Es domingo de volver a nuestra sección de Fue Noticia, así que como solemos hacer cada catorcer días, toca echar la vista atrás y repasar brevemente todo lo que hemos ido publicando relativo a la seguridad de productos Apple durante las últimas dos semanas, así como las publicaciones más interesantes de otros blogs y webs que no os debéis perder por nada del mundo. Vamos a ello.
El lunes 10 os contamos detalladamente una historia real de un intento de phishing de Apple mucho más cuidado de lo habitual, con una réplica de la página de verificación de cuenta que es casi idéntica a la original.
Al día siguiente os hablamos de cómo el Jailbreak de iOS 8 y iOS 8.1 desarrollado por Pangu ya dispone de soporte total para OS X, cosa que ya ocurría con Windows.
 |
| WireLurker ataca OSX & iOS |
El jueves volvimos a un tema conocido, WireLurker, un malware que afecta a iOS y OS X. Esta vez detallamos el ataque Masque, que una vez infectado el dispositivo, sustituye aplicaciones legítimas de banca y correo por otras fake apps.
Con motivo de la celebración del evento Pwn2Own Tokio 2014, el viernes 14 publicamos las maneras en las que varios equipos participantes consiguieron hackear terminales móviles: bien extrayendo información del dispositivo vía NFC, bien explotando vulnerabilidades del navegador web.
El sábado os aconsejamos, de nuevo, que actualicéis todo el software de vuestros dispositivos. Repasamos las actualizaciones más importantes para OS X, que ayudan a mantener al día la seguridad del sistema y evitar sorpresas desagradables.
Para terminar la semana, el domingo os contamos cómo apuntaros al evento CyberCamp, que tendrá lugar los días 5, 6 y 7 de diciembre en Madrid. El evento acogerá charlas de investigadores de seguridad mundialmente conocidos, con lo que supondrá una excelente oportunidad para aprender.
El lunes 17 volvimos a hablar de WireLurker, en concreto de la repercusión que está alcanzando en EEUU, donde el Departamento de Seguridad Nacional ha advertido de los riesgos del ataque Masque a los usuarios de iOS.
Al día siguiente os contamos qué novedades traen y qué vulnerabilidades resuelven las dos nuevas actualizaciones para los sistemas operativos Apple: iOS 8.1.1 y OS X Yosemite 10.10.1.
A mitad de semana, otra polémica sobre Apple llamó nuestra atención. La Comisión Federal de Comercio de EEUU (FTC) ha cuestionado la idoneidad de la política de protección de datos de Apple sobre datos relativos a la salud.
 |
| Estado de los servicios de Apple |
Para el viernes una noticia sobre privacidad y WhtasApp, que aún no ha llegado a los usuarios de iPhone. Facebook ha llegado a un acuerdo con la empresa Whisper Systems del hacker Moxie Marlinspike para aplicar el sistema de TextSecure a WhatsApp y dotar al sistema de mensajes de cifrado end-to-end.
Por último, ayer la noticia fue para la detención de los creadores de WireLurker. Durante la semana pasada tres cibercriminales chinos fueron detenidos e imputados por la creación de este malware que ha llegado a más de 350.000 usuarios.
Además de estas noticias, ha habido otras de las que nos queremos hacer eco para que no se te escape nada de lo que ha pasado esta semana en otros blogs de seguridad. Esta es la lista que os hemos seleccionado:
- ¿Quién te está mirando por tu cámara de vigilancia?: Éste ha sido sin duda el escándalo de la semana. Una nueva web que colecciona cámaras de seguridad con usuarios y contraseñas por defecto y vulnerabilidades conocidas para catalogarlas por países.
- Apple TV 7.0.2: Además de iOS y OS X, Apple ha actualizado Apple TV para solucionar 4 CVEs de seguridad.
- MeterSSH: Para los amantes de Metasploit, en HackPlayer publicaron esta solución para tener Meterpreter sobre conexiones SSH.
- Xapo, una nueva wallet de BitCoins: En este caso para iPhone y Android, que sobretodo en iOS venían siendo escasas.
- Enumeración de recursos internos con JavaScript/AJAX: En el blog de Eleven Paths una serie de dos artículos con técnicas para atacar servidores no publicados a Internet usando un fichero JavaScript malicioso. La continuación explica cómo explotar ShellShock en servidores internos.
- .NET para OS X: Microsoft anuncia que .NET será Open Source y que habrá distribución oficial para Linux y para OS X.
- Publicadas conferencias del Security Innovation Day 2014: Puedes ver todas las sesiones, y además ver las demos de click-to-call que se hicieron con apps vulnerables de iPhone.
Conferencia sobre "Nuevas Tendencias en Ciberataques"
- DarkHotel: Se publica información de ataques APT a directivos de empresas cuando están de viajes en hoteles.
- MD5 ha muerto: Han publicado una técnica que permite generar ficheros con el mismo hash. Para ello se utiliza una técnica que al mismo tiempo puede ser detectada con esta herramienta. Si tienes un sistema de verificación de hashes merece la pena que lo leas.
- LibCryptolog: En Security By Default hablaron de cómo cifrar los logs de un servidor web Apache para poder tener evidencias firmadas digitalmente para cualquier necesidad en el futuro.
- Servicio Postal de Estados Unidos Hackeado: Información de más de 800.000 empleados ha sido robada y filtrada. Protege las identidades de todos tus empleados como si fueran las de tus clientes.Y hasta aquí ha dado de sí esta sección. Esperamos veros dentro de dos semanas en el próximo repaso que hagamos y todos los días en los artículos de Seguridad Apple.
No hay comentarios:
Publicar un comentario