Este nuevo año ha comenzado movido en el mundo de la seguridad informática, y estas primeras semanas nos han dejado un buen puñado de noticias interesantes relacionadas con los productos de Apple, así que nos disponemos a resumiros las noticias más relevantes que hemos publicado en Seguridad Apple en los últimos días. Además, como siempre, os ofreceremos una recopilación de algunos artículos de lectura obligatoria publicados en otros sitios de referencia.
El día de Reyes os hablamos de Creepy, una herramienta capaz de obtener información GPS a partir de Twitter, generalmente valiéndose de metadatos de servicios de terceros y aplicaciones como FourSquare.
Con los regalos aún por abrir, el día 6 anunciamos el cierre por parte de Apple de los bugs atacados por iDictPy, la herramienta que permitía realizar ataques de diccionario contra cuentas de Apple.
El miércoles aprovechamos para recordar el deadline del Latch Plugin Contest, un concurso patrocinado por Eleven Paths que ofrece 10000 dólares a los desarrolladores que implementen el plugin de Latch más ingenioso.
 |
| Metasploit Framework |
Al día siguiente, os presentamos una pequeña prueba de concepto sobre cómo bloquear la cuenta de Apple de cualquier usuario conociendo su email, en base a la nueva política de seguridad de Apple para evitar ataques de fuerza bruta.
Comenzamos el fin de semana hablando de un nuevo bug en OS X Spotlight que debido a la carga insegura de contenido externo en un correo electrónico podría permitir a un atacante vulnerar la privacidad de la víctima.
El domingo anunciamos el evento TEDx Gran Vía Salón, un evento en el que Beatriz Cerrolaza, de Alise Devices, hablaría sobre la seguridad documental y la importancia de luchar contra las falsificaciones.
El día 12 hablamos del bypass a OpenSSL Certificate Pinning, un ataque orientado a aplicaciones iOS en el que se sortea el certificate pinning, principal medida de seguridad a la hora de evitar ataques MiTM con suplantación de certificados.
El martes 13, dejando malas suertes de lado, os presentamos una herramienta muy útil, Chrome Remote Desktop, una aplicación de escitorio remoto para controlar equipos desde el navegador de cualquier dispositivo iOS.
Otra herramienta centró nuestra atención a mitad de semana. En este caso, Lirum Device Info, una herramienta de monitorización para dispositivos iOS que permite controlar entre otras cosas el estado de los sensores, el uso de CPU, etc.
Un día después, recopilamos las novedades de la nueva actualización de Adobe Flash Player para OS X, que entre otras cosas resuelve 9 CVEs que ponían en riesgo la privacidad de los usuarios, permitiendo la ejecución de código remoto y otros ataques.
Otra polémica relacionada con las patentes de Apple fue le tema del post del viernes. En esta ocasión, la Oficina de Patentes y Marcas anunción la solicitud de Apple para el almacenamiento de huellas dactilares en iCloud.
Por último, ayer sábado hablamos de los cuatro exploits para crashear el módulo de BlueTooth en OS X 10.10 Yosemite que fueron publicados en Exploits-db. Solo funcionan en local, pero denotan fallos en programación que podrían ser explotados de alguna forma remota en el futuro.
Y esto fue todo lo que publicamos, pero como es tradición, os dejamos aquí una selección de otros artículos que no debéis perdidos. Esta es la lista de hoy:
Por último, ayer sábado hablamos de los cuatro exploits para crashear el módulo de BlueTooth en OS X 10.10 Yosemite que fueron publicados en Exploits-db. Solo funcionan en local, pero denotan fallos en programación que podrían ser explotados de alguna forma remota en el futuro.
Y esto fue todo lo que publicamos, pero como es tradición, os dejamos aquí una selección de otros artículos que no debéis perdidos. Esta es la lista de hoy:
- Sale el DNI 3.0 con NFC: Y las preocupaciones de seguridad son muchas pero en Security By Default, Yago explica cómo funciona la tecnología que lleva incorporada esta nueva versión de nuestro documento de identidad.
- Apple demanda a Ericsson: Otra vez demandas por patentes, en este caso por patentes relativas a tecnologías WiFi.
- Instalar un AV en Android puede ser muy peligroso: No, no es que haya que instalarlo, es que el volumen de Fake AV y Rogue AV que hay en Google Play es altísimo. Aquí una recolección sobre ellos.
- Un segundo extra podría causar estragos en 2015: Este año hay que ajustar el calendario, haciendo que este año dure un segundo más. Esto podría tener serias repercursiones en los sistemas informáticos. ¿Alguien dijo 9 de Septiembre de 99 o Efecto 2000?
- Así gestiona Apple las reclamaciones de apps: En iTunes un usuario puede devolver una app durante un periodo de 14 días. Esto puede ser abusado por gente que quiera descargarse apps de pago para cualquier cosa y luego devolverlas. Así es cómo Apple trata con las devoluciones.
- Virus de Macro en 2015: Aún hoy en día siguen utilizándose los viejos virus de Macro para infectar equipos. Un ejemplo de cómo funcionan hoy en día.
- Ya hay copias Chinas de Apple Watch en el mercado: Cuatro meses después de que Apple lo anunciara, en el CES 2015 ya se han podido ver copias de origen chino.
- Un hack de Latch para Facebook... y para Metasploit: No es una integración oficial, pero uno de los ingenieros de Latch de Eleven Paths ha hecho un hack usando la gestión de sesiones de Facebook, Latch y la automatización con Selenium para controlar los accesos a Facebook con Latch. De igual forma, otro compañero se hizo un hack para controlar el uso de Metasploit con Latch.
- Hackron 2015 - 2ª Con de Hacking en las Islas Canarias: Durante el fin de semana de Carnavales de Santa Cruz de Tenerife, tendrá lugar el fin de semana de la Hackron. Las fechas son 13 y 14 de Febrero y debes apuntarte ya.
- Nuevas Pildoras formativas del Proyecto Thoth: El proyecto de formación en Seguridad de la Información de Criptored ha sacado tres nuevas píldoras sobre cifrado que ya puedes ver en la web.Y hasta aquí dio esta sección. Esperamos veros dentro de dos semanas en Fue Noticia y cada día en los artículos de Seguridad Apple.
No hay comentarios:
Publicar un comentario