Menú principal

domingo, 1 de febrero de 2015

Fue Noticia en Seguridad Apple: 19 Enero a 1 Febrero

Ya han pasado dos semanas desde el último Fue Noticia, y durante este breve período de tiempo un gran número de noticias de gran relevancia para la seguridad de los productos de Apple han sido publicadas en éste y otros blogs. Así pues, en Seguridad Apple os ofrecemos un rápido repaso de lo más interesante.

Comenzamos el lunes 19, cuando os hablamos de una vulnerabilidad en Mac OS X que permite realizar una escalada de privilegios en el sistema aprovechando la existencia de un bug en el driver del teclado. Un bug que como vimos se puede explotar desde Metasploit en procesos de pentesting.

Al día siguiente os presentamos Sesame, una utilísima herramienta que, a modo de llavero, permite bloquear o desbloquear automáticamente nuestro Mac según nos alejamos o acercamos,midiendo la distancia al dispositivo vía Bluetooth o WiFi.

El post del miércoles se centró en Cyberduck, un cliente FTP, SFTP, WebDAV que almacena nuestras credenciales de una forma muchísimo más segura, siendo por tanto una gran alternativa a otras herramientas como Filezilla.

El jueves desglosamos la actualización Java 8 Update 31 para OS X, que trajo consigo numerosas actualizaciones de seguridad que cierran 19 vulnerabilidades en Java, incluyendo algunas explotables remotamente sin autenticación y una con CVSS igual a 10. Viendo el escenario en el que nos movemos hoy en día, más vale que actualizases pronto.

El viernes, os contamos cómo LastPass ha publicado una aplicación nativa para sistemas MacOS X, haciendo este popular gestor de contraseñas accesible para los usuarios de esta plataforma.

Entramos en el fin de semana con la noticia de que investigadores del equipo Zero Project de Google, creado a raíz de las graves vulnerabilidades aparecidas a lo largo del año pasado, publicaron tres 0days y un exploit que afectan a sistemas OS X.

Cerramos el fin de semana con un epic fail de época: unos ladrones de iPads fueron arrestados en Texas gracias a un selfie, que fue subido automáticamente al iCloud de la  víctima.

El lunes 26 os presentamos la nueva actualización que Adobe ha publicado para Adobe Flash Player en sistemas OS X, Windows y Linux. Dicha actualización parchea una vulnerabilidad que permitía la ejecución de código y distribución de malware.

El martes diseccionamos el adware OSX/VSearch-D, distribuido por medio de Malvertising. Aprovechamos de paso para recordar la necesidad de disponer de medidas  antimalware en nuestros equipos.

A mitad de semana repasamos las actualizaciones de seguridad más urgentes publicadas por Apple, que cierran un montón de bugs graves. Dichas actualizaciones son OS X 10.10.2, Security Update 2015-001, Safari 8.0.3, Safari 7.1.3 y Safari 6.2.3.

El mismo miércoles, otra noticia ocupó nuestra atención. La nueva actualización iOS 8.1.3 soluciona hasta 53 bugs de seguridad, y por otra parte, también imposibilita el jailbreak.

Las polémicas relaciones entre Apple y el gobierno chino volvieron a la palestra en el post del jueves. Parece ser que, ante las numerosas quejas y acusaciones, Apple ha permitido que China audite la seguridad de los iPhone que se distribuyen en ese país.

El viernes os explicamos cómo aprovechar un utilísimo hack de Latch que permite, de forma sencilla, controlar los accesos a sesiones abiertas en iCloud, evitando así el robo de nuestras sesiones. Este mismo estilo de Hack lo puedes utilizar para controlar los accesos de Facebook con Latch

Ya para terminar este periodo, os dejamos las declaraciones del abogado de Edward Snowden en las que dice que no utiliza iPhone por miedo a ser espiado, ya que tiene el convencimiento de que la NSA puede activarlo remotamente para acceder a toda su vida personal y privada. Tener algo en iPhone es como publicarlo en Facebook, dijo.

Hasta aquí todo lo publicado en nuestro blog durante este periodo, pero como ya sabéis, también os dejamos una serie de noticias que han sido publicadas en otros sitios y que creemos que merece la pena que no os perdáis. Esta es la selección que hemos hecho.
- El bug de IIS Short Name se puede seguir explotando: Como explican en el blog de Eleven Paths, se puede seguir haciendo a través del método OPTIONs, activo por defecto en todos los servidores Microsoft Windows. 
- Maldrone, el primer malware (conocido) para drones: En Hackplayers hablan del primer software malicioso que se ha hecho público para ownear los famosos drones. 
- Outlook para iOS debuta con fallos de privacidad: Guarda todos los datos en la cloud y al principio sin avisar de esto en la política de seguridad de la app. Buena se ha montado. 
- Nuevo plugin de Latch para OwnCloud: Ahora puedes tener tu propia nube privada con OwnCloud y protegida con Latch. 
- Dos bugs de privacidad en WhatsApp Web: Un joven de 17 años ha reportado dos bugs de privacidad en la nueva versión de WhatsApp Web.  
- Ataques en las redes SS7: Fantástico artículo de Pedro Cabrera en Security By Default que explica cómo se pueden realizar a día de los ataques en la red SS7, utilizada para comunicaciones con móviles. 
- En el market de Mobigenie te puedes infectar con malware del presente y pasado: Los markets alternativos de Android, al igual que muchas veces Google Play, no ofrecen las medidas de seguridad necesarias. En este caso, un ejemplo con Mobigenie, quizá de los más agresivos con el negocio de la publicidad. 
- Desccubriendo el hidden SSID de las redes WiFi: Ejemplo de José Selvi sobre cómo descubrir los SSID con ataques de deautenticación a clientes para capturar los paquetes de búsqueda. Estos paquetes son responsables de que tal vez no sea bueno ocultar el SSID de tu red WiFi. 
- Retos para el aburrimiento: En Cyberhades recopilan una serie de retos de hacking, cracking y demás rompecabezas para los amantes de la tecnología. 
- Deanonimizando nodos TOR gracias a SSH: La idea es tan buena con sencilla. Basta como conectarse a un nodo TOR, capturar su clave pública y buscarla en TOR. Genial. 
- Movistar lanza Protege: Es un sistema de control parental que ayuda a la navegación segura de los niños en Internet a través de tablets.
- BlackPhone afectado por un bug en los mensajes de Texto: Un bug fácil de explotar remotamente saca los colores a BlackPhone, el teléfono superseguro.
Y esto fue todo. Esperamos veros dentro de dos semanas por esta misma sección y cada día en los artículos que publicamos en Seguridad Apple.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares