

lunes, 21 de octubre de 2013

Apple reemplazará los discos de MacBook Air defectuosos

Muchos usuarios de equipos MacBook Air de mediados de 2012 se habían quejado de fallos en el disco que había provocado la perdida de datos. Finalmente, la compañía ha reconocido el fallo, que se encuentra en los discos de almacenamiento Flash y ha publicado una actualización del firmare. Cuando se ejecuta MacBook Air Flash Storage Firmware Update 1.1 primero comprueba si se tiene uno de esos discos defectuosos para ver si puede solucionar el problema con la actualización del firmware.

Figura 1: MacBook Air Flash Storage Firmware Update 1.1 para equipos de mediados de 2012

Sin embargo, no todos los discos desplegados en esos modelos se pueden actualizar, por lo que la compañía ofrece un programa de reemplazo del disco por uno nuevo en caso de no poder solucionarlo. Si tienes un MacBook Air que pudiera ser del año 2012, te recomendamos que instales este software cuanto antes para poder salir de dudas.

domingo, 20 de octubre de 2013

Los fallos del Acelerómetro, el Giroscopio y el Compás Magnetico en iPhone explicados pero no solucionados

Durante este tiempo atrás se ha montado un buen lío con el acelerómetro y el giroscopio en iPhone 5S que ha hecho que muchas apps dejaran de funcionar o funcionaran de forma incorrecta, detectando valores erróneos en sus funciones. Tras volverse locos los usuarios, la explicación ha sido obtenida vía Gizmodo, y es mucho más curiosa de lo que se podría pensar al principio, ya que la base del problema ha sido introducida por Apple al cambiar de fabricante de los sensores, pasando del antiguo STMicroelectronics al actual Bosch Sensortech que llevan los terminales iPhone 5S o iPhone 5C.

Esto no hubiera sido importante, si no fuera porque los dos fabricantes utilizan formas diferentes de calibrar sus resultados, lo que hace que los programadores de apps tengan que interpretar los resultados de forma distinta en aquellas apps en las que los usan.

Figura 1: Arriba el sensor de un iPhone 5S, abajo el de iPhone 5

Ahora, una vez descubierto el problema, los desarrolladores de apps deberán calibrar de forma distinta sus apps, cuando quieran que funcione sobre un terminal con el nuevo sensor Bosch Sensortech  a cuando la app vaya a funcionar sobre un terminal con el STMMicroelectronics. Trabajo doble para los desarrolladores.

Por otro lado, viendo que había esto problemas, en MacWorld probaron el compás magnético para ver si funcionaba bien, para lo que usaron iPhone 4S, iPhone 5S, iPhone 5C, con iOS e iOS 7, y los resultados no han sido nada alentadores. En las pruebas realizadas, se ha podido comprobar que ninguno conseguía apuntar al Norte Magnético correctamente, yendo las variaciones en distintas pruebas desde unos pocos grados hasta 22 grados de desviación, lo que es un factor de error bastante grande.

Figura 2: iPhones sin acertar con el norte magnético

Ahora los bugs son conocidos, y están explicados, pero tocará que todos los desarrolladores de apps hagan los deberes y calibren todas sus apps para el nuevo acelerómetro y giroscopio, y que los desarrolladores de nuevas apps no se olviden de calibrar la sensibilidad para el viejo sensor, porque si no los usuarios de iPhone 5, iPhone 4S o iPhone 4 tendrán problemas. En cuando a lo del compás magnético, lo mejor es que no te fíes en demasiado de un iPhone para ir a la selva y te compres una brújula que por menos de 20 USD las tienes mucho más fiables.

sábado, 19 de octubre de 2013

Apple SÍ podría interceptar los mensajes de iMessage

Mientras continúan las quejas por los problemas de iOS 7 con iMessage - a la espera de que Apple por fin lo solucione en una nueva actualización - un grupo de investigadores de seguridad de QuarksLab han querido dejar claro que las comunicaciones de iMessage sí que podrían ser interceptadas, a pesar de que Apple hubiera dicho que no es así. Esto lo han hecho en una presentación dentro de las conferencias Hack In The Box en Malaysia donde no sólo lo han contado, sino que han hecho una demostración para dejarlo claro.

Recordemos que las comunicaciones de iMessage han estado en el ojo del huracan desde hace tiempo. Primero por pasar del SMS al iMessage sin dar demasiada información a los usuarios que muchos ni se enteraron de haber pasado de un sistema  a otro. En segundo lugar porque cuerpos de seguridad, como la DEA americana, se quejaron de no poder interceptarlo. Y en tercer lugar porque cuando saltó el escándalo de PRISM con las filtrados de Edward Snowden, Apple aparecía listado como uno de los proveedores de datos.

Tras ello, Apple publicó una nota de prensa en la que dejaba claro que NO podía interceptar las comunicaciones de iMessage  debido a que utiliza un sistema de intercambio de claves públicas end-to-end entre los miembros de la comunicación, siguiendo un esquema clásico de cifrado de comunicaciones digitales.

Figura 1: Interceptación de iMessage con un esquema man in the middle

Ahora, los investigadores han dicho que al final, el canal por el que los miembros de la comunicación intercambian las claves públicas es la propia Apple y por tanto podría presentar claves públicas de otra entidad para cada uno de los usuarios, leer los mensajes y volver a cifrarlo con la clave pública del destinatario. Es decir, un esquema man in the middle habitual para este tipo de sistemas. La presentación completa la puedes descargar desde aquí.

Para demostrarlo, han sacado las claves de los dispositivos y han conectado los terminales a través de un hombre en medio que por medio de un programa cambia todas las claves durante el proceso de negociación de ambas en iMessage, de tal forma que consiguen un man in the middle tal y como se ve en el siguiente vídeo.

Figura 2: Vídeo demostrativo de interceptación de iMessages entre dos iPhone

Apple se ha apresurado a decir que eso obligaría a hacer un proceso de re-ingeniería en los sistemas de iMessage y que no piensan hacerlo. Visto cómo funciona PRISM, FISA y el Patriot Act, ahora es cada usuario el que decide si se lo cree o no. ¿Serán los problemas del principio culpa de algún proceso de re-ingeniería?

viernes, 18 de octubre de 2013

Phishing & Client-Side Attacks: iOS sigue poniéndolo fácil

El phishing es uno de los campos que más ha explotado con el tema de los dispositivos móviles y es que los navegadores no ayudan a combatir este mal que acecha al mundo de la seguridad. Aplicando las normas de la ingeniería social podemos llegar a hacer verdaderas obras de arte con un coste de tiempo bajo, gracias a herramientas como SET, por ejemplo, pero cuando la combinación es SET y los navegadores de los dispositivos móviles la mezcla es explosiva. 

Al final la definición clásica de phishing es la de estafa mediante el uso de la ingeniería social para obtener información de manera fraudulenta. A continuación exponemos algunos ejemplos de lo fácil que es a día de hoy caer en una emboscada hecha para lograr acceso mediante un client-side attack, tal y como se cuenta en el capítulo del mismo nombre en el libro de Hacking iOS: iPhone & iPad

Bar address: Ocultando verdades

El primer ejemplo que comentamos es el de la bar address. Sabemos que al entrar en un sitio web el dispositivo móvil intenta aportar el mayor campo de visibilidad al usuario haciendo que la barra de direcciones desaparezca rápidamente. Este hecho supone un foco donde el usuario no pondrá sus ojos, facilitando la suplantación de una web. En el título de la página se muestra, simplemente el título que se quiera mostrar, fácilmente copiable por el usuario malicioso. 

Pero, podemos ir un paso más allá, e incluso aunque el navegador nos haga el favor de ocultar la barra, podríamos implementar nuestra barra de direcciones, para que en todo momento el usuario confíe en el contenido, tal y como se hacía ya en el año 2010.

Figura 1: Mostrando una barra falsa

El componente UIWeb View

El desarrollador de apps para iOS conocerá bien este componente, da riqueza a su aplicación permitiéndola utilizar controles de Mobile Safari con el fin de navegar o consultar recursos web a través de su aplicación. ¿Qué ocurre con la URL? ¿Es mostrada en algún lugar? Pues la respuesta es, que por defecto, no. En otras palabras, debe ser el desarrollador el que se esfuerce en añadir la URL a la que se conecta la app

Uno de los casos más famosos y del que ya hablamos en Seguridad Apple fue el de la app de Twitter. Siguen existiendo apps famosas en la AppStore que permiten estas circunstancias, os añadimos una imagen que puede ayudaros a comprender el problema del asunto.

Figura 2: UI Web View sin URL en Gmail para iOS

Como se puede visualizar es un tema delicado, ya que cualquiera podría realizar dicha acción utilizando el menú de SET y con alguno de los cientos de servidores de correo abiertos que hay por Internet.

La utilización del subdominio

Sabemos que las barras de direcciones no son muy grandes en pantallas de 3.5, 4, 5 pulgadas. Los phishers también lo saben y por ello utilizan una técnica denominada "muestro subdominio que corresponda con dominio real y te robo".

El ejemplo es el siguiente, la URL que se muestre aparece sin protocolo (para que sea más estético) y siempre con el valor del dominio más a la izquierda posible, por ello si utilizamos el siguiente subdominio www.mibanco.es.dominiomalicioso.com, con un poco de suerte y colocación podremos dejar solo visible en la barra de direcciones la parte de www.mibanco.es, por lo que a la vista parece que nos encontramos en dicha URL. El sitio web es una copia falsa en la cual nos mostrarán lo que quieran y nos solicitarán lo que deseen.

En iOS 7 esto no ha mejorado, sino que ha empeorado, ya que ahora en la barra de direcciones de Mobile Safari solo se pueden ver los certificados unos instantes, y la URL completa también, ya que luego solo queda el hostname del sitio. En definitiva, terreno abonado para phishers y ataques APT.

jueves, 17 de octubre de 2013

Actualizaciones de seguridad de Java 6 y Java 7 para OS X

Figura 1: Nuevas versiones de Java 6 y Java 7 disponibles para OS X

Si tienes Java instalado en tu Mac OS X es hora de que actualices tu plataforma, ya que se han publicado nuevas versiones de Java 6 y Java 7 para los sistemas operativos OS X Snow Leopard, Lion y Mountain Lion. Como ya sabes, las actualizaciones de Java 6 las ofrece la propia Apple desde su web o a través de Software Updates / Mac App Store, desde donde puedes obtener:
- Java for OS X 2013-004: Java SE 6 para OS X Lion y Mountain Lion
- Java for Mac OS X 10.6 Update 16: Java SE 6 para Mac OS X Moutain Lion
En ambos casos se actualiza la máquina de Java a la versión java 1.6.0_65 y se corrigen un total de 38 CVEs de los que puedes ver los códigos en el Security Advisory de Apple. Si quieres tener más información debes ir a las Release Notes de Java SE Update 45.

Figura 2: Panel de Java 7 en Preferencias de Mac OS X para actualizar la versión

Para la versión Java 7, debes ir a Oracle o actualizar desde la herramienta de Preferencias de Java. Ahí dale a actualizar y podrás tener la última versión, que soluciona los 51 CVEs publicados en el Critical Patch Update de Octubre.

miércoles, 16 de octubre de 2013

¿iOS 7.0.2: Bug de Sim Lock Screen Display Bypass?

Se ha publicado en Full Disclosure un bug que nos ha soprendido un poco. Supuestamente permite saltar la restricción de Sim Lock Screen para llegar a acceder a la pantalla normal de terminal bloqueado en un iPhone con iOS 7.0.1 o iOS 7.0.2. En teoría quiere decir que en ese método no se permite acceder a todas las funciones a las que se puede acceder a un terminal bloquedado con passcode pero con la SIM desbloqueada. Según el artículo, con este método es posible acceder a algunas de ellas, como el uso de la cámara de fotos - algo que en el modo Sim Lock supuestamente no -, pero nosotros tenemos nuestras dudas. Primero observad el vídeo.

Figura 1: Vídeo del supuesto bug

El proceso descrito en el documento publicado es un poco largo, y exige utilizar un hipervínculo en el calendario y una redirección de la calculadora para poder hacerlo, pero al final solo han quitado el mensaje de SIM LOCK en pantalla. Y no hay que recorrer tanto camino para ello. Si os fijáis podéis ver que el terminal es un iPhone 5 y no un iPhone 5S o un iPhone 5C. Nosotros hemos hecho lo siguiente en menos tiempo:
1.- Reiniciamos el terminal iPhone 5 con iOS 7.0.2 hasta que sale "CODIGO PIN".
2.- Hemos sacado el Centro de Control y abierto la calculadora.
3.- Cuando sale la opción de Introducir el PIN le das a cancelar.
4.- Ya estás en el modo normal de bloqueo.
El paper está lleno de pequeños errores técnicos. Comienza diciendo que el bug es en iOS 7.2, algo que no existe. Luego continúa diciendo que afecta a iOS 7.0.1 y a iOS 7.0.2, pero para hacer el POC dice que hay que asegurarse de que sea iOS 7.0.1. Esto, suponemos que no son más que errores de falta de revisión habituales, pero lo que nos preocupa son las pruebas que se ven en el vídeo.

Al final, en este método sólo se permite - como algo extra - ver el fondo de pantalla que se tiene, pues todas las demás funciones están disponibles en el modo de bloqueo normal y en el modo de SIM Bloqueada. Pero es que lo más sencillo es quitar la SIM y directamente estás en el modo de terminal bloqueado, pero sin SIM.

Según el documento de publicación, se espera que Apple lo arregle  en iOS 7.0.3, pero nosotros tenemos algunas dudas al respecto, pues aún no hemos visto claro este bug. Esto ya pasó con anterioridad con otros No Bugs como el No Bug de saltarse el passcode en iOS 6.1, que fue otro FAIL.

martes, 15 de octubre de 2013

Protege tus conversaciones de WhatsApp con una VPN

Ya hemos hablado de que recientemente se ha publicado una debilidad en el sistema de cifrado de WhatsApp que puede permitir que las conversaciones sean descifradas. A día de hoy no hay una herramienta que no lo haga, pero cualquiera pueda grabar las conversaciones enviadas por la red y esperar a descifrarlas cuando salga una aplicación que lo haga. Hay que tener en cuenta que para la anterior versión ya se creó un plugin de Wireshark que procesaba los ficheros .pcap en busca de las conversaciones, para mostrarlas descifradas, así que es probable que también lo haga en el futuro.

Para evitar esto, lo mejor es utilizar una conexión VPN en cualquier red en la que se vaya a utilizar WhatsApp, para que en caso de que alguien esté capturando el tráfico de red para espiar Whatsapp, tenga que lidiar con dos cifrados - el de la conexión VPN y el débil de WhatsApp - o tres, si existe algún cifrado en la conexión WiFi.

Figura 1: Hide my Ass Pro para iPhone

En iOS viene por defecto un cliente de conexión VPN PPTP o L2TP/IPSEC que permiten conectarse a cualquier servidor del que se tengan credenciales. Soluciones como Hide my Ass o PureVPN ofrecen apps integradas con cuentas de servicio mensuales para tener la configuración y el servidor de conexión en diferentes países.

Figura 2: PureVPN dice soportar SSTP, pero solo tiene PPTP y L2TP en iOS

Lo que no hemos visto es que existan clientes SSTP y aunque alguna app como PureVPN dice tenerlo con soporte para iOS, lo cierto es que hemos probado la solución y sólo permiten las conexiones VPN basadas en PPTP y L2TP/IPSec, con los inconvenientes que esto puede suponer en algunos sitios.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares