Menú principal

miércoles, 30 de noviembre de 2016

Touch ID y Touch Bar bajo lupa en el nuevo MacBook Pro

Parece que Apple se ha preocupado por la seguridad de la nueva interfaz, Touch Bar, del MacBook Pro. El desarrollador Steve Troughton-Smith, conocido por sus profundos exámenes de cómo funciona el sistema operativo iOS, reúne algunas de las piezas respecto a la nueva barra táctil del nuevo ordenador de Apple. La reflexión del desarrollador es que existen menos caminos para explotar, es decir, Apple tiene un procesador independiente para gestionar el Touch ID. Los sistemas iOS, watchOS y tvOS son más limitados que macOS, el cual sigue siendo más abierto a ser inspeccionado y manipulado. 

Mientras que iOS ha sufrido exploits, según informa el desarrollador, debería haber menos caminos y posibilidad de exploits que afecten a la Touch Bar, ya que éste actúa como un periférico en lugar de ejecutar aplicaciones directamente. El desarrollador también comenta que cuando Apple anunció su Touch Bar, pensó que debido a la seguridad necesaria con un chip Secure Enclave y la conexión al procesador, ésta no podría ser auto-equipada, pero se equivocó. Gracias al uso de el procesador T1, el Secure Enclave y el sensor Touch ID se encuentran perfectamente integrados. Debido a que la barra táctil se ejecuta por separado, macOS no tiene que estar en estado activo para que un usuario interactúe con Touch ID.

Figura 1: Touch Bar

¿Podría el Touch ID omitir la introducción de una contraseña en un arranque en frío? La respuesta es no. Al igual que ocurre con iOS, Apple tiene una variedad de condiciones bajo las cuales el Touch ID no puede utilizarse, y se debe introducir la contraseña para volver a habilitarlo. Uno de ellos es un reinicio o encendido. La autenticación biométrica a través de una huella dactilar en un Mac plantea los mismos problemas de seguridad que tiene para iOS. La huella digital de una persona puede utilizarse para desbloquear un Mac de igual forma que un iPhone. Apple dice que se podrá desbloquear el Mac con Touch ID, aunque aún no se habilitó la funcionalidad de forma completa. A diferencia de un dispositivo iOS, un Mac tiene sólo una delgada capa de protección a menos que esté apagado, a diferencia de iOS que está asegurado cuando duerme. Sin duda, tendremos noticias y los investigadores intentarán llevar al extremo al Touch ID y a la Touch Bar en los nuevos equipos de Apple.

martes, 29 de noviembre de 2016

Nuevo informe de AV-Test sobre malware en macOS

El instituto de seguridad independiente AV-Test ha publicado un informe hablando de malware en distintas plataformas en el año 2015 y 2016. Respecto al mndo Mac podemos ver como sigue aumentando el número de malware para el sistema operativo, así como la cuota de mercado del sistema. Del estudio se puede observar que la fortaleza de macOS contra el malware es solo una ilusión, lo cual es una frase dura que hace el instituto contra la plataforma, ya que muchos usuarios creen que los dispositivos de Apple no pueden ser infectados con un virus. 

La comparación con los sistemas Windows sigue siendo muy dispar, ya que existen muchos más malware para sistemas Windows que para Mac. Solamente 819 amenazas de malware apuntan a sistemas macOS/OSX en 2015, pero esto no significa que estos ataques no fueran serios o una gran amenaza para los usuarios. Además, los atacantes no necesitaron programar un gran número de aplicaciones de malware para obtener datos de usuarios de macOS/OSX. Rara vez, se tienen soluciones antivirus instaladas en los equipos macOS/OSX.

Figura 1: Crecimiento de malware en Mac de 2015 a 2016

En 2014, Apple se retractó de su declaración de que un macOS no puede ser infectado, después de que el troyano Flashback secuestrase más de 600.000 equipos macOS, a través del uso de un exploit de Java. Los ataques de malware para el sistema operativo de Mac solo ha aumentado de un 0,06 a un 0,07 por ciento entre 2015 y 2016, debido a que en parte se posee una cuota de mercado mayor, pero muy inferior a los equipos Windows. A continuación, se puede visualizar el top 10 de los malware que afectaron a sistemas Mac entre 2015 y 2016.

Figura 2: Top 10 en 2015 y 2016

Otro de los tópicos que se ha tenido durante los últimos años es que el hardware en el que se ejecuta un sistema operativo de Apple se ha considerado seguro en sí, pero las apariencias pueden ser engañosas, según indica el informe. Aunque existe mucho menos malware que en Windows, los usuarios de macOS todavía necesitan ser protegidos. Ya lo decían nuestros compañeros Chema Alonso y Pablo González en el año 2011, cuando en la gira Up to Secure hablaban del malware en Mac OS X en la empresa.

lunes, 28 de noviembre de 2016

ElevenPaths Talks: (IN)seguridad en dispositivos iOS

La segunda temporada de Eleven Paths Talks sigue adelante y estamos en la recta final. El próximo jueves 1 de diciembre, nuestro compañero Diego Samuel Espitia y un invitado especial  hablarán de la (IN)seguridad en dispositivos iOS y, en líneas generales, en dispositivos móviles. Como se ha hablado en otras ocasiones, muchos piensan que iOS no tiene problemas de seguridad, pero nada más lejos de la realidad.

Durante el webcast se hablará de la estructura y controles de seguridad del sistema operativo iOS, abordando al análisis de casos relacionados con ataques a la plataforma. En la charla, Diego y el invitado especial profundizarán en los controles, conceptos y amenazas a los que está expuesto iOS. La charla será a las 15.30, horario de España, y estará disponible en nuestro canal de Youtube al finalizar la semana.

Figura 1: Eleven Paths Talks - (In)seguridad en iOS

No te pierdas la charla de Diego, puedes visualizarla en directo a través de hangouts. Será impartida en castellano. Si quieres ahondar más sobre el tema de iOS y la seguridad pásate por nuestra comunidad, donde nuestros compañeros hablan sobre este tema y otros de mucho interés en el mundo de la seguridad.


Figura 2: Tu iPhones es tan (IN)Seguro como tu Windows

Ya es un poco antigua, pero para completar esta charla tienes una que dio nuestro compañero Chema Alonso hace ya tres años.  Para consultar el calendario de talks que quedan por venir, puedes acerlo en nuestro sitio web para ello. Recuerda, hoy, jueves, tienes una cita con Diego Samuel y ElevenPaths Talks.

domingo, 27 de noviembre de 2016

Fue Noticia en Seguridad Apple: del 14 al 27 de Noviembre

Con Diciembre a la vuelta de la esquina, en Seguridad Apple nos abrigamos y hacemos una breve pausa en nuestro camino para, como es habitual, presentaros en nuestro Fue Noticia un pequeño resumen de las noticias más relevantes ocurridas durante las últimas dos semanas en el mundo de la seguridad. Todo ello, aderezado con los mejores contenidos de otros sitios de referencia.

Comenzamos el lunes 14 con la última actualización de macOS, que presenta problemas de compatibilidad con Prey, por lo que muchos usuarios se quedaron sin poder acceder a sus plataformas remotamente.

El martes, con motivo del tercer aniversario de Latch, os explicamos cómo empezar a usar la aplicación para proteger el acceso a tus cuentas.

El miércoles os contamos como Apple Safari fue hackeado en apenas 20 segundos, con motivo del evento Pwnfest celebrado en Seúl.

El día 17 os explicamos cómo la aplicación Shazam en Mac, cuando no está en ejecución sigue utilizando el micrófono, por lo que escucha cualquier conversación cercana, lo que supone un riesgo para la privacidad.

El viernes os enseñamos por medio de un sencillo tutorial cómo proteger tu cuenta de Amazon mediante Latch Cloud TOTP.

El día 19 nos hicimos eco de las últimas noticias de la interminable disputa entre Apple y los bancos australianos con motivo del acceso al famoso chip NFC de iPhone.

Cerramos la semana con la sorprendente revelación de que Apple envía a iCloud los logs de todas las llamadas que realizas desde tu iPhone.

El lunes 21 os proporcionamos un detallado informe sobre la seguridad en los navegadores Apple Safari y Google Chrome que vendrá en 2017.

El día siguiente os contamos cómo se ha descubierto una forma de hacer bypass al passcode en iPhone 7 con sistema operativo iOS 10.2.

El miércoles os hablamos de un nuevo ataque de phishing que afecta a los usuarios de Apple, esta vez vía SMS haciéndose pasar por iCloud.


Una noticia sorprendente centró nuestra atención el jueves, la de un vídeo que hace que los dispositivos de Apple hagan crash.

Para el viernes os trajimos información de un módulo PAM para macOS que permite utilizar Touch ID para autenticar los comandos del terminal, al estilo SUDO pero con biometría.

Por último, para ayer sábado dejamos una noticia sobre el resistente estado de forma de un iPhone 4 que después de pasarse dos años en el fondo de un lago, fue recuperado y puesto otra vez en funcionamiento.

Y esto ha sido todo lo que hemos publicado en nuestro blog, pero como es habitual os traemos lecturas de otros blogs para completar vuestro domingo. Esta es la lista que hemos hecho hoy.
- Cómo configurar el Home Button para no tener que pulsar para desbloquear: Es decir, como se hacía en iOS 9 sin tener que hace un clic con el Home Button. 
- Mañana en el Cibermonday puedes conseguir con descuento el libro de Hacking iOS: iPhone & iPad (2º Edición) de nuestros compañeros. Estáte atento. 
- ¿Puede el Big Data ayudar a reducir los atascos de las ciudades? En este artículo, nuestros compañeros de LUCA hacen un estudio del tráfico de la Comunidad de Madrid para intentan dar alguna pista a la respuesta de este problema. 
- Vídeo Tutoriales para proteger tus cuentas de Internet: Proteger  Facebook, Amazon, Google, Gmail, Amazon, DropBox, Outlook Online y Microsoft Live con Latch Cloud TOTP. 
- Apple podría estar reduciendo la velocidad en Verizon para igualarla a la de AT&T: La noticia es curiosa, y según parece Apple podría estar haciendo que el iPhone 7 fuera más despacio en la red de Verizon para que la experiencia fuera similar a la que tienen los clientes de AT&T. Curioso. 
- Inseguridad en iOS: Este jueves día 1 de Diciembre tienes una cita con nuestros compañeros de ElevenPaths para una sesión gratuita por Internet sobre la inseguridad en iOS. No te lo pierdas! 
- Conferencia de You Are Where You Are: Charla de nuestro compañero Chema Alonso sobre la privacidad de nuestras vidas y las aplicaciones móviles.
Figura: You Are Where You Are
- Apple reconoce los problemas de iPhone 6 con Touch: A partir de ahora ofrece medidas y ayudas para reparar los problemas que estos terminales están sufriendo con Touch. 
- PosionTap: Un exploit en USB que roba de tu equipo todo lo que tengas en el navegador: Desde cookies, hasta inyectar iframe backdoors en el navegador para dejar troyanizado un equipo. Wow! 
- WordPress in Paranoid Mode: Nuevos papers publicados por ElevenPaths que muestran formas de configurar de manera mucho más robusta sistemas WordPress y cómo debería ser su arquitectura en el futuro.
Y esto ha sido todo, esperamos veros dentro de dos semanas en esta misma sección y cada día en los artículos que traemos en Seguridad Apple. Buen domingo y feliz entrada a Diciembre.

sábado, 26 de noviembre de 2016

Un iPhone 4 vuelve a la vida desde el fondo de un lago

Un hombre ha recuperado su iPhone 4 desde la parte inferior de un lago en Pensilvania. Además, el dispositivo funciona. La recuperación del dispositivo ha podido ser llevada a cabo gracias a un conjunto inusual de circunstancias. El hombre de Pensilvania ha informado que recuperó el iPhone 4 y que éste funciona, a pesar de perderlo en el fondo de un lago en marzo de 2015. El hombre de llama Michael Guntrum y dejó caer su dispositivo en un agujero de hielo cuando estaba pescando en el lago Kyle

Figura 1: Así salió el iPhone 4 del lago

El lago fue drenado en septiembre de 2015 debido a problemas estructurales con la presa. En octubre de 2016, Daniel Kalgren, descubrió el teléfono con su detector de metales mientras buscaba objetos que la gente podría haber abandonado. Se decía que el teléfono se encontraba a 6 pulgadas bajo el barro, pero protegido por un robusto maletín Otterbox. Kalgren llevó el terminal a su casa, dónde después de limpiarlo y ponerle arroz, el terminal se encendió dos días después. Kalgren contactó a Guntrum utilizando un número en el teléfono. Guntrum dijo que planeaba reparar el terminal para que su madre pudiera tener un smartphone.

Figura 2: iPhone 4 recuperado del lago Kyle funcionando

Un portavoz de Apple afirmó que la compañía escucha historias como ésta, en la que iPhone sobreviven a condiciones inusuales. El renacimiento del iPhone 4 de Guntrum es aún más inusual, ya que el iPhone 7 es el primer modelo de la marca que es resistente al agua, lo que hace pensar que la caja de Otterbox fue la que protegió completamente al dispositivo. Una noticia interesante la de la recuperación del iPhone 4 y cómo sobrevivió ante las adversidades.

viernes, 25 de noviembre de 2016

Módulo PAM para autenticar comandos de terminal con Touch ID

Es una noticia técnica muy interesante. Un desarrollador ha creado un nuevo módulo PAM, Pluggable Authentication Module, para poder autenticar la ejecución de comandos de terminal a través de la tecnología Touch ID. Esto es debido a la llegada del Touch ID al nuevo MacBook Pro, el cual cuenta con este tipo de sensor. Ahora es el momento de destapar el tarro de las esencias, y este desarrollador ya le ha encontrado una utilidad interesante. El desarrollador se llama Hamza Sood y ha creado el módulo PAM con el que para ejecutar el comando sudo, por ejemplo, deberemos poner nuestro dedo en el sensor y ser autenticados.

En el ejemplo que el desarrollador Hamza ha utilizado, se ejecuta el comando sudo desde una terminal y se necesita autenticar con Touch ID en dicho momento. Este ejemplo, puede ser extrapolado a otros comandos y acciones en el sistema. Esto agrega un nivel de seguridad al terminal, el cual requiere que el usuario escanee su huella utilizando el sensor antes de que se proceda a la ejecución del comando. El desarrollador también ha compartido instrucciones de instalación en Github, por lo que se puede probar, modificar y fortificar el uso de la terminal.

Figura 1: Instrucciones de instalación del nuevo módulo PAM

Al final se está agregando un nivel de seguridad a la terminal. Este hack solo está pensado para usuarios avanzados, ya que aún no hay un proceso de instalación automático, por lo que se debe instalar y configuración con cuidado. La idea es realmente interesante, la posibilidad de utilizar Touch ID en diferentes sitios, abre un montón de posibilidades a modo de 2FA.

jueves, 24 de noviembre de 2016

Vídeo extraño hace que el iPhone haga crash

En esta semana se ha destapado un curioso vídeo que hace el dispositivo de Apple se congele o haga crash. Este extraño error provoca que el dispositivo deje de responder. El fallo, el cual aún no se ha corregido, permite a cualquier persona enviar un enlace web con un vídeo MP4 al dispositivo destino. El vídeo de unos 3 segundos se reproduce en el navegador Safari del dispositivo destino, como se haría en una comunicación normal. Una vez el vídeo termina de reproducirse, el usuario nota que su dispositivo va cada vez más lento. Se vuelve tan lento que comienza a fallar.

Cuando el dispositivo está completamente congelado, ningún botón físico o en pantalla puede darle vida. La única solución para solventar el problema es restablecer el dispositivo pulsando el botón de encendido y de inicio. En el iPhone 7, el cual también se encuentra afectado por este error, los usuarios tienen que presionar y mantener presionalos los botones de encendido y volumen hacia abajo para restablecer los dispositivos. A continuación, os dejamos un video para que podáis ver el comportamiento de un dispositivo ante este vídeo.

Figura 1: No veas este vídeo

Curiosamente, esto no es un nuevo error, y al parecer existe desde los días de iOS 5, o incluso antes. La gente ha intentado ver el video MP4 en dispositivos con iOS 5 y obtuvo el mismo resultado. Muchos usuarios están utilizando el video para bromear con amigos, pero se recomienda no ejecutar el video, ya que no se conoce lo que está sucediendo detrás de dicho vídeo para que cause este comportamiento en el iPhone. Algunos usuarios indican que no solo se congeló el dispositivo, si no que también se calentó más de lo habitual. Apple estará trabajando en investigar esto y dar una solución pronto, seguramente en la próxima versión de iOS.

miércoles, 23 de noviembre de 2016

Nuevo ataque de phishing a los usuarios de Apple

Los Apple ID son elementos muy queridos por los scammers y siguen siendo objeto de deseo. Los usuarios de Apple vuelven a ser víctimas de smishing. Tener cuidado si recibís algún mensaje en estos días en el que, a través de un SMS, se envía un mensaje haciéndose pasar por iCloud, con un enlace en el que se indica que el Apple ID caduca hoy y que se debe actualizar. Al pinchar en el enlace, se te solicitará el Apple ID antiguo, y es realmente dónde se roba dicha información. Este tipo de ataques no son nuevos, pero suelen tener un gran impacto y un gran número de éxito entre las víctimas. 

La popularidad de Apple hace que el smishing oriente en un gran número de casos sus ataques buscando los Apple ID. En una campaña, se envían de forma masiva los mensajes, a modo de spam, a usuarios de dispositivos móviles con el enlace en el interior del SMS. La táctica del scammer es siempre similar. Buscar que la víctima haca clic en el enlace, el cual le lleva a una página falsa de login de Apple ID. No es la primera vez que hablamos de ataques de phishing para iPhone, ya que es más común de lo que muchos pueden pensar.

Figura 1: SMS Falso de iCloud

En la página de phishing, cuando la víctima introduce los valores de su Apple ID y contraseña, el atacante puede solicitarle los datos de la tarjeta de créidto y, en algunas ocasiones, más información personal. Los sitios de phishing pueden encontrarse en diferentes idiomas, ya que es fácilmente internacionalizable.

martes, 22 de noviembre de 2016

Bypass de passcode en iOS 10.2 con iPhone 7

Unos usuarios de iPhone han descubierto una forma con la que alguien puede tener acceso físico al dispositivo pudiendo ver los mensajes, las fotos o los contactos, incluso si el dispositivo se encuentra bloqueado con un código de acceso o passcode como si tiene configurado la protección del Touch ID. Más adelante os dejamos el vide demostrativo del fallo en una prueba de concepto. La demostración muestra el bypass del passcode sobre un dispositivo iPhone 7 que está utilizando un sistema operativo iOS 10.2 en su versión beta 3. Además, se muestra un iPhone 4 con un sistema operativo iOS 8, e inlcuso un iPad.

La demostración muestra como este fallo afecta a cualquier dispositivo que pueda recibir una llamada telefónica o una llamada de FaceTime. Esta no es la primera vez, ni seguramente la última, que los usuarios usuarios de iPhone han encontrado formas de saltarse el passcode y lograr ejecutar una funcionalidad del dispositivo o acceder a contenido del dispositivo. En Seguridad Apple hemos visto diferentes ejemplos, los cuales pueden ser encontrados, junto a otras técnicas, en el libro de Hacking de dispositivos iOS: iPhone & iPad


El truco se basa en utilizar Siri para activar la función de VoiceOver en el dispositivo, mientras el teléfono sigue bloqueado. Una vez que el dispositivo de destino recibe una llamada de teléfono o un FaceTime, y se rechaza la llamada, la función VoiceOver puede ser utilizada para obtener un comportamiento no deseado, permitiendo acceso a contactos, fotos y mensajes. Existe una forma sencilla de evitar que esto pueda ocurrir, tal y como se puede ver en la imagen.

Figura 2: Desactivar el acceso con pantalla bloqueada

Si no se puede utilizar Siri para activar VoiceOver desde la pantalla de bloqueo, este bypass no funcionará. Para deshabilitar el acceso a Siri en la pantalla de bloqueo podemos hacerlo desde la vista Ajustes - Siri. Ten en cuenta esto a la hora de configurar tu iPhone y protétete.

lunes, 21 de noviembre de 2016

Más información sobre seguridad en los navegadores Safari y Chrome en 2017

La evolución en el uso de los certificados en Internet y en cómo los navegadores interpretan estos y hacen llegar a los usuarios la información es de vital importancia para la seguridad de éstos. Cuando un navegador bloquea una conexión que debería ser segura, porque no lo es, es algo realmente bueno. El navegador está evitando que la información del usuario pudiera ser capturada por una tercera parte.

El cifrado web requiere que fabricantes de navegadores y sistemas operativos confíen en las CA, las cuales utilizar criptografía para que cuando un servidor web presente un certificado que le identifique, el navegador pueda verificar realmente esta información. Todo esto es parte de la red de confianza, y requiere que los navegadores, fabricantes de sistemas y CA actúen con integridad y transparencia. Algunas CA tienen problemas con la seguridad, por lo que Apple, Google y Mozilla deben eliminarlas como CA en la que confiar. Hay algunos casos de ejemplo en la historia como Comodo. En Abril de 2015, Apple no actuó rápidamente contra CCNIC, una CA China que parecía estar saltándose las políticas de seguridad. En este caso, Mozilla y Google actuaron rápidamente y quitaron la CA. Apple y Microsoft no hicieron nada. 

Figura 1: WoSign y el informe de Mozilla

Otro caso es el de septiembre de 2015. Mozilla descubrió que la CA WoSign tenía, lo que llamaron, un número de problemas técnicos y de gestión. WoSign tenía un problema que era la emisión de certificados firmados con SHA-1, el cual es un algoritmo de cifrado anticuado que las CA han acordado dejar de emitir. Esto es debido a que SHA-1 se considera roto. Existen más detalles en el informe que Mozilla presentó sobre este caso. Tras este reporte, y los intentos pobres de WoSign por convencer a Mozilla, fueron eliminados de la lista de confianza el 21 de Octubre.

Apple siguió el ejemplo de manera pública, colocando, incluso, algunos párrafos de texto en la parte superiro de su sitio web dónde se enumeraban los certificados raíz de confianza a principios de octubre. Google y Microsoft siguieron sus pasos. En Safari, Firefox y Chrome cuando se visita un sitio con un certificado firmado por WoSign o StartCom se genera una advertencia de seguridad. ¿Hacia dónde va esto? Cada año, los fabricantes de navegadores aumentan el tipo y naturaleza de las advertencias que muestran cuando se visita un sitio que está utilizando una seguridad ineficaz o mal configurada. 

Figura 2: Mensaje en Chrome

A partir de enero de 2017, Chrome comenzará a mostrar frases que indiquen al usuario que utilizar tráfico HTTP no es seguro y que no introduzca tarjetas de crédito o credenciales cuando se navegue por HTTP. Google planea pasar gradualmente a mostrar un triángulo de advertencia rojo y no seguro en todas las páginas sin cifrar. De forma transparente, Chrome redireccionará las solicitudes a una versión segura del sitio web si existiese.En Safari también habrá cambios. Los mensajes serán más impactantes y más claros, al estilo Chrome. El año 2017 puede ser el de la concienciación en el uso de certificados correctamente para los usuarios.

domingo, 20 de noviembre de 2016

Apple envía a iCloud los logs de las llamadas que haces en iPhone

Una firma de seguridad rusa ha puesto en duda la nobleza de Apple, en lo que a la privacidad del usuario se refiere. Según un informe publicado por la empresa, parece que Apple envía los registros o logs de las llamadas a iCloud, conservando así todo el historial de llamadas de todos los iPhone durante, al menos, 4 meses, por lo que es un objetivo fácil para la aplicación de la ley y la vigilancia. La firma Elcomsoft descubrió que mientras un usuario tenga habilitado iCloud, su historial de llamadas se sincroniza y se almacena

El registro incluye los números de teléfono, las fechas y la duración de las llamadas, incluso de las llamadas perdidas. El registro no cesa aquí, además, se registra las llamadas de Facetime, así como las llamadas de aplicaciones que utilizan la función "Historial de llamadas", como puede ser Facebook y WhatsApp, también serán almacenadas. Aparentemente, no hay forma de desactivar la función, ya que no hay alternancia para la sincronización de llamadas. Un portavoz de Apple comentó: "Ofrecemos la sincronización el historial de llamadas como una comodidad para nuestros clientes para que puedan devolver llamadas desde cualquiera de sus dispositivos". Además, añadió que los datos del dispositivo están cifrados con la contraseña de un usuario y el acceso a los datos de iCloud, las copias de seguridad requieren del Apple ID y la contraseña del usuario.

Figura 1: Registro de llamadas de iPhone

En el documento de seguridad que Apple proporciona sobre el sistema operativo, se define claramente qué información se recopila para las copias de seguridad de iCloud. Del mismo modo, en las pautas de proceso legal, Apple anota que los registros de invitaciones de Facetime pueden almacenarse hasta 30 días. Esto es lo que dice Apple, pero la realidad parece ser otra. A continuación, se muestra la información que iCloud respalda:
  • Información sobre música, películas, programas de TV, aplicaciones y libros comprados, pero no el contenido en sí.
  • Fotografías y vídeos. 
  • Contactos, eventos de calendario, recordatorios y notas. 
  • Configuración del dispositivo.
  • Datos de aplicación.
  • Archivos PDF y libros agregados a iBook
  • Historial de llamadas. Aquí es dónde queda reflejado que Apple informa de la sincronización de llamadas. 
  • Pantalla de inicio y organización de la aplicación iMessage.
  • Tonos de llamada.
  • Datos de HomeKit.
  • Datos de HealthKit.
  • Correo de voz visual.
Apple indica que la sicronización del historial de llamadas es intencional. El investigador Jonathan Zdziarski comentó que no cree que Apple esté haciendo nada extraño con la sincronización de llamadas, ya que claramente están siendo almacenadas con propósito de continuidad y de poder acceder a su historial de llamadas a través de dispositivos Apple, incluso después de restaurar desde una copia de seguridad. Sin embargo, Zdziarski enfatizó la necesidad de que Apple sea claro con sus usuarios sobre los datos que se recopilan y almacenan en iCloud. Apple no indica que los registros de llamadas se sincronizan con el respaldo de iCloud desactivado, mientras que los registros de Facetime parecer estar almacenados durante más tiempo que lo que se indica.

Apple recomienda a todos los clientes seleccionar contraseñas seguras y utilizar la doble autenticación para acceder a la cuenta. Cuando hay una funcionalidad como ésta, oculta, y que, aparentemente, no se puede deshabilitar, surgen las dudas. Un ex-agente del FBI y experto en informática forense, Robert Osgood indica que: "Esto es una ventaja para la aplicación de la ley. Cuatro meses es mucho tiempo para retener registros de llamadas. Generalmente son 30 o 60 días, por que no quieren tener más registros de lo que por ley tienen que hacerlo".

sábado, 19 de noviembre de 2016

Apple y los bancos australianos siguen con la guerra

La guerra entre Apple y las bancos australianos continúa. Este podía ser el titular de la noticia, y es cierto. Los tres bancos más importantes de Australia, como son Westpac, NAB y Commonwealth Bank, junto a Bendigo y Adelaide Bank, están presionando a la ACCC para unir fuerzas y presionar a Apple para que de acceso al chip NFC y ofrecer sus propias carteras móviles en iPhone.  

Apple ha vuelto a comentar que esta apertura de acceso NFC compromete la seguridad. Sin embargo, el viernes pasado los bancos rechazaron estas afirmaciones indicando que Apple no habría proporcionado ninguna evidencia de que esta apertura de la función NFC afectase a la seguridad del iPhone. Apple había citado casos en los que los dispositivos Android eran susceptibles de ataques a través de aplicaciones maliciosas que utilizaban el dispositivo como un lector NFC, dónde los atacantes podían obtener formas de pago de Samsung usados a través de MST. Los bancos indican que hay que distinguit entre problemas potenciales de seguridad que afectan a los dispositivos Android y la sugerencia de Apple de que esto sucede por abrir la función NFC. Según los bancos, ninguna de las afirmaciones sobre problemas de seguridad están directamente vinculadas con la funcionalidad NFC.

Figura 1: Apple pay

Los bancos indicando que cada uno de los ejemplos de Apple involucraba métodos de pago más antiguos y menos seguros, o detalle de la tarjeta almacenados en texto claro en servidores comerciales. El principal argumento de los bancos es que los pagos vía NFC presentan una menor preocupación por la seguridad que los pagos de gran valor realizados a través de los navegadores web. Además, comentaron que Apple no presenta argumentos creíbles, por lo que se debería abrir la función para que pueda ser utilizada por terceros. La guerrá sigue viva, pero la semana pasada Apple firmó un acuerdo con el proveedor de soluciones de pago Cuscal para llevar Apple Pay a 31 de los bancos más pequeños de Australia e instituciones financieras. Seguiremos atentos.

viernes, 18 de noviembre de 2016

Proteger tu cuenta de Amazon con Latch Cloud TOTP

Recientemente ha sido implementada una nueva funcionalidad en Latch para que los usuarios puedan proteger sus cuentas más utilizadas. Anteriormente se han realizado una serie de demostración sobre cómo proteger cuentas de Gmail, la cuenta de Facebook con Latch Cloud TOTP, la cuenta de Dropbox o la Microsoft Live con Latch y Cloud TOTP. Hoy llevaremos a cabo otra demostración, en este caso con una cuenta de Amazon. Para ello tendréis que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch).

En primer lugar, iniciamos sesión con nuestra cuenta de Amazon y accedemos al enlace Ajustes de Seguridad Avanzados. En la parte de Seguridad podemos dar con la opción 'Verificación en dos pasos'. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Amazon ofrece. En este caso nos centraremos en la de TOTP. Antes de comenzar con la configuración nos solicitarán de nuevo que hagamos uso de la contraseña de nuestra cuenta de Amazon para verificar que somos nosotros. Una vez introducida accederemos a los ajustes avanzados de seguridad, donde veremos la opción de comenzar.

Figura 1: Ajuste de seguridad avanzada

Tras pulsar sobre comenzar nos dará las dos opciones disponibles en Amazon para la obtención de los códigos de seguridad, en nuestro caso seleccionaremos Authenticator App, a continuación podremos observar un código QR, el cual escanearemos con nuestro Latch para añadir el servicio. Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.

Figura 2: Proteger con Cloud TOTP

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que escaneemos el código QR que Amazon nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Amazon con Latch.

Figura 3: Amazon preparado

En el caso de no tener asociado tu número de teléfono a tu cuenta Amazon tendrás que dar un paso intermedio más, este consiste en añadir un numero de contacto con el que verificar que la cuenta esta bajo tu control, podrás hacerlo mediante un código de confirmación que obtendrás vía SMS o llamada telefónica. Una vez introduzcas el código ya estarás listo para utilizar Latch. Ahora, nos dirigimos al login de Amazon e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Amazon y podremos utilizar nuestro Latch.

Figura 4: Indicar TOTP

En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio y generando tokens para la cuenta de Amazon que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.


Figura 5: Configuración de Latch Cloud TOTP en tu cuenta Amazon

No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura, sobre todo si estas están asociadas a nuestras tarjetas de crédito o cuentas bancarias. Las posibilidades que ofrece Latch Cloud TOTP son muy grandes, protege tus servicios y tus cuentas.

jueves, 17 de noviembre de 2016

Shazam no cierra el micrófono en tu macOS y lo oye todo

Han pasado 7 años desde que la aplicación Shazam llegó al mercado y sigue siendo una idea brillante. Solo con presionar un botón se puede saber el nombre de la canción que se está escuchando dónde estemos. El investigador Patrick Wardle, indicó que cuando Shazam no está en ejecución, éste sigue escuchando lo que decimos o se dice a nuestro alrededor. Esto es, claramente, algo que puede afectar a la privacidad de los usuarios. El investigador matizó que esto ocurre en los equipos Mac

Antes de levantar la voz al cielo, Wardle matizó sus indagaciones y afirmó que parece ser que Shazam no está haciendo nada malicioso con los datos que puede capturar, es decir, no se guardan, no se procesan o no se envían a sus servidores. Simplemente, sigue a la escucha en vez de cerrar el micrófono. Esto hace parecer que es un error de programación o de diseño de la aplicación, pero tampoco lo es. Shazam comentó que es intencionado, para que los usuarios no tengan que esperar varios segundos para que la música que se quiere adivinar sea procesada. 

Figura 1: Shazam en Mac

La excusa de Shazam es, cuanto menos, curiosa. El jefe de producto de Shazam, Fabio Santini, explicó que era, solamente, una opción que la compañía hizo en la versión para Mac, y sólo para dicha versión. Además, Santini comentó que, incluso si alguien se hiciera con dichos datos, no podría escuchar las conversaciones personales, ya que Shazam sólo muestra algunos puntos a lo largo de la onda de audio con el objetivo de crear una huella digital o fingerprint que coincida con otras huellas en la base de datos de música de la compañía. Los puntos, no pueden ser invertidos para reconstruir el audio original. Lo que está claro, es que abre una puerta o una motivación para los investigadores, ser capaces de invertir el proceso y poder reconstruir el audio. Seguiremos atentos a esta noticia.

miércoles, 16 de noviembre de 2016

Apple Safari fue hackeado en 20 segundos

En el Pwnfest celebrado en Seúl se juntaron algunos de los mejores hackers del mundo. Estos equipos que se concentraron en la ciudad de Korea del Sur tienen como objetivo hackear los principales navegadores y software de las principales compañías tecnológicas. Por ejemplo, Google Pixel fue hackeado en menos de 60 segundos por un equipo denominado Qihoo 360.

Demostraron la posibilidad de, mediante un exploit, conseguir ejecutar código remoto sobre Pixel. Como resultado, obtuvieron 120.000 dólares por el descubrimiento. Del mismo modo, el equipo de Pangu, junto al equipo de JH de China, logró hackear el navegador de Apple Safari en un macOS Sierra. El tiempo que les llevó a estos equipos fue de 20 segundos. Resultaron los primeros en obtener acceso root a la aplicación. Pangu también fue capaz de realizar Jailbreak sobre la última versión de iOS. Al parecer, los resultados del Pwnfest han sido muy buenos para los investigadores, y mejorables para los proveedores.


Figura 1: Ganadores del reto Apple Safari

El esfuerzo llevado a cabo por los distintos equipos, les ha permitido ganar más de 100.000 dólares. En cuando a Apple, Microsoft y Google se han embarcado en arreglar o solucionar estas vulnerabilidades tan pronto como sea posible, ya que potencialmente son vulnerabilidades que otros usuarios podrían aprovechar. Los detalles sobre los hackeos no se han hecho públicos, pero los propietarios de las plataformas y los vendedores han sido informado sobre ellos, ya que son vulnerabilidades potencialmente explotables si se descubren o se exponen públicamente.

martes, 15 de noviembre de 2016

Cómo empezar a usar Latch

Ya han pasado tres años desde que comenzamos la aventura de Latch. Estamos orgullosos de esta solución que protege tanto las identidades digitales como las acciones que podemos realizar o, incluso, la interacción con el mundo físico o en el IoT. Lo último en ser implementado en Latch es el TOTP con el que conseguimos una gran integración en los servicios más comunes: Facebook, Google, Gmail, Outlook, Amazon, cualquier sitio dónde haya verificación en dos pasos y tengamos posibilidad de utilizar un TOTP podremos utilizarlo con Latch

A lo largo de estos 3 años, hemos visto integrarse a Latch en multitud de sitios y es un orgullo para nosotros. Hoy queremos hacer un artículo para mostrar como puedes comenzar a utilizar Latch en tu vida digital y estar protegido tanto con el TOTP, como con el Latch original. En primer lugar, necesitarmos disponer de la aplicación móvil de Latch, la cual puedes encontrarla en Android, iOS, Windows Phone y BlackBerry

Crear tu cuenta de Latch y comenzar a usarlo

En segundo lugar, necesitas un correo electrónico para darte de alta en el área de desarrolladores de Latch. ¿Por qué? Lo necesitarás para poder iniciar sesión en la aplicación móvil de Latch. Además, recomendamos que dicha cuenta la protejas con un segundo factor de autenticación, como puede ser en este caso Latch Cloud TOTP. Por ejemplo, podemos utilizar una cuenta anónima con Gmail u Outlook.

Figura 1: Latch

El tercer paso sería el registro de la nueva cuenta de Latch. Una vez que se tiene la app instalada en el terminal móvil y la cuenta de correo creada, debemos ir a la aplicación de Latch y desde la pantalla de inicio deslizar y ver las diferentes características de Latch. En estas pantallas se detalla el proceso de pareado de cuentas y el uso de la nueva característica de Latch Cloud TOTP.

Figura 2: Ayuda y documentación en pantalla de inicio "Descubre Latch"

En el comienzo del proceso de registro, solo se te abrirá un formulario con los campos que se pueden ver más adelante. No se pide ningún dato personal, por lo que podemos decir que el proceso es totalmente anónimo. Solo se necesitará la cuenta de correo creada en el paso anterior, la contraseña y el nombre con el que quieres que te indiquemos notificaciones.

Figura 3: Datos solicitados para la creación de cuenta de Latch

El último paso es la activación de la cuenta. Cuando se pulsa sobre el botón de "Registrarme", se enviará un correo electrónico al buzón creado previamente. En él, se encontrará un enlace con un token único con el que podremos completar el proceso de activación de cuenta. En este instante ya tenemos creada y activa la cuenta de Latch. En el siguiente vídeo, podemos ver un ejemplo de pareo de cuentas que podemos realizar ahora.


¿Qué hacer ahora? Cualquier servicio que utilice Latch puede ser pareado, pero además, podemos fortifica nuestras cuentas de Gmail, Outlook, Facebook, Amazon, etcétera con el Cloud TOTP que implementamos. No esperes más y fortifica tus servicios del día. 

lunes, 14 de noviembre de 2016

La actualización a macOS Sierra te deja sin la protección de Prey

La aplicación Prey es una de las más utilizadas y famosas para evitar el robo de información, cuando nos roban un dispositivo. En otras palabras, es una herramienta anti-robo que ha funcionado en el mercado de los dispositivos móviles y no tan móviles, como portátiles. La herramienta permite localizar tus dispositivos o saber quién está utilizando tu dispositivo robado y poder recuperar la información y el dispositivo que es tuyo. En Seguridad Apple hemos encontrado diversas noticias relacionadas con el robo de dispositivos, hay que recordar la de Priceless y el robo de un portátil

La noticia de hoy es que Prey para los usuarios que han instalado macOS Sierra tiene una serie de problemas que hacen que no funcione correctamente, por lo que pensando que estáis protegidos, podéis no estarlo. Los propietarios de la herramienta han informado que los cambios que Apple ha realizado en el sistema han provocado que versiones instaladas de Prey dejen de funcionar como debieran. Por esta razón, han indicado que se debe instalar una pequeña actualización de Prey o directamente descargar la última versión. 

Figura 1: Prey y los problemas con macOS Sierra 10.12

En Github se puede leer un issue dónde hay usuarios que hablan que en Junio, al instalar la beta de macOS Sierra, su Prey dejaba de conectarse. El problema ha llegado hasta nuestros días, y Prey ha comunicado que la instalación desde su sitio web arreglará el problema. El problema radica en el usuario "oculto" que Prey creaba en la máquina, el cual era eliminado en el proceso de upgrading del sistema operativo.

domingo, 13 de noviembre de 2016

Fue Noticia en Seguridad Apple: del 31 de Octubre al 13 de Noviembre

Noviembre es un mes que, aparte del frío, trae consigo interesantes novedades en lo que respecta a la seguridad informática. Por ello, en Seguridad Apple no queremos quedarnos a la zaga, y os ofrecemos, como cada quince días, nuestro Fue Noticia, el mejor resumen de lo acontecido en este particular mundo, así como una selección de contenidos de otras renombradas webs.

Comenzamos el lunes 31 explicando por qué la Touchbar de los nuevos MacBook Pro no es una idea tan rompedora como puede parecer, ya que Microsoft estuvo investigando el concepto durante años.

El martes os hablamos de cómo el cifrado extremo a extremo y otras características del HomeKit de Apple impidieron que este dispositivo fuese empleado para el ataque DDoS de la semana pasada.

A mitad de semana os hablamos de la nueva versión de Latch, y como ahora es posible proteger las cuentas de Google y Gmail mediante Latch Cloud TOTP.


Figura 1: Cómo configurar Latch Cloud TOTP en Google & Gmail

El día 3 os explicamos por qué el protocolo Call Relay de Apple presenta vulnerabilidades que lo convierten en una herramienta perfecta para el ciberespionaje.

Un día después os resumimos las novedades de la actualización iOS 10.1.1, que entre otras cosas soluciona un pequeño bug que afectaba a su aplicación Health.

El sábado os contamos cómo el equipo de Google Project Zero aprovechó el día de Halloween para publicar tres vulnerabilidades que afectaban a macOS Sierra.

Cerramos la semana hablando de Little Flocker, una aplicación de seguridad para macOS cuya finalidad es monitorizar todo lo que toques en el sistema y prevenir así accesos no autorizados a archivos.

El lunes os mostramos el nuevo jailbreak para iOS 10.1 y 10.1.1 en iOS 7, presentando por el investigador @ijapija00.

Un día después nos hicimos eco de la retirada por parte de Apple de varias aplicaciones fraudulentas de la AppStore.

El miércoles os hablamos de BlockBlock, una aplicación de Objective-See similar a Little Flocker que monitoriza el sistema del usuario en busca de daemons sospechosos.

El jueves 10 anunciamos una nueva edición del Latch Plugin Contest, el concurso de desarrollo de hacks de Latch con el que es posible ganar hasta 5000 dólares.

El día 11 nos centramos en una noticia asombrosa, la reaparición tras más de 8 años de la vulnerabilidad de Click To Call, esta vez en iOS 10.

Por último, ayer hablamos de cómo sacar partido a Diagnóstico Inalámbrico en macOS para analizar las redes Wi-Fi de tu entorno.

Hasta aquí todo lo publicado en Seguridad Apple, pero como de costumbre, os traemos una lista de lo publicado en otros blogs y medios.
- La Inteligencia Artificial y la Ética del Ratón: Nuestro compañero Chema Alonso reflexiona sobre si se deben tener principios éticos a los que someter la construcción de los nuevos sistemas basados inteligencia artificial que vienen a nuestra sociedad. 
- Certificate Transparency "El qué, el cómo y el porqué": Se avecina la llegada de Certificate Transparency, y nuestro compañero Sergio de los Santos hace un recorrido a la tecnología para explicarla en detalle. 
- El Big Data apuntaba a Donald Trump: Nuestros compañeros de LUCA, haciendo uso de las tecnologías de BigData y Sinfonier, hicieron un experimento el día de las elecciones de Estados Unidos. Con unas bombillas Phillips Hue visualizaron con BigData lo que las encuestas no vieron. 
- Configurar Latch Cloud TOTP en SSH: En la Comunidad de ElevenPaths (donde somos más de 750 ya)  nuestro compañero Diego Espitia configuró la opción de proteger un servidor SSH con el nuevo Latch Cloud TOTP. 
- Software Defined Radio: El próximo jueves por la tarde tendrás una sesión gratuita online para aprender cómo funciona la tecnología SDR-RTL y cómo puede ser utilizada para realizar ataques a redes de comunicaciones con tecnologías RF. 
- Cómo proteger tu cuenta Facebook con Latch Cloud TOTP: Los ataques a las cuentas Facebook no paran, así que configurar un segundo factor de autenticación es una buena medida de protección. En este vídeo tienes cómo configurar Latch Cloud TOTP en tu cuenta Facebook. 
- SPADE: En este artículo, nuestros compañeros explican como Spade permite crear un backdoor para sistemas operativos Android en menos de dos minutos. 
- Cómo cambiarte de Chrome a otro navegador cómodamente: en este artículo, nuestros compañeros de Blog ThinkBig nos explican cómo puedes pasar a otro navegador de Internet y no extrañar tus extensiones de Google Chrome. 
- Google señala a Apple: En iOS 39 de las 39 apps pre-instaladas en iOS son de Apple, mientras que en Windows Phone y Android no sucede lo mismo. Ojo al argumento de Google. 
- Cómo proteger tu cuenta de Microsoft Live/Hotmail: Aquí tenéis otro ejemplo de cómo configurar Latch Cloud TOTP para proteger tu cuenta de Microsoft Live y cómo usar las application passwords para mejorar la usabilidad.
Y esto ha sido todo por hoy. Esperamos veros dentro de dos semanas en esta misma sección y cada día en los artículos que publicamos en Seguridad Apple. Buen domingo para todos.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares