Otra vez llegamos al punto de control de contenidos que hacemos cada dos semanas en Seguridad Apple. Durante este periodo hemos vivido la salida de iOS 9, el descubrimiento de la mayor brecha de seguridad en la AppStore y un montón de polémicas y bugs alrededor de las tecnologías Apple. Este es el resumen que con, todo nuestro aprecio haci ti, hemos preparado para ti.
Comenzamos el 14 de Septiembre con el libro gratuito de Reversing de Apps iOS, un manual que puedes descargarte gratuitamente y utilizar como referencia en tu camino de aprender a hacer auditorías de seguridad a apps de iOS.
El martes de esa semana hablamos de Pumpic para iOS, una app de control parental para dispositivos iOS con Jailbreak, para controlar la utilización que de los sistemas iOS hacen tus tutorados. Ojo que esta herramienta solo se puede utilizar para controlar los dispositivos de aquellas personas que están a tu cargo legalmente.
El día siguiente trajimos más documentación, en concreto una Guía Práctica de Seguridad y Privacidad para OS X Yosemite que no puedes dejar de tener en tu arsenal. Está disponible gratuitamente en la web a través del enlace que te hemos dejado en el artículo.
Para el jueves 18 hablamos de iOS 9 y sus más de 100 bugs de seguridad corregidos. Sí, es cierto que veríamos después como aparecieron fallos inducidos por iOS 9 que tuvieron que ser arreglados en iOS 9.0.1, pero con que hayan cerrado 101 con iOS 9 era motivo más que suficiente para instalarlo pronto.
El viernes hablamos del trabajo de Mark Dowd en el que explicaba como meter un troyano en un terminal iOS a través de un sistema OS X pareado al que se le inyectaba el malware a través de AirDrop. Una vez en el sistema OS X, usando un provisioning profile, el malware acaba en el iPhone o iPad.
El sábado 20 de Septiembre la entrada se la dedicamos a LapLock para OS X, un programa que permite controlar cuándo tu MacBook es desconectado de la batería, para que sepas si alguien está intentando robarte tu computadora.
El domingo 21 llego la bomba informativa de XCodeGhost, el malware que había infectado copias de de XCode para conseguir que se publicaran apps de iOS y de OS X infectadas en el AppStore. Entre la lista de apps, algunas muy populares como WeChat Messenger con millones de usuarios.
El lunes publicamos que el troyano inyectado con XCodeGhost en las apps infectadas había sido utilizado, entre otras cosas, para robar cuentas de iCloud, haciendo phishing directamente en el dispositivo.
El martes Apple sacó por fin Apple Watch OS 2.0 después de haberlo tenido que retrasar por un bug de seguridad no corregido en él. Salió tarde, pero al final salió y con un buen número de nuevas funcionalidades. Aquí el Security Advisory con todos los bugs corregidos.
El miércoles, repaso a todas las actualizaciones de seguridad. XCode 7, además de cómo verificar la integridad de tu copia para evitar un nuevo problema de XCodeGhost, actualizaciones de OSX Server, de iTunes 12.3 y de Adobe Flash Player.
El 24 de Septiembre llegó la actualización de iOS 9.0.1, con solución de bugs inyectados en iOS 9. Otra vez a actualizar el sistema para intentar tenerlo lo más protegido posible.
El viernes de esta semana se especuló que el ataque utilizado podría apuntar al gobierno de EEUU, y en concreto a la CIA, ya que seguía el esquema descrito en uno de los documentos filtrados por Edward Snowden, así que ya tenemos de nuevo la guerra USA-China vía Apple de por medio.
Por último, ayer sábado trajimos el artículo de Dipu Daswani que habla sobre cómo cambiar el DVD de un MacBook para introducir una ampliación de disco SSD. Un Do It Yourself para los más manitas.
Hasta aquí todo lo publicado en este periodo de tiempo en nuestro blog, pero como es habitual os traemos una selección de otros artículos que no debéis dejar de leer este domingo de repaso. Esta es la lista de hoy.
- Eleven Paths libera Evil FOCA como Open Source: La herramienta está escrita en .NET y sirve para hacer auditorías de seguridad con ataques de red en protocolos IPv4 & IPv6. No funciona en OS X, pero con la liberación de .NET para OS X probablemente se pueda adaptar con pocos cambios.
- No puedes usar Find My iPhone desde Android: Una queja con toda la razón del mundo. Apple no da compatibilidad a los dispositivos Android para entrar en Find My iPhone, cuando muchos usuarios en situación de pérdida del dispositivo pueden querer entrar desde Android.
- Ejecutar FOCA en OS X: Utilizando las herramientas de Wine, WineBottler y WineTricks, es posible correr FOCA en OS X. Aquí tenéis la explicación y en el siguiente vídeo todo el proceso descrito.
Instalar y Ejecutar FOCA en OS X
- Un nuevo bug que crashea Google con 16 caracteres: En Hackplayers nos traen una URL que provoca un DoS en los navegadores de Google Chrome con solo intentar abrirla.
- Apple explica la privacidad en Hey, Siri: Mucha es la controversia generada debido a que Siri esté escuchando todo a ver si alguien dice "Hey, Siri". Además preocupa el nuevo Live Photos, así que Apple se ha explicado.
- Hands On con las extensiones para bloqueo de contenido en Safari para iOS: Una de las novedades en iOS es que Apple ha permitido utilizar los ad-blockers. Estos se basan en el uso de las extensiones de Apple Safari para el bloqueo de contenido. Aquí tienes cómo sacarle partido en tu dispositivo.
- Miles de sitios WordPress infectados con Malware: Se basa en un bug parcheado en la última versión, así que actualiza lo antes que puedas. Si tienes Latch para WordPress instalado, hemos probado que funciona correctamente con la última versión.
- Detenido con un iPhone en la sandalia: Su objetivo era hacer fotos a las chicas por debajo de la falda controlándolo con los auriculares.
- Apple actualiza las firmas de XProtect para detectar apps con XCodeGhost en OS X: Se han añadido nuevas firmas de apps para OS X que también están infectadas con XCodeGhost.
Y hasta aquí dio de sí esta sección. Esperamos que tengáis un buen domingo y veros dentro de dos semanas en esta sección y cada día en los artículos que publicamos en Seguridad Apple.
No hay comentarios:
Publicar un comentario