Menú principal

domingo, 28 de septiembre de 2014

Fue Noticia en Seguridad Apple: 15 al 28 de Septiembre

Una vez más, coincidiendo con los últimos días de Septiembre, toca detenerse y recapitular para ofreceros el mejor resumen de todo lo publicado en Seguridad Apple a lo largo de las últimas dos semanas, además de recomendaciones s aparecidas en otros blogs.

Comenzamos con el vídeo de la conferencia de Joaquín Moreno Garijo en la última RootedCON, titulada "Análisis Forense a bajo nivel de Mac OS X", una charla interesante y muy instructiva.

Al día siguiente os presentamos una funda para iPhone que permite robar el PIN de una tarjeta de crédito utilizada en un cajero. Se trata de FLIR One, una carcasa capaz de escanear con infrarrojos el teclado del cajero y de esta manera detectar el calor de las pulsaciones.

El miércoles anunciamos un nuevo cambio de política de Apple. En esta ocasión, se trata de que las aplicaciones de terceros que accedan a datos de iCloud tengan una contraseña única para cada aplicación.

El jueves resumimos las novedades más importantes de la release de iOS 8. Entre ellas, cabe destacar el Touch ID, el Kill Switch, y la resolución de hasta 56 CVEs que comprometían gravemente la seguridad de los usuarios.

El último día laboral de la semana lo dedicamos a hablar de la nueva actualización de seguridad para OS X Mavericks, la 10.9.5, que aparte de solucionar varios bugs incluye soporte mejorado para VPN, USB y SMB. Además, se publicaron las actualizaciones de seguridad 6.2 y 7.1 de Safari.

Comenzamos el fin de semana con la noticia de que iOS 8 incluye  una nueva versión de Apple iCloud Control Panel para Windows, que permite activar la característica iCloud Drive para estos sistemas operativos.

El domingo comentamos una novedad de iOS 8, que fuerza la generación de MAC aleatorias a la hora de lanzar WiFi Probe Requests, haciendo mucho más complicado hacer tracking de dispositivos basándose en la MAC.

El lunes 22 hablamos del proyecto PATiA, (Privacy Analysis Tool for iOS Applications), desarrollado por la Universidad de León, que permite evaluar apps de iOS basándose en qué datos tratan y cómo gestionan la privacidad.

El martes desglosamos la nueva actualización de seguridad para Apple XCode, la 6.0.1, publicada en el Security Advisory APPLE-SA-2014-09-17-7 Xcode 6.0.1.

El miércoles comentamos cómo ya han ido apareciendo bugs en iOS 8 que ponen en riesgo la privacidad de los usuarios, razón por la cual se publicó la primera gran actualización, iOS 8.0.1.

Al día siguiente, por sorpresa, Apple retiró la actualización 8.0.1 de iOS, y pretendiendo hacer un downgrade a la 8.0 hasta que esté disponible la 8.0.2, debido a numerosos problemas derivados de la actualización que dejaban los terminales prácticamente inoperantes.

Bash version 3.2.51 en OS X 10.9.5
Para acabar de marear a los usuarios, un día más tarde, aparece iOS 8.0.2 para solucionar los problemas de iOS 8.0 y los generados por iOS 8.0.1 en poco tiempo, un verdadero quebradero de cabeza para todos los usuarios de iOS 8 durante estos días. Apple no hizo bien el QA de estos sistemas.

Para acabar este periodo, hablamos de ShellShock, la vulnerabilidad de Bash que afecta a sistemas UNIX, Linux y por supuesto OS X, plataforma que tiene afectada el 100% de los equipos Mac OS X 10.1 hasta OS X 10.9.5, por lo que hay que tomar ciertas precauciones y evitar accesos invitados y servidores web con aplicaciones CGI.

Hasta aquí todo lo que nos ha dado tiempo en este periodo, pero han pasado muchas más cosas. Esta es la selección de temas que te hemos hecho para que estés informado.
- Lanzado un plugin de Latch para OS X: Durante este periodo se ha lanzado desde Eleven Paths un plugin de Latch para sistemas UNIX, Linux y OS X. Para este último permite controlar el acceso, pero también el desbloqueo del protector de pantalla o el uso del comando "su" en el sistema. 
- Cómo crear mensajes falsos de WhatsApp en iPhone: Con un equipo pareado con un terminal iPhone se puede hacer prácticamente de todo. En este caso,  se ha desarrollado una herramienta que inserta mensajes falsos en la base de datos del sistema. Aquí puedes ver el vídeo de la demostración.


Demostración de WhatsApp Message Injector

- Apple deja de firmar iOS 7.1.2: Ya no hay vuelta atrás, a partir de ahora solo se puede instalar iOS 8 en los terminales iPhone e iPad. Ya no hay posibilidad de hacer un downgrade. 
- Cómo comprometer equipos en la red con solo conectarse por DHCP: Un servidor DHCP malicioso que explote ShellShock puede acabar con una infección de un equipo vulnerable, tal y como explican en HackPlayers. 
- Investigador acusa a Apple de ignorar el bug de iBrute: Según el investigador de seguridad, Apple tenía conocimiento de este bug desde hacía  6 meses, y lo ignoró. Solo cuando se produjo el escándalo Celebgate lo corrigió. 
- Se abren dos plazas para becarios Talentum en el laboratorio de Eleven Paths: Las becas serán en Málaga, así que si tienes ganas de entrar en el departamento de innovación de Eleven Paths, aplica a esta selección. 
- Apple vuelve a bloquear plugins de Flash antiguos: Ha vuelto a incrementar la versión necesaria para que Apple Safari permita que se ejecuten esos plugins.  
- Un fallo de CSRF en Twitter permitía robar cuentas: Descubierto por un investigador colombiano que lo reportó a Twitter a cambio solo de proteger a los clientes. El bug permitía asociar un número de teléfono cualquiera a la cuenta con solo pinchar en un enlace con la sesión abierta. 
- Eleven Paths en la 8.8: La conferencia 8.8 tendrá lugar los días 23 y 24 de Octubre en Chile, y habrá presencia de dos compañeros de Eleven Paths presentando trabajos de investigación. Más información en la web del congreso. 
- La nueva política de privacidad de Apple: "Nosotros vendemos grandes productos, no tus datos", así se podría resumir la nueva política de privacidad de Apple, que ha sido actualizada durante este periodo. Merece la pena la lectura.
Y hasta aquí todo lo que ha dado esta sección. Esperamos veros por aquí dentro de dos semanas y cada día en los artículos de Seguridad Apple. Os deseamos un feliz domingo de Septiembre.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares