Menú principal

viernes, 28 de febrero de 2014

Actualización de Apple iTunes 11.1.5 y QuickTime 7.7.5

Desde este miércoles está disponible la nueva actualizaciones de Apple iTunes 11.1.5, que soluciona varios bugs en las versiones de 64 bits para sistemas Microsoft Windows y la versión Mac OS X. La versión 11.1.5 soluciona un bug que hacía que Apple iTunes se cerrara inesperadamente cuando se conectaba un dispositivo, además de resolver problemas de compatibilidad al escribir en japonés, y añadir mejoras de compatibilidad con la nueva versión de OS X Mavericks 10.9.2. Los enlaces de descarga están en las siguientes páginas:
- Apple iTunes 11.1.5 para OS X y Windows (32 bits) 
- Apple iTunes 11.1.5 para Windows (64 bits) 
Además, de esta versión, las plataformas Microsoft Windows deben actualizar a Apple QuickTime 7.7.5 que ha publicado un Security Avisory en el que soluciona 10 CVEs de seguridad con un nivel de severidad crítico, así que os recomendamos que actualicéis lo antes posible. Ojo, si eres un usuario Pro de QuickTime 6, se deshabilitarán las funciones PRO y será necesaria una licencia de QuickTime Pro 7.

jueves, 27 de febrero de 2014

OSX/CoinThief: Angry Birds piratas que roban Bitcoins

Desde el We Live Security nos traen una noticia inquietante a la vez que curiosa. En la noticia se habla de la existencia de malware que utiliza aplicaciones de OS X modificadas para ser infectadas con un troyano que roba Bitcoins. Ese mlaware se ha denominado OS X/CoinThief y permite a los atacantes el robo de credenciales de varios sitios de intercambio de Bitcoins por medio de estas aplicaciones maliciosas que son distribuidas vía Torrent.

Como ya hemos dicho, el malware se propaga a través de los torrents que son ofrecidos en diversas páginas de Internet para descargar aplicaciones del sistema operativo de Apple. Como ejemplo de lo comentado tenemos las siguientes: BBEdit, Pixelmator, Angry Birds o Delicious Library, entre otros. Este tipo de malware se ha disfrazo de muchas apps, incluidas algunas de las wallets de Bitcoins, como ya vimos con el caso de StealthBit y BitVanity, To The Moon o LiteCoin Ticker, con lo que parece que creado el motor, se buscan todas las formas de rentabilizarlo.

Figura 1: BitVanity también llevaba incluido OSX/CoinThief

Aunque no tratemos directamente con Bitcoins podemos infectarnos con este malware, y esto siempre es algo desagradable. Por ello desde SecureMac nos proporcionan instrucciones sobre como llevar a cabo una eliminación manual del código malicioso. Además, se detalla de manera avanzada para los más técnicos.

miércoles, 26 de febrero de 2014

Actualiza OSX, Safari y la TV para cerrar el bug del goto fail

Después del enorme FAIL de Apple con su goto fail duplicado la compañía ha lanzado una nueva actualización de OS X Mavericks, en este caso la versión 10.9.2. Esta nueva actualización trae en total la resolución de 29 fallos de seguridad, por lo que se hace una más que imprescindible en este caso. Además, Apple ha lanzando también el Security Update 2014-001 para actualizar los sistemas operativos Mac OS X Lion - también para la versión Lion Server - y la versión de Security Update 2014-001 para OS X Mountain Lion, con los que se resuelven algunos problemas más. 

En estas nuevas actualizaciones vienen incluidas las nuevas versiones de Apple Safari 7.0.2 y Apple Safari 6.1.2, con soluciones de bugs de seguridad. Existían vulnerabilidades graves que han sido resueltas en ellos. A continuación se muestra un listado de algunas de ellas:
  • Múltiples vulnerabilidades en Apache las cuales permitían realizar un XSS. CVE-2013-1862 y CVE-2013-1896.
  • La Sandbox disponible en OS X Mountain Lion 10.8.5 puede ser bypasseada, por lo que el peligro es considerada.
  • ATS dispone de varios fallos de seguridad los cuales se pueden enumerar por los siguientes CVEs: CVE-2014-1254, CVE-2014-1262, CVE-2013-5179, CVE-2014-1255. 
  • Vulnerabilidades en CoreText y CoreAnimation las cuales permiten la ejecución de código arbitrario tras la ejecución de un archivo malicioso. CVE-2014-1257 y CVE-2014-1258.
  • Vulnerabilidades en Safari para crear unas cookies persistentes, incluso después de resetear Safari. 
  • Múltiples vulnerabilidades en PHP, en el Finder, LaunchServices, ImageIO, File Bookmark, etcétera. 
La vulnerabilidad de SSL ha dado y dará mucho más que hablar, ya que no solo ha sido enorme, sino que ha hecho pensar que lo que dijo Jacobb Applebaum sobre el espionaje de la NSA en terminales iPhone pudiera haberse realizado mediante la introducción de esa línea de código de manera intencionada.

Figura 1: Programa de la NSA para espiar iPhone

En la lista de servicios afectados estaban muchos de los clave en Apple con iMessage, FaceTime, etcétera, lo que llevó al investigador Steffan Esser a sacar un parche de emergencia no oficial para el bug y a Apple a arreglar todo su software base, incluida también en la lista Apple TV 6.0.2 - también vulnerable al bug de SSL -.

martes, 25 de febrero de 2014

Apps maliciosas en iOS podrían hacer Touch-Logging

Al igual que los keyloggers roban las pulsaciones de teclado, los investigadores de la empresa FireEye ha publicado una prueba de concepto de una app maliciosa que utilizando las opciones de BackGround Refresh es capaz de capturar las posiciones de la pantalla donde se hace clic con el dedo. La idea de las apps que se refrescan en segundo plano permite a una app maliciosa el acceder a estas opciones sin necesidad de que el dispositivo tenga hecho el jailbreak, como ya se había explicado con otras apps maliciosas durante el mes de enero.

Figura 1: Opciones de BackGround refresh en iOS 7.0.X

Según los investigadores de FireEye, en su prueba de concepto que funciona en iOS 7.0.4 a iOS 7.0.6 incluso aunque se hayan quitado las opciones de BackGround Refresh, ya que una app maliciosa puede simular ser una app para música - que siempre puede actuar en background - y acceder a las pulsaciones de pantalla para enviarlas a un servidor remoto que controle toda la info.

Figura 2: Monitorización remota de pulsaciones

Esto abre un nuevo riesgo que los equipos de verificación de apps de la App Store deberán tener muy presente en el futuro, para evitar que se convierta en una forma de entrada de apps maliciosas en el futuro.

lunes, 24 de febrero de 2014

Latch 1.2.0: Re-styling, más idiomas y nuevo AutoLock

Ya se ha publicado la nueva versión de Latch para iOS con un nuevo look & feel, soporte para idiomas Alemán, Brasileño y Portugués, además de la nueva opción de AutoLock, con la que el usuario puede configurar un autobloqueo de su Latch pasado cierto tiempo desde que se puso desbloqueado el latch. Esta función evita que por descuidos, alguien se deje abierto el latch de su identidad sin querer.

Figura 1: Nueva versión de Latch para iOS

En esta nueva versión, que también se ha publicado para dispositivos con Android en versiones 2.2 o superior, para Windows Phone y Firefox OS, se ha añadido también un panel de configuración para que el usuario personalice más el funcionamiento de la app.

domingo, 23 de febrero de 2014

Un "goto fail" provoca el caos SSL/TLS en iOS y OSX

A todos sorprendió la urgencia de la publicación de iOS 7.0.6 e iOS 6.1.6 cuando está tan cerca la publicación de iOS 7.1. Solo un bug en la gestión SSL es lo que aparecía descrito, pero cuando se ha sabido más, se entiende la urgencia del parche. La culpa de todo, como explica el ingeniero de Google Adam Langley la tiene un goto fail que se les ha colado de mala manera en el módulo de comprobación de los certificados digitales, ¿y cómo ha sido esto? Resulta que en el módulo que comprueba la validez de un certificado digital, una larga lista de comprobaciones verifica una a una todas las características, haciendo que si una de ellas falle se añada el código de error a la variable err y luego se salte a goto fail.

Sin embargo, un goto fail perdido - correctamente identado pero sin estar dentro de ninguna condición, hace que a mitad de las comprobaciones se salte a la zona de código fail pero sin que se haya actualizado el valor del mensaje de err, ya que no ha sido provocado ese salto al final del código por ninguna condición.

Figura 1: El "goto fail" de más que provoca el caos

Cuando se llega al final del código se comprueba si se ha llegado al final porque se han pasado todos los controles de seguridad o porque se ha producido un err, al estar el valor de err sin ningún código se da por bueno ese certificado.

Figura 2: Al final del código el err llega sin valor de fallo

Este goto en medio de la lista de comprobaciones hace que la lista de verificaciones que se hacen después de él no tengan ningún efecto, ya que con que un certificado digital pase las primeras llegará a la zona final del código sin ningún valor en el código de error, haciendo que se puedan usar certificados falsos en ataques man in the middle. Apple ha confirmado que este fallo no afecta solo a iOS sino también a OSX por lo que sacará una actualización de emergencia para este bug lo antes posible. Tú, actualiza tu iOS ya y en cuanto salga el parche de OSX también.

sábado, 22 de febrero de 2014

Apple publica iOS 7.0.6 & iOS 6.1.6 con parche para SSL

Apple ha puesto en circulación una actualización de emergencia debido a un bug en el tratamiento de las conexiones SSL que puede permitir a un atacante en medio de la conexión capturar y modificar la conexión completamente. El bug está descrito en el CVE-2014-1266 y ha sido parchado tanto en la rama iOS 7 con la versión iOS 7.0.6 como en la rama iOS 6, con la actualización iOS 6.1.6.

Figura 1: bug CVE-2014-1266 arreglado en iOS 7.0.6

Te recomendamos que actualices cuanto antes, que esta actualización de emergencia cuando queda tan poco para que salga iOS 7.1 solo se debe a que está siendo explotada la vulnerabilidad actualmente, así que si no quieres problemas, instala la nueva versión ya.

viernes, 21 de febrero de 2014

Campaña de Phishing sobre Apple ID con OS X Mavericks

En los últimos días ha salido a la luz un nuevo caso de phishing dirigido a los usuarios de Apple, que ha causado bastante revuelo. A diferencia de otros casos, esta vez la estafa se basa en un email que aparentemente procede del “Departamento de Seguridad de Apple”.  En dicho correo se insta a las víctimas a confirmar su cuenta de Apple ID, descargando un formulario adjunto y cumplimentándolo con sus datos de usuario. De esta manera los atacantes consiguen acceso a información sensible, como por ejemplo datos bancarios. El mensaje presenta este aspecto: 
Dear Apple Customer,

Your Apple ID, was just used to download OS X Mavericks from the Mac App Store on a computer or device that had not previously been associated with that Apple ID. This download was initiated from Spain.

If you initiated this download, you can disregard this email. It was onlysent to alert you in case you did not initiate the download yourself. If you did not initiate this download, you have to confirm your account and validate your information, so we recommend you to :

1- Download the attached document and open it in a secure browser. 2- Follow the verification process to protect your account.

Your sincerely. Apple Security Department. Apple Support
Como podemos ver, el mensaje avisa de una supuesta descarga de OS X Mavericks realizada con el Apple ID del usuario desde una ubicación diferente a la habitual, buscando causar miedo en la víctima, que temerosa de que le hayan robado su cuenta, y confiada por la supuesta procedencia del correo, morderá el anzuelo y descargará el archivo adjunto. 

Figura 1: e-mail con enPhishing de Apple

Dicho archivo contiene un formulario HTML malicioso que, una vez abierto en un navegador, enviará la información que en él se introduzca a los atacantes. Accediendo a una cuenta de Apple ID se pueden obtener muchos datos, como el historial de compras de la persona, información de su tarjeta de crédito… así que el riesgo es muy, muy alto. Si puedes pon un 2FA en tu Apple ID, que ya puedes ponerlo en España también.

jueves, 20 de febrero de 2014

Recomendaciones de privacidad con el SAT de Apple

Hoy en Security by Default explica Lorenzo Martínez como al pedir el reemplazo de cualquier pieza el SAT de Apple te hace firmar un documento en el que legalmente le entregas la pieza defectuosa, algo que puede afectar a tu privacidad si es un disco duro y no has cifrado correctamente los datos con FileVault o TrueCrypt antes de hacer entrega del mismo.

Figura 1: El SAT de Apple y la privacidad

En nuestro caso, tuvimos que cambiar una pantalla Retina a la que se le había muerto un píxel, para lo que solicitamos estar presentes durante todo el proceso de manipulación del equipo, lo que nos dijeron era totalmente imposible, además de que nos obligaban a quitar la contraseña del firmware en el MacBook Pro para poder arrancar el sistema y hacerle pruebas a la nueva pantalla.

Como no nos convencía mucho eso, decidimos no dejar el equipo ese día y prepararlo para la entrega. Nos aseguramos de hacer un backup del disco, ciframos todo el disco con FileVault, deshabilitamos el usuario invitado del sistema, reservamos 3 slots de tiempo en el SAT (es el máximo tiempo que te dejan reservar seguido) y llevamos el equipo para que el cambio se hiciera en ese periodo de tiempo y que no tuviera que pasar un día en el taller.

Los técnicos accedieron, hicieron el cambio en 1 hora y media y nos entregaron el equipo. Como el MacBook Pro estaba en garantía no pudimos manipularlo para perder la garantía, pero si lo llevas para una reparación y ya está fuera del periodo de protección de la garantía, si puedes, quítale el disco duro. 

miércoles, 19 de febrero de 2014

Apple patenta el uso de direcciones de correo desechables

A través de la patente "Disposable e-mail address generating and mapping to a regular email account" Apple ha descrito un servicio en el cual integra la generación de correos temporales, como el clásico mailinator o similares que tanto han proliferado en los últimos tiempos, pero asociando dicha dirección de correo a una cuenta de Apple ID.

Figura 1: Patente que describe la creación de los correos electrónicos

El proceso, como se describe en la patente está basado en la generación de alias de correo electrónico que tendrán una duración establecida por el usuario en el momento de su creación para que decida si lo quiere activo unas horas, unos días o más tiempo.

Figura 2: Proceso de creación de un correo desechable

El objeto es conseguir que el usuario de Apple pueda hacer uso de estas direcciones de correo en tiempo real cuando se le están solicitando los datos y que sean los propios servidores de Apple los que reciban el correo y lo pongan en su mismo buzón de correo electrónico hasta que la dirección de correo desechable muera. Una nueva forma de luchar contra el spam directamente desde la cuenta de Apple ID.

martes, 18 de febrero de 2014

El Hacking de Apple TV que se tapó con Certificate Pinning

Hace algunos meses, David Schuetz (@DathNull) de IntrepidusGroup descubrió una vulnerabilidad en el Apple TV que causó bastante revuelo cuando fue presentada en la DerbyCon en la chala "Raspberry Pi, Media Centers y Apple TV" que podéis ver en el siguiente vídeo.  Dicha vulnerabilidad permitía a un usuario añadir sus propias aplicaciones en su Apple TV. Sin embargo unos días más tarde Apple solucionó el problema, al menos aparentemente.

Figura 1: Raspberry Pi, Media Centers & Apple TV

Lo que David Schuetz descubrió decompilando el binario de Apple TV fue que mediante cierto perfil de configuración era posible habilitar una característica “oculta”, denominada AddSite, que permitía a un desarrollador añadir un puntero a sus propias aplicaciones para ser cargadas por el sistema operativo de Apple TV. Esta funcionalidad, que originalmente aparecía como un botón en blanco, no difiere en absoluto de otras aplicaciones salvo en que está oculta por defecto y necesita una determinada configuración para poder utilizarse.

Poco después de la DerbyCon, sin embargo, se descubrió que esta funcionalidad ya no estaba disponible en Apple TV. El motivo era que Apple había modificado el archivo StoreFront, un fichero en formato XML que incluye información sobre todas las apps de la Apple TV, añadiendo un flag de versión mínima para la funcionalidad AddSite. De esta manera se establecía como versión mínima la 6.0.

Figura 2: La actualización Apple TV 6.0.1 en Noviembre de 2013 no daba mucha info de qué arreglaba

A primera vista podría parecer que con actualizar a dicha versión se podría burlar esta protección de Apple, pero no es así. Apple añadió también la necesidad de disponer de un certificado válido, lo cual es un problema mayor.

En un principio se intentó solventar creando un certificado firmado por una CA de confianza. Esto se realiza mediante el framework ManagedConfiguration, que permite añadir un perfil de configuración a la Apple TV. Como todo está documentado, el proceso no es complicado. Llegados a cierto punto se descubre que un Extended Key Usage determinado debe estar presente en el certificado que usaremos para firmar el perfil.

Esto se puede falsificar con facilidad, pero aún hay una cuestión en el aire. ¿Qué comprobación se realiza para determinar si el certificado ha sido expedido por Apple? A continuación vemos el código del fichero SecPolicy.c, que es bastante revelador. 

Figura 3: Código del fichero SecPolicy.c
Se realizan básicamente tres comprobaciones: en primer lugar, todo lo relacionado con autenticación x509. En segundo lugar, que el Extended Key Usage es el correcto. Y por último, en el método AddAppleAnchor se comprueba un hash SHA1 para identificar a la CA que emitió el certificado que no puede ser cualquiera, sino una concreta de Apple, es decir, hace uso de Certificate Pinning. En este punto ya no se puede avanzar más.

Puesto que no se puede falsificar el certificado, si disponemos de una Apple TV versión 6.x no podremos de ninguna manera habilitar la opción AddSite. Por otra parte, si nuestra versión es 5.2 o 5.3 podemos crear el perfil adecuado para habilitarla, y después actualizar a 6.x, pero tampoco podremos hacer uso de la aplicación ya que Apple ha añadido comprobaciones adicionales que se ejecutan al intentar usar la función. Parece que en Apple han hecho bien los deberes y han tapado esta potencialmente peligrosa brecha de seguridad.

lunes, 17 de febrero de 2014

Guía de Desarrollo Seguro: "Los hackers no son malos"

Desde Apple se ha publicado un documento de 123 páginas con información útil para mejorar la calidad de las aplicaciones respecto a seguridad. La Guía de Desarrollo de Código Seguro de Apple recoge las principales vulnerabilidades de seguridad que se encuentran en las aplicaciones para tecnologías Apple como iOS y OS X, pero en la introducción nos ha gustado la diferenciación que hace entre Hackers, Crackers y Atacantes, donde se cita que "Hackers are not malicious in general [...]".  El texto no tiene desperdicio:

Figura 1: Hackers según Apple

El contenido de la guía recoge ataques como XSS, SQL Injection, explotación de Buffer Overflows y Buffer Underflows, ataques de condición de carrera o acceso inseguro a ficheros. La verdad es que si quieres aprender a desarrollar apps para iOS o para OS X, o si ya desarrollas apps, te recomendamos que leas esta guía en detenimiento, que está bien estructurada y da prácticas recomendaciones.

domingo, 16 de febrero de 2014

Fue Noticia en Seguridad Apple: Del 2 al 16 de Febrero

Otra vez llegamos al punto de control en el que hacemos un repaso de todas las cosas publicadas durante los últimos catorce días en Seguridad Apple, con el objeto de que no se os pase nada de lo que hemos hablado y de referenciaros noticias de otros sitios que también creemos que deberíais dedicar una lectura. Vamos con ello.

El lunes 3 de Febrero comenzamos con los resultados del anti-virus testing 2014 de Secure Mac en el que salió ganador Intego siendo el que más muestras de malware y exploits era capaz de detectar. En segundo lugar quedó la solución profesional de ESET CyberSecurity for Mac.

El martes de esa semana la entrada se la dedicamos a una foto en la que una persona agradecía a un desconocido que le hubiera llevado su iPhone a casa cuando se lo había encontrado. Una buena noticia que nos gustaría que fuera lo más habitual en lugar de hablar de ladrones.

El día siguiente tocó hablar de actualizaciones de emergencia en Adobe Flash para actualizar unos bugs de alta criticidad en el reproductor que estaban siendo explotados activamente en Internet. Actualiza tu sistema operativo.

BitCoin Wallet
El jueves hablamos de BitCoin Wallet, la última billetera que permitía el pago con BitCoins desde el terminal iPhone que existía y que fue erradicada de la App Store con mucha controversia, ya que se acusaba a Apple de querer aplicar su posición dominante en App Store para empujar su sistema de pagos por móvil.

El viernes apareció un bug que afecta a iOS 7.0.5 que permite deshabilitar la cuenta de Apple iCloud en un terminal iPhone sin tener que conocer la contraseña, lo que evita la localización vía Find My iPhone

Guías de implementación de Latch
El sábado de esa semana hablamos de la nueva versión de Latch para iOS que ha salido con soporte en español de la misma. Además os dejamos referencias de guías, plugins y SDKs disponible para que puedas implementar la solución en el sitio que más te guste.

El domingo pasado hablamos de malware en OSX, en este caso de una nueva botnet multiplataforma escrita en Java que afecta tanto a Windows, como Linux como Mac OS X y que fue descubierta y analizada por Kaspersky.

El 10 de Febrero la noticia fue para Damn Vulnerable iOS Application, una app para iOS que contiene una buena lista de fallos de seguridad que un auditor puede explotar con el objetivo de aprender a auditar este tipo de apps. Si quieres completar tu formación en este área, es fundamental la lectura del libro de Hacking iOS: iPhone & iPad.

El martes de esta semana, otra parada de en el mundo del malware para OSX nos llevó a OSX/CoinThief.A, que simulando ser una billetera de BitCoins se dedicaba a robar los del pobre usuario que ponía su cuenta en ella. Un truco que el autor había utilizado ya en el pasado.

Para el miércoles, un bug en SnapChap descubierto por el investigador español Jaime Sánchez que permite floodear la app de un destinatario y que lleva al reseteo del terminal iPhone para que el sistema pueda continuar funcionando.

El jueves de esta semana actualizaciones de seguridad de Apple BootCamp 5.1 que corrigen un bug en el sistema que puede permitir corromper el kernel de los sistemas operativos que se ejecutan en él.

Big Brother Camera Security
Para este viernes 14 trajimos K0SASP, un instalador de apps para la auditoría de seguridad y el pentesting en sistemas Mac OS X que de forma automatizada empaqueta muchas de las herramientas que solemos usar para evaluar la seguridad de sistemas informáticos.

Por último, ayer sábado le echamos un ojo a Big Brother Camera Security, una app que simula ser la pantalla de introducción del passcode en un iPhone para poder ver quién tiene tu passcode, hacerle una foto y recibirla por e-mail. Su uso tiene muchas - y malas - implicaciones para la seguridad de tu sistema operativo.

Esto fue todo lo publicado, pero como hacemos desde hace tiempo, os traemos algunos de los artículos que debéis leer para estar atentos a lo que más nos ha llamado la atención de lo publicado en el mundo de seguridad y las tecnologías Apple que no hemos tratado por aquí.
- Nuevos Rootelabs de Pentesting con FOCA y Pentesting con Kali: Se han publicado nuevas formaciones para la próxima RootedCON en la que se hablará de cómo hacer pentesting. Los profesores son Chema Alonso y Alejandro Ramos. Además, Chema Alonso dará una conferencia en la que hablará de Latch, con alguna sorpresa en su uso. 
- GmtCheck - ¿De donde viene este Applet Java?: Desde el blog de Eleven Paths se ha hablado de cómo mirando las fechas del certificado digital y de creación de los ficheros, es posible conocer la franja horaria en la que esta el creador de un Applet Java (o una app de Android), lo que puede ayudar a localizar las ubicaciones de los creadores de malware.
- Evitar que se borren los mensajes de Telegram en iPhone: Desde Recover Messages se han publicado nuevas herramientas para iPhone que permiten crear una protección en las apps para evitar que se borren los mensajes de Telegram con Telegram Anti-Delete Protection Tool, además de las que existen para Skype, Twitter o WhatsApp
- PATIA - Proyecto sobre privacidad en aplicaciones iOS: En SecurityByDefault tratan el tema de la privacidad de las apps para iOS en el proyecto PATIA. Ya hablaremos de él en el futuro, ya que han analizado Latch para iOS
- Como saber si un móvil remoto está conectado a la red móvil: Desde Hispasec nos explican en su blog cómo usar los mensajes SMS silenciosos para conocer si un terminal está conectado a la red de telefonía o no. Merece la pena la lectura que está muy bien explicado. 
- Este tipo tiene mi teléfono móvil y yo tengo una foto suya: Historia de un robo de un terminal Android en el que antes de que el ladrón desconectara el smartphone, se pudo tomar una foto de él. Es de Barcelona
- Vulnerabilidad en el iBoot de iPhone 4S: El conocido pentester José Selvi, sigue la pista en este artículo a una posible vulnerabilidad en el iBoot de iPhone 4S anunciada en Twitter. Un bonito post que muestra cómo piensa un pentester, aunque nos quedemos a la espera de más información en el futuro sobre este posible bug.
Y esto ha sido todo, esperamos veros cada dos semanas en esta sección de Fue Noticia y cada día en los artículos que os traemos en Seguridad Apple.

sábado, 15 de febrero de 2014

Big Brother Camera Security for iOS

La app Big Brother Camera Security for iOS ha generado mucha controversia en el pasado, pues realmente no es una aplicación que se meta en el proceso de validación del passcode en iOS, sino que realiza una falsificación y simulación del proceso  para ver quién está intentando usar tu código y hacerle una fotografía que te enviará por e-mail. Esta app fue muy popular en Cydia para su uso en dispositivos con Jailbreak y se subió a App Store, pero tras recopilar los passcodes de todo el mundo se generó un gran polémica y fue retirada. En este vídeo se puede ver su funcionamiento en un terminal con jailbreak en una versión anterior.

Figura 1: Vídeo demostratito de Big Brother Camera Security 1.2 for iOS

Ahora está otra vez de vuelta en App Store, pero con una modificación del panel para dejar claro que no es el panel del passcode original y que lógicamente habría que quitar el passcode del terminal para que esta app pueda hacer de señuelo y conseguir su objetivo, una foto de quién ha probado el passcode por e-mail.

Figura 2: Big Brother Camera Security for iOS versión 3.3.

Por supuesto, en un primer instante puede dar el pego, pero su seguridad no parece lo suficiente como para quitar el passcode del terminal iPhone o iPad y dejar toda la seguridad en esta app, que ahora tiene un coste de 0.99 USD.

viernes, 14 de febrero de 2014

K0SASP: Pentesting desde Mac OS X

Muchos de los que utilizamos Mac OS X y nos dedicamos al mundo de la seguridad no nos queda otro remedio que utilizar máquinas virtuales para poder hacer las auditorías. Normalmente lo que más se suele utilizar es una disto tipo Kali Linux si no optamos por instalar un sistema operativo desde cero y cargarlo con todas las herramientas que más nos gusten y que mejor nos convengan en una máquina virtual que llevamos siempre encima copiadas en el disco duro en algún disco USB. Pero estas soluciones no dejan de ser en máquinas virtuales.

Si bien es cierto que la gran mayoría de los programas que se encuentran para Linux o Windows, en cuento a seguridad, pentesting y hacking, los podemos encontrar también para OS X, muchas de ellas requieren de su compilación e instalación. Por no hablar de que para todos nosotros es mucho más cómodo algo donde ya venga instalado todo, y no tengamos que buscar cada una de las herramientas, instalarlas y compilarlas una a una. De esta idea nace K0SASP.

Figura 1: K0SASP en Mac OS X

K0SASP es un paquete de instalación que incluye un gran numero de programas como los que se encuentran en Kali Linux o Back Box, pero portados a Mac OS X, ordenados y organizados por categorías. Sin la necesidad de tener que buscarlos ni compilarlos. Por debajo de este Paquete de Instalación corren una serie de scripts que son los encargados de desplegar cada una de las aplicaciones. Gracias a éstos también se instala el software de terceros que se requiera para la el funcionamiento de otras aplicaciones. Su uso y configuración son sencillos ya que como en cualquier otra instalación que incluya más de un software nos permitirá seleccionar cuál de ellos queremos instalar.

Figura 2: Instalación de K0SASP

Cuando la instalación haya terminado se mostrará la carpeta donde se almacenan todos los programas listos para su uso. Aunque la capeta incluya todo el software ordenado y categorizado, se han creado enlaces simbólicos para poder lanzar cada programa desde la Terminal, facilitando el uso de las herramientas, puesto que existen herramientas como Metasploit o weevely que siempre tendrán que ser lanzadas desde el Terminal.

Figura 3: KOSASP en Mac OS X

Esta es la primera versión que sale de K0SASP, su imagen tiene un tamaño aproximado de unos 800MB, aunque tras su instalación ocupa casi 2Gb. ¿Qué software incluye?

Information Gathering   
TheHarvester
- Nmap
- Zenmap
- Maltego
- Knock-scan
- Keepnote
- Dnsmap(new)

Web Exploitation
- Burp Suite
- Sqlmap
- ncat
- Fimap
- weevely(new)
- Slowhttptest(new)


Sniffing
- TCPDump
- Wireshark
- Sslstrip(new)

Password Cracking
- Hydra
- John The Ripper

Connections
 -Cyberducks(new)
- DBeaver(new)

Forensic Analysis(new)
- Binary Cookie Reader
- iExplorer
- SQLite Pro Reader

Network Exploitation
- Metasploit(new)
- Setoolkit(new)

Vulnerability Analysis
- Owasp ZAP
- Vega
- Nikto
- Joomscan
- GoLISMERO(new)

Anonymity
- Tor+TorBrowser

Software requerido
- PyGTK
- XQuartz
- Command Line Tool

Aunque ya haya salido su primera versión aun le queda un largo recorrido para llegar a tener un amplio abanico de programas que puedan cumplir con las necesidad de cada auditor. Entendemos que en futuras versiones se irán implantando nuevas mejoras y más programas.

Figura 4: Metasploit, nmap, SQLmap y Weevely corriendo en Mac OS X
Autor: Ismael González

jueves, 13 de febrero de 2014

Apple actualiza Boot Camp 5.1 y corrige el CVE-2014-1253

Dos nuevas versiones del software de Apple Boot Camp 5.1 que permite correr arranques duales en plataformas de equipos Mac están disponibles para ser descargadas: la 5.1.5621 y la 5.1.5640. Ambas incluyen todos los drivers necesarios para correr las versiones de 64 bits de Windows 7, Windows 8 y Windows 8.1 en un equipo Mac. y solucionan el bug CVE-2014-1253 que permite mediante la carga de un fichero mal formado corromper el kernel del sistema operativo.

Los requisitos para instarlar Windows con Boot Camp se pueden consultar en la web de Apple. El proceso de instalación es sencillo e idéntico para ambas versiones:
  • Se descarga y se descomprime el archivo con extensión ZIP.
  • Se copia el contenido de la carpeta Boot Camp5 en un USB u otro dispositivo de almacenamiento que utilice FA.
  • Mientras se inicia Windows, se debe abrir el fichero creado en el USB en el paso anterior.
  • Se hace clic en setup para iniciar la instalación del software de soporte de Boot Camp. Simplemente se han de seguir los pasos que se indican, y cuando termina la instalación, reiniciar el sistema.
Desde la web de Apple se puede descargar la versión 5.1.5621 y  la 5.1.5640.

miércoles, 12 de febrero de 2014

Un bug de SnapChat puede crashear tu iPhone

El investigador español Jaime Sánchez (@segofensiva) ha publicado una prueba de concepto que muestra cómo un ataque de flooding de mensajes a un destinatario de SnapChat haga uso de la app en un terminal iPhone puede acabar crasheando y forzando un reinicio del sistema. En los terminales Android, el sistema se vuelve lento y difícil de manejar, pero en el caso de iPhone, el sistema sufre una denegación de servicio, tal y como se puede ver en el siguiente vídeo.

Figura 1: PoC de crash de iPhone por flooding de mensajes de SnapChat

Los bugs de denegación de servicio por medio de flooding no son desconocidos en las apps de mensajería y sistemas como iMessage sufrieron ataques de DoS en el pasado, o en WhatsApp los mensajes de gran tamaño han generado problemas de funcionalidad en ellas. Si tienes SnapChat en tu iPhone, alguien podría hacerte lo que se ve en el vídeo hasta que se solucione este fallo.

martes, 11 de febrero de 2014

OSX/CoinThief.A: malware para OS X que roba BitCoins

Desde Secure Mac alertaban de la existencia de una aplicación maliciosa para sistemas OS X que simulando ser una wallet para enviar y recibir BitCoins a destinatarios, se encargaba de robar los BitCoins de los usuarios que la instalaban en su equipo. El malware, que ha sido denominado como OSX/CoinThief.A utilizaba como app señuelo StealthBit, una aplicación que estaba subida a GitHub con su código fuente, pero cuyo fichero compilado - que incluía las funciones maliciosas - no correspondía con el código fuente oficial.

La aplicación ha sido eliminada del repositorio GitHub por su autor, Thomasrevor, pero aún es posible ver una copia del sitio en la caché de Google, junto con el fichero Readme.md donde se explica que esta aplicación es para gestionar tus BitCoins.

Figura 1: El repositorio de GitHub borrado de StealthBit

Según ReadWrite, este autor ya había intentado en el pasado algo similar con una aplicación llamada BitVanity, que también tenía la "sana" misión de robar los BitCoins de los usuarios que la utilizaban, así que debió funcionarle bien el truco y ha vuelto a la carga con otra revisión de la misma idea.

Figura 2: BitVanity para OS X, del mismo autor.

Vigila tus BitCoins, ya que en Mac OS X hemos tenido en el pasado malware como OSX/DevilRobber que también se ocupaba de robar tus Wallets. Además está el asunto muy revuelto últimamente y el precio de cotización ha bajado unos 300 USD por BitCoin estos días. 

lunes, 10 de febrero de 2014

DViA: Damn Vulnerable iOS Application

Al igual que existen entornos web de prueba para que los pentesters puedan analizar sus herramientas y conocimientos de seguridad, desde Cyberhades nos han informado de la existencia de Damn Vulnerable iOS Application, una app para iOS llena de vulnerabilidades para que puedan probarse los principales fallos encontrados en las apps hoy en día, algo que como hemos visto en múltiples ocasiones es bastante común entre los desarrolladores menos preocupados por la seguridad. Esto no solo afecta a pequeños desarrolladores, sino que aparece en apps de Dropbox, Starbucks o incluso en las apps que se integran con tus cuentas de Twitter generando un gran riesgo.

El proyecto ha incluido en una sola app vulnerable los siguientes fallos de seguridad, reconocidos todos ellos en el OWASP Mobile Security Proyect - Top Ten Mobile Risks. Esta es la lista de vulnerabilidades que debes localizar en esta app de prueba:
  1. Insecure Data Storage
  2. Jailbreak Detection
  3. Runtime Manipulation
  4. Transport Layer Security
  5. Client Side Injection
  6. Information Disclosure
  7. Broken Cryptography
  8. Application Patching
De todas estas vulnerabilidades hemos hablado largo y tendido en este blog, pero puedes aprender más en los libros de Desarrollo de apps para iOS: Essentials y Hacking iOS: iPhone & iPad, y además puedes aprender más en la página web del proyecto, con el objeto de que tus apps no acaben apareciendo en una de las listas de seguridad por tener un fallo gordo.

domingo, 9 de febrero de 2014

Malware para OS X: Nueva botnet multiplataforma en Java

Desde el laboratorio de Kaspersky han hecho público el análisis de una pieza de malware que había llegado a sus servidores y que ha resultado ser un ser el cliente de una botnet multiplatafarma escrita en Java y que funciona en sistemas Microsoft Windows, Mac OS X, y Linux. Para infectar los equipos este malware utiliza el bug CVE-2013-2465 que permite a un atacante conseguir ejecución remota en las víctimas que tengan una versión de la rama Java 6 con la Update 45 o anteriores y en la rama Java 7 con Update 21 o anteriores.

El bot tiene el código ofuscado con Zelix Klassmaster, una solución especializada en Java que obliga a los analistas a descifrar el código antes de poder analizar el malware. Una vez analizado se puede ver cómo el código está pensado para las plataformas Windows, Linux y Mac OS X, usando diferentes puntos de anclaje para conseguir la persistencia al reinicio.

Figura 1: Configuración del bot como un launchd en Mac OS X

- Windows: Usa clave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Mac OS X: Configura un servicio launchd
- Linux: Configura una entrada en los daemons de inicio en /etc/init.d/

El bot se controla mediante el protocolo IRC, para lo que el malware lleva implementado completamente PircBot, una impelementación Open Source del API de IRC, y que permite enviar comandos a los bots.

Figura 2: Conexión del bot al C&C mediante IRC

La principal función de esta botnet es la de realizar ataques de Denegación de Servicio Distribuida (DDoS) a servicios HTTP y UDP, para lo que desde el C&C se realiza mediante comandos IRC la configuración de los parámetros necesarios para el ataque.

Figura 3: Configuración de un ataque de Flood UDP desde el C&C al bot

La distribución de este bot no parece muy extendida, pero es importante tener en cuenta que los creadores de malware que utilizan Java están pensando en todo momento en arquitecturas que funcionen sobre sistemas Mac OS X, y que es fundamental tener actualizar la plataforma Java a la última versión.

sábado, 8 de febrero de 2014

Latch para iOS en español y guías de uso

Ya está disponible en la App Store la nueva versión de Latch para iOS, cuya principal novedad es que se ha traducido completamente la app a Español para que todos los usuarios que quieran la puedan tener así. Además se ha añadido un pequeño menú de configuración para configurar algunos tipos de mensajes que se quieren recibir o no en cada momento. La app se puede descargar desde iTunes.

Figura 1: Latch 1.1.0 para iOS disponible en el App Store

Además se han publicado los plugins de Latch para más frameworks que se han publicado en el repositorio de código oficial de Eleven Paths. Todos los proyectos son Open Source y puedes descargarlos, usarlos y modificarlos a gusto.

Figura 2: Canal de Eleven Paths en GitHub

La lista queda de la siguiente forma:
Y se puede integrar en cualquier aplicación o script con los siguientes SDK y plugins.
- Plugin de Latch para PowerShell
- Plugin de Latch para .NET Membership Provider
- SDK de Latch para Java
- SDK de Latch para .NET
- SDK de Latch para C
- SDK de Latch para Python
- SDK de Latch para Ruby
- SDK de Latch para PHP
Además, para aprender a manejarlo mejor se han publicado las guías de instalación y uso, que pueden ser consultadas online como referencia en el canal oficial de Eleven Paths en SlideShare.

Figura 3: Guías en el canal en SlideShare de Eleven Paths
- Guía de instalación de Latch en WordPress
- Guía de instalación de Latch en PrestaShop
- Guía de instalación de Latch en Joomla
- Guía de instalación de Latch en Drupal 7
- Guía de instalación de Latch en Drupal 6

- Guía de instalación de Latch en RoundCube
- Guía de integración de Latch en aplicaciones Asp.NET

viernes, 7 de febrero de 2014

Bug en iOS 7.0.4 permite deshabilitar Find My iPhone

Se ha publicado una prueba de concepto en vídeo de cómo es posible eliminar la cuenta de Apple iCloud en un terminal iPhone o iPad con iOS 7.0.4 para deshabilitar así el servicio de Find My iPhone. En teoría la cuenta de iCloud no se debería poder eliminar en iOS 7, ya que alguien que se encuentre con el terminal podría quitar este servicio, sin embargo, configurando una password errónea y cambiando la descripción de la cuenta se consigue que el servicio se deshabilite, permitiendo luego borrar la cuenta de iCloud. En el vídeo se puede ver en detalle.

Figura 1: Bug en iOS 7.0.4 permite deshabilitar Find My iPhone

Por supuesto, para poder hacer esto es necesario contar con el terminal desbloqueado, así que por seguridad te recomendamos que tengas el passcode configurado lo más robusto que puedas y que tengas el autobloqueo inmediato del terminal.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares