Menú principal

lunes, 31 de octubre de 2016

Hardware Adaptative: La Touch Bar de Apple no es tan nueva como parece

Apple ha presentado los nuevos MacBook Pro con la nueva barra inteligente incorporada en el teclado. Una nueva forma de interactuar con el sistema, pero quizá no sea tan nueva como Apple puede hacernos creer. Apple ha denominado a su Touch Bar como algo revolucionario, una de las grandes nuevas ideas que aparecen en el nuevo equipo. Microsoft ha replicado recordando algunos inventos del grupo conocido como Microsoft Applied Sciences

El grupo de Microsoft Applied Sciences estuvo interesado en este concepto durante más de una década. La idea que han perseguido es que los dispositivos de entrada pueden cambiar visualmente, e incluso físicamente, en función del contexto en el que se encontrara el usuario. Esto fue denominado hardware adaptative. En el año 1999, el concepto nació. Un teclado que podía hacer que las teclas o funciones cambiarán en función del contexto.

Figura 1: Año 1999 nace el concepto

Hay varios prototipos de teclados adaptativos, pero quizá los más parecidos a lo que Apple ha presentado fue el de 2007 y el de 2010, quizá sobretodo el último. Como se puede ver en el siguiente vídeo, en el año 2010 el teclado realizaba las mismas funciones que la nueva funcionalidad Touch Bar.


Como se puede ver, el teclado con la pantalla embebida se puede interactuar con el sistema operativo, incluso visualizar imágenes a través del display incorporado en el teclado. En este caso no ocurrirá como en el caso de la persona que decía que había inventado el iPhone en el año 1992 y demandó a Apple por ello. La idea es antigua y Apple ha decidido retomarla y darle ese toque tan peculiar que ellos saben darle. Bienvenida touch bar.

domingo, 30 de octubre de 2016

Fue Noticia en Seguridad Apple: del 17 al 30 de Octubre

Octubre llega a su fin, y ha sido un mes realmente movido en el mundo de la seguridad informática. Por eso, para que no te pierdas nada, en Seguridad Apple te ofrecemos un nuevo Fue Noticia, con el mejor resumen de lo acontecido en las últimas dos semanas, junto con una selección de artículos que han sido publicados en otros sitios webs y blogs de referencia. Por supuesto, os deseamos que hoy disfrutéis preparando vuestro disfraz para la Noche de Halloween que se nos viene encima.

Arrancamos el lunes 17 anunciando el evento Data-Driven Decisions. Let your data speak, donde se presentará la nueva unidad Big Data B2B de Telefónica.

El martes os ofrecimos una pequeña guía sobre cómo actuar cuando Facebook asegura que tu equipo ha sido infectado con malware, para que sepas qué debes hacer en esos momentos.

A mitad de semana os advertimos de la nueva técnica indetectable de espionaje por webcam que ha publicado el famoso hacker ex-NSA Patrick Wardle.

El jueves 20 os explicamos cómo Apple almacena gran cantidad de información sobre tus iMessage y los puede compartir con la policía en caso de necesidad.

El viernes nos hicimos eco de la reclamación de la banca australiana a Apple para que proporcione acceso a la funcionalidad NFC, como hacen otras plataformas como Android o Windows.

El día 22 os contamos la historia de cómo un grupo de hombres y mujeres encapuchados fueron capaces de robar 19 iPhones de una Apple Store en Natick, en el estado de Massachusetts.

Cerramos el fin de semana con un compendio de nueve tips para hacer de tu iPhone un dispositivo más seguro frente a ataques de hacking.

El lunes 24 os presentamos EggShell. una nueva herramienta desarrollada en Python que te permite vigilar tu macOS o tu iOS con jailbreak.

Un día después os contamos las novedades de las nuevas actualizaciones de Apple, macOS Sierra 10.12.1, iOS 10.1, WatchOS 3.1 y Safari 10.0.1.

El miércoles os hablamos de un informe de Panda Labs en el que se identifican más de 2000 muestras de malware para Apple, incluyendo iOS y OSX/maccOS. Además, os presentamos una nueva sesión de las ElevenPaths Talks, con Jorge Rivera hablando de cifrado asimétrico en IoT.

El día 27 os mostramos la segunda edición del libro Hacking de dispositivos iOS: iPhone & iPad, de la editorial 0xWord.

Este viernes os hablamos de uno de los bugs solucionados por iOS 10.1 que permitía tomar el control total de un iPhone por medio de un fichero JPEG malicioso, algo que nos recuerda la importancia de parchear cuando antes nuestro iOS.

Por último, ayer sábado la noticia fue para las actualizaciones de Apple iTunes, iCloud para Windows y XCode, que también han solucionado bugs de seguridad.

Hasta aquí lo publicado en Seguridad Apple, pero como es costumbre, os complementamos el resumen con noticas de otros blogs, esta es la selección que os traemos para hoy.
- Chema Alonso, el Hacker que llegó al Comité Ejecutivo: Noticia en El Espectador de Colombia con una entrevista a nuestro compañero durante su visita a este país. 
- Nuevo bug en iPhone 6S: Ha sido descubierta en el concurso Pwn2Own donde iPhone 6S ha sido uno de los dispositivos hackeados. 
- Latch ahora incorpora Cloud TOTP: Con esta opción, se podrá controlar la seguridad TOTP de servicios como Facebook. DropBox, Google o Hotmail gestionando los tokens TOTP desde Latch. 
- Vídeos de la DefCON 24: Nuestros amigos de Cyberhades han recopilado todos los vídeos de las conferencias DefCON 24 para que puedas disfrutarlas a gusto. 
- Telefónica lanza LUCA: La nueva unidad Big Data B2B que ha puesto en circulación Telefónica para ayudar a las empresas a convertirse en Data-Driven Compannies. 

Figura 1: Chema Alonso en el lanzamiento de LUCA
- Gana hasta 8.000 USD haciendo unos hacks con Latch: Tercera edición del concurso de plugins de Latch con el que puedes ganar una buena cantidad de dinero por los hacks de integración de Latch.  
- Telefónica entra en Data Republica: La iniciativa firmada a través de LUCA se firma para fomentar el desarrollo sostenible de las sociedades por medio del análisis de los datos.
Y hasta aquí por hoy, que ya hay que empezar a preparar los disfraces de monstruos para la fiesta de mañana. Feliz domingo.

sábado, 29 de octubre de 2016

Actualizaciones de iTunes, iCloud para Windows y de XCode

Apple ha liberado más actualizaciones, y es que esta semana habíamos comenzado con un pack de actualizaciones para iOS, macOS, WatchOS y Safari. En esta ocasión, le toca el turno a iTunes para Windows, iCloud para Windows y XCode. Es importante que si eres usuario de este tipo de aplicaciones actualices lo antes posible, ya que estás exponiendo tu sistema a una serie de vulnerabilidades a tener en cuenta. 

iTunes para Windows llega a su versión 12.5.2 y parchea un par de bugs de seguridad, de las cuales una provocaba la ejecución de código arbitrario exponiendo al sistema a la toma de control por parte de un potencial atacante. La versión de iCloud para Windows llega a su versión 6.0.1 y también solventa un par de vulnerabilidades, de las cuales una permite la ejecución de código por parte de un atacante. Las fallas de seguridad de iTunes e iCloud son las mismas.

Figura 1: iTunes 12.5.2 liberado arreglando 2 vulnerabilidades

Por último, Apple ha liberado una nueva versión del framework XCode, publicando la versión 8.1 de éste. En esta versión se parchean 10 vulnerabilidades que afectaban a la herramienta y que permitía en todas ejecutar código arbitrario, por lo que podemos entender que la actualización es bastante importante o crítica. Desde Seguridad Apple recomendamos que actualices ya las diferentes herramientas, ya que nunca se sabe por dónde puede venir la amenaza.

viernes, 28 de octubre de 2016

Apple parchea un bug explotable mediante un JPEG malicioso

El pasado lunes Apple lanzó una serie de actualizaciones, entre ellas la de iOS que llega a su versión 10.1. Esta actualización es urgente, ya que se ha descubierto que el CVE-2016-4673 es una vulnerabilidad crítica, la cual puede provocar que un atacante ejecute código arbitrario a través de la apertura en tu dispositivo de una imagen JPEG maliciosa o un fichero en formato PDF. Una acción tan simple como mirar una imagen JPEG puede provocar el hackeo del dispositivo, por lo que hay que tener esto muy en cuenta y actualizar lo antes posible, si no se ha realizado ya la actualización a iOS 10.1.

Analizando la lista de vulnerabilidades corregidas con la versión 10.1 de iOS, nos encontramos con la de ejecución de código remota en el WebKit a través de la imagen maliciosa creada y que es enviada a las potenciales víctimas. Es importante entender que un atacante puede hacernos llegar una imagen o documento PDF de múltiples formas, por lo que sería realmente difícil parar este tipo de amenaza. La única solución es que actualicemos a la versión dónde se corrige esta gran amenaza que sufre el sistema operativo.

Figura 1: Actualización de iOS 10.1

Seguiremos atentos a las posibles novedades o campañas de malware que puedan utilizar este tipo de vulnerabilidades para aprovecharse y tomar control de los dispositivos remotos. La recomendación es clara, actualiza ya a la nueva versión de iOS 10.1 y cierra una de las puertas más peligrosas del sistema operativo hoy día.

jueves, 27 de octubre de 2016

Hacking de dispositivos iOS: iPhone & iPad 2ª Edición

La editorial 0xWord ha publicado la segunda edición de Hacking de dispositivos iOS. Con más de 9 años entre nosotros iOS se ha convertido en uno de los sistemas operativos más utilizados, más observados y  más investigados del mundo. Además, iOS ha alcanzado un estado de robustez y madurez interesante para los sistemas operativos, pero siguen saliendo errores que pueden provocar grandes pérdidas al usuario o afectar de manera importante a su privacidad. 

No es un sistema 100% seguro, ya que esto no existe, y en el libro se puede encontrar ataques en distintos ámbitos contra el sistema operativo a lo largo de su evolución. ¿Qué podrás ver en este libro? Desde ataques locales con acceso al dispositivo, pasando por diferentes vías de realizar Jailbreak, guiado por las diferentes versiones del sistema operativo, conocer debilidades de los backup realizados con iTunes o iCloud, estudio de la arquitectura de seguridad interna de iOS, parte que es muy interesante conocer el Data Protection, forense, malware, ingeniería social, ataques en el lugar del cliente, ataques en redes móviles y wireless. Son solo unos ejemplos de la gran temática que compone este libro.

Figura 1: Hacking de dispositivos iOS - 2ª Edición (Ampliada y Revisada)

El libro hace una revisón por las primeras versiones de iOS hasta llegar al flamante iOS 10. ¿Cómo atacarías un sistema iOS? Conoce, descubre y profundiza en el mundo de iOS de la mano de nuestros compañeros Chema Alonso, Pablo González, Ioseba Palop y Alejandro Ramos, y del resto de grandes profesionales que han participado en el libro David Barroso, Juan Garrido, Igor Lukic, José Selvi, David Pérez, José Picó y Juan M. Aguayo. Prepárate para un viaje por las entrañas de uno de los sistemas operativos estrella en el ámbito de los dispositivos móviles. Conoce sus fortalezas y sus debilidades. La nueva pareja de iOS 10 e iPhone 7 se encuentra contenido en el libro. ¿Estás preparado?

miércoles, 26 de octubre de 2016

ElevenPaths Talks: Cifrado asimétrico en IoT

La segunda temporada de Eleven Paths Talks sigue adelante y estamos en la recta final. Hoy, jueves 27 de Octubre, nuestro compañero Jorge Rivera hablará de un tema interesante en el mundo del Internet of Things y es el cifrado asimétrico. El cifrado es uno de los mecanismos más importantes para proteger nuestra información y comunicaciones, por lo que es algo vital en la seguridad de IoT

En la charla, Jorge mostrará nuevas facetas del cifrado en el mundo IoT, viendo la proliferación de dispositivos y plataformas que están saliendo. Como sabemos no siempre la aparición de este tipo de servicios o dispositivos viene acompañada de una configuración o una implementación de seguridad adecuada, por ello, Jorge nos explicará posibilidades con el cifrado asimétrico. La charla será a las 15.30, horario de España, y estará disponible en nuestro canal de Youtube al finalizar la semana. 

Figura 1: ElevenPaths Talks - Cifrado asimétrico en IoT

No te pierdas la charla de Jorge, puedes visualizarla en directo a través de hangouts. Será impartida en castellano. Si quieres ahondar más sobre el tema de IoT y la seguridad pásate por nuestra comunidad, donde nuestros compañeros hablan sobre este tema y otros de mucho interés en el mundo de la seguridad. Para consultar el calendario de talks que quedan por venir, puedes acerlo en nuestro sitio web para ello. Recuerda, hoy, jueves, tienes una cita con Jorge Rivera y Eleven Paths Talks.

El malware para Apple (iOS & OSX/macOS) existe: Un resumen de las más de 2.000 muestras descubiertas

En los últimos cuatro años los virus que atacan a sistemasoperativos Apple, ya sea en sus versiones móvil (iOS) o versiones para ordenador (OS X) se han cuadruplicado, esto se debe principalmente al gran incremento de clientes de estos sistemas, ya que aumenta también el número de posibles víctimas frente a un ataque con malware. El director de Panda Labs advierte sobre el rápido aumento de estos virus, que en algunos casos pueden ser detectados debido a un funcionameinto excesivamente lento del dispositivo infectado o un consumo elevado de la CPU y memoria.

Los antivirus nos ayudan a estar más seguros, pero no pueden protegernos de todo, lo mejor que puedes hacer para proteger tu equipo es evitar realizar descargas de sitios web no oficiales y evitar el jailbreak, si no conoces los riesgos de seguridad que esto supone para tu dispositivo, ya que las probabilidades de encontrar malware crecen. A continuación mencionaremos algunos de los malwares más destacados: 

Figura 1: Wirelurker, uno de los más temidos

A continuación os dejamos el listado resumen de los malware más importantes de los últimos años en el mundo de Apple:
  • Wirelurker. Este malware se transfiere via usb y es capaz de instalar apps maliciosas con el mismo aspecto que las del AppStore con el fin de secueatrar dispositivos y obtener claves.
  • KeRanger. Este ransomware secuestra dispositivos Apple cortando el acceso a todo tipo de datos pidiendo un rescate por ellos.
  • Codgost. Es un troyano diseñado para robar información de dispositivos Mac.
  • CoinThief. Otro troyano para Mac OS X que infecta equipos instalando complementos maliciosos en el navegador, es capaz de robar bitcoins a la victima y a terceros.
  • MacVX.  Es un complemento para navegadores o adware que ayuda a ver videos con mayor calidad y velocidad, sin embargo inunda al navegador con publicidad maliciosa.
  • Yontoo. Esta extensión se instala en tu navegador e inyecta publicidad maliciosa. Se presenta como una alternativa para descargar vídeos YouTube rápidamente.
  • iWorm Este malware instala una “puerta trasera” facilitando la obtención de datos a algunas aplicaciones maliciosas, sin embargo es más utilizado para realizar ataques DDoS.
  • Janicab. Es un malware que saca “pantallazos” y graba audio de lo que plataformas de vídeo. De este modo, se hace con contraseñas para realizar ataques DoS a otras webs.secuestrar datos personales, o emitir publicidad de forma ilegal.
  • LaoShu. Este malware consiste en un mail falso de una empresa de mensajería en la que avisan de que no han podido entregarte un paquete, al pinchar en el enlace se accede a una página que identifica y se apodera de tu sistema operativo.
  • MacInstaller Es una de las estafas más antiguas para usuarios de Mac, mediante publicidad te informan de que tu ordenador está infectado y ofrece un supuesto software “antivirus” gratis llamado “Mac Defender”, Sin embargo, se trata de un malware capaz de obtener la información de tus tarjetas de crédito o secuestrar el email y redes sociales.
Estos son solo algunos de los códigos maliciosos mas peligrosos descubiertos para los sistemas operativos Apple, sin embargo ya han sido descubiertos mas de 2200 tipos de malware en los últimos años.

martes, 25 de octubre de 2016

Actualizaciones en Apple: macOS Sierra 10.12.1, iOS 10.1, WatchOS 3.1 y Safari 10.0.1

Apple ha liberado un pack de actualizaciones para sus productos y tenemos disponible la nueva versión de macOS Sierra, que es la 10.12.1. Además, se ha publicado la nueva, y esperada, versión del sistema operativo para dispositivos móviles iOS 10.1. Para complementar el pack de actualizaciones, Apple ha publicado la actualización del sistema operativo del reloj inteligente y la actualización del navegador Safari.

En esta ocasión Apple ha tapado 15 vulnerabilidades con la publicación de la nueva versión del sistema operativo, de las cuales más de la mitad permitía ejecutar código en la máquina vulnerable. En algunos casos, incluso, permitía ejecutar código con privilegios, por lo que hablábamos de una escalada de privilegio, al más puro estilo dirtyCOW

Figura 1: Publicación de macOS Sierra 10.12.1

Respecto a iOS 10.1, tenemos que indicar que ha sido liberado para parchear 12 vulnerabilidades. De estas 12 vulnerabilidades, 4 permitían ejecutar código arbitrario, por lo que comprometía bastante la seguridad del terminal. Además, iOS presenta nuevos fixes para mejorar la estabilidad del sistema y la mejora de algunos protocolos como es la implementación de Bluetooth.

Figura 2: iOS 10.1 liberado con parche para 12 vulnerabilidades

Por último, tenemos que indicar que Watch OS 3.1 ha sido liberado para parchear 8 vulnerabilidades conocidas. 3 de estas vulnerabilidades permitían ejecutar código. Además, Safari llega a su versión 10.0.1, con una pequeña actualización que parchea 3 vulnerabilidades, de las cuales 2 permitían la ejecución de código, mientras que la otra permitía que el usuario pudiera perder información sensible en el contexto del navegador. Como podemos ver, Apple se ha puesto las pilas y ha liberado un pack de actualizaciones con una gran cantidad de parches. Manténte actualizado e instala las actualizaciones hoy mismo. Los equipos de IT tienen trabajo.

lunes, 24 de octubre de 2016

EggShell: Te permite vigilar tu macOS o tu iOS con Jailbreak

Una nueva herramienta de vigilancia está dando que hablar, ya que permite a cualquier persona espiar un entorno macOS o iOS con Jailbreak. La herramienta denominada EggShell, y disponible en su Github, está diseñada como una herramienta de prueba de concepto para los aficionados al lenguaje Python. Se trata de una herramienta de línea de comandos que crea de forma rápida y ágil una conexión cifrada de extremo a extremo entre el servidor, que será la propia herramienta, y el dispositivo.

En la web del desarrollador Lucas Jackson, se puede encontrar información sobre cómo funciona la herramienta y cómo configurarla. La herramienta genera un payload, el cual lleva el código que debemos ejecutar en nuestro macOS o nuestro iOS con Jailbreak. Tiene un parecido bastante grande con una Meterpreter. Una vez que la conexion se realiza con éxito, los usuarios pueden realizar una serie de operaciones en el dispositivo 'vigilado'. Se podría escuchar a través del micrófono, espiar a través de la webcam, capturar pulsaciones de teclado, descargar archivos, ejecutar comandos y muchas más operaciones.

Figura 1: EggShell a la escucha en el puerto 4444

Además, EggShell dispone de una versión Pro, la cual puede ser adquirida a través de Cydia. Esta versión amplia la funcionalidad, permitiendo al usuario bloquear el dispositivo, simular el botón de incio, reproducir música, registrar entradas de código de acceso o passcode, etcétera. Herramienta destinada a la vigilancia o la troyanización, dependerá siempre del uso que se le quiera dar.

domingo, 23 de octubre de 2016

9 Tips para proteger tu iPhone frente a ataques de hacking

Con Apple y el FBI en la lucha para hackear un iPhone la gente cada vez está más pendiente de cómo proteger sus terminales frente a posibles ataques, a continuación veremos una serie de trucos que la gente de Macworld ha plasmado en una guía y nos recomienda hacer para aumentar la seguridad de nuestros terminales iPhone o iPad frente a cualquier posible atacante. Aquí va una pequeña lista, pero como te puedes imaginar hay muchas más opciones a tener en cuenta.

El primer consejos del que hablaremos es muy sencillo, consiste en mantener nuestro iPhone actualizado con la  última versión de iOS (incluyendo las pequeñas actualizaciones) ya que es la manera que tiene Apple para parchear brechas de seguridad que puedan ser aprovechadas por algunos hackers. Otra sugerencia para proteger tu dispositivo es la activación de Find my iPhone, esta app viene instalada por defecto en nuestros iPhones desde iOS9. En el caso de extraviar nuestro iPhone nos permitirá flashearlo de manera remota desde otro dispositivo con la app o desde la web, eliminando así nuestros datos o información personal. 

Lo más común a la hora de desbloquear un iPhone es encontrarnos con un pin de 4 dígitos, si este método no te parece lo suficiente seguro podrás aumentar la longitud de tu contraseña a 6 dígitos o bien usar una contraseña de alfanumérica, encontrarás esta función en la sección Touch ID y contraseña en los ajustes de seguridad.  

Figura 1: PIN de 6 digitos

Otra alternativa menos común es la activación automática del flasheo del dispositivo si se introduce mal el pin 10 veces seguidas. Esta opción es bastante segura, pero se han dado casos de gente que ha borrado todos sus datos por error (comúnmente bajo los efectos del alcohol). Para evitar perder tus datos por error puedes activar el backup de iCloud, permitiéndote conservar la información en la nube. Si recibes un enlace desconocido o extraño vía email o web no abrirlo podría evitarte unos cuantos problemas, estos links pueden ser muy parecidos links de páginas oficiales, y comúnmente son utilizados para obtener información y claves de cuentas de correo.

Otro tip muy sencillo consiste en gestionar los permisos que muchas apps solicitan, ya que hay aplicaciones que pueden funcionar correctamente sin tener permiso para utilizar el micrófono o la cámara, puedes llevar esta gestión en la sección de ajustes o por medio de algunas aplicaciones disponibles en el AppStore. Siri, el asistente personal de Apple nos proporciona una alternativa para controlar el dispositivo en modo manos libres, el principal problema surge cuando se activa Siri por error desde la pantalla de bloqueo ya que en algunos casos ha logrado desbloquear el dispositivo sin utilizar la contraseña. Este problema se puede solucionar desde los ajustes.

Figura 2: Siri escuchando

Lo mismo se puede decir de la función autocompletar de Apple, esta función te permite almacenar información personal y contraseñas para no tener que introducirlos al iniciar sesión en algunas de tus cuentas, esto podría provocar que alguien con acceso a tu iPhone pudiese hacerse con tus contraseñas y códigos de seguridad. Como ya sabréis, durante los últimos años se han publicado fotos comprometidas de algunos famosos en la red, las cuales han sido obtenidas de sus cuentas de iCloud. Esto no quiere decir que el hardware de Apple sea inseguro, de hecho podemos afirmar todo lo contrario, pero nunca se está libre de peligro. 

sábado, 22 de octubre de 2016

Roban 19 iPhone de una Apple Store a la carrera

No es la primera vez que hablamos de robos en Seguridad Apple, y es que en el año 2015 hablábamos de como bajaba el porcentaje de robos de iPhone en ciudades como San Francisco o Nueva York debido a la implantación del Activation Lock. La noticia de hoy está relacionada con los robos de dispositivos de Apple, debido a lo llamativos que siguen siendo para los ladrones. 7 personas entraron en una tienda de Apple en Natick, cortaron las cuerdas de seguridad de 19 dispositivos iPhone y se llevaron los dispositivos. 

El grupo, formado por hombres y mujeres, llevaban gorras para ocultar sus rostro cuando entraron en el centro comcerical de Natick. Se dirigieron directamente a la tienda de Apple y estuvieron merodeando alrededor de los dispositivos. De forma 'orquestada' estos individuos cortaron las cuerdas que protegen los dispositivos y salieron de la tienda a la carrera con 19 iPhone. Los agentes de policía en Natick comentó que el grupo huyó hacia el este y, a pesar de realizar una extensa búsqueda no habían sido localizados.

Figura 1: Robo de los iPhone

Los iPhone que han robado tienen un valor superior a 13.000 dólares, según fuentes policiales. Un incidente similar ocurrió en la tienda de Apple en Derby Street Shoppes en Hingham el pasado septiembre, dónde una docena de adolescentes entraron en la tienda y robaron 22 teléfonos. La policía sigue investigano el hecho e indican que ambos incidentes podrían tener algún tipo de conexión. Estaremos atentos a posibles nuevos incidentes.

viernes, 21 de octubre de 2016

Los bancos australianos responden a Apple

Ya hemos hablado sobre el caso de los bancos australianos y Apple, y conocemos que las posturas no están para nada cercanas. Los bancos de Australia han acusado a Apple de hacer unas declaraciones y justificaciones completamente infundadas. Los bancos contradicen la posición de Apple, el cual dice que permitir el acceso de terceros a la tecnología NFC comprometería la seguridad de los usuarios. 

Los bancos siguen reclamando a Apple que proporcione acceso a la funcionalidad NFC. Siguen indicando que otras plataformas como Android, Windows o BlackBerry proporcionan acceso a su NFC. Los bancos indican que no hay evidencias de que Android Pay o Samsung Pay sean aplicaciones de pago móvil no seguras. En agosto, Apple habló con los bancos australianos para que, de forma colectiva, se unieran a Apple y negociar el uso del Apple Pay. Los bancos no quisieron y pidieron que se abriera la plataforma para todos los interesados, por lo que Apple indicó que eso pondría en peligro la seguridad del iPhone. Apple siguió indicando que proporcionar acceso sencillo a la antena NFC a los bancos disminuiría el alto nivel de seguridad que tienen en sus dispositivos. Esto es lo que se comento a la ACCC

Figura 1: Apple Pay

Los bancos, incluyendo Westpac, Commonwealt Bank, NAB y Adelaida Bank, respondieron mediante un documento de 137 páginas. En estas páginas se decía que no estaban solos, y contaban el apoyo de las pequeñas y medianas empresas orientadas a comercio. Además, en el documento explican que Apple pretendía utilizar de forma exclusiva la infraestructura existente de terminales NFC de Australia para realizar pagos móviles. Esta infraestructura fue construida y pagada por los bancos australianos y comerciantes para el beneficio de todos los australianos, según indican en el propio documento. Un portavoz de los bancos dijo que el futuro de los pagos móviles en Australia estaba en juego.

jueves, 20 de octubre de 2016

Apple guarda datos de tus iMessage y los puede dar a la policía

Cuando usamos iMessage esperamos que nuestros mensajes no puedan ser leidos por nadie más, sin embargo iMessage no resulta ser tan seguro como parece. Esto se debe a que Apple está almacenando gran cantidad de información relativa a los iMessages de todos los usuarios, información con la cual puede revelar tus contactos y localización exacta. También puede compartir esa información con las Autoridades, por lo tanto un tribunal podría acceder a ella con o sin tu consentimiento y conocimiento.

Según Apple, tus conversaciones de iMessages o Facetime son asunto tuyo y de nadie más. Sin embargo, al examinar los “Términos de consentimiento y privacidad” del cliente Apple declara lo siguiente:
"Independientemente de las circunstancias, nuestro equipo legal conduce una evaluación de cada petición y, sólo de ser apropiado, recuperamos y entregamos el paquete de información a las autoridades"
Se podría decir que  Apple nos cuenta verdades a medias, es cierto que los mensajes de iMessage llevan un cifrado extremo a extremos, sin embargo no garantiza que los clientes vayan a disfrutar de intimidad o privacidad. The Intercepter ha sacado a la luz un documento en el cual se afirma que Apple registra todos los números de teléfono marcados en iMessage con el fin de ver quien está en el sistema iMessage y quién no. A muchos les sorprenderá que Apple, un “leal defensor” de la privacidad de sus usuarios por rechazar peticiones de las autoridades federales de darles una puerta de de acceso que usar en en sus productos facilite la información privada de los usuarios de iMessage.



Figura 1: Apple rastrea contactos

Para aquellos que también permitieron que se generen copias de seguridad en iCloud deben saber que estos datos efectivamente están cifrados, sin embargo Apple puede  acceder a ellos si quiere ya que posee las llaves del cifrado. Aún así podemos proteger nuestra información utilizando iTunes, algo que no parece muy lógico para la mayoría de usuarios de iPhone. Por desgracia una reciente incidencia en el sistema de protección de contraseñas de iTunes ha provocado algunos problemas en su cifrado, facilitando la realización de un ataque bruteforce (Apple ha confirmado que el fallo en iOS 10 existe y que están trabajando para corregirlo con el próximo parche). Otra opción que tenemos es el uso de un disco duro externo o uno en línea.

Figura 2: Captura de conversación

Siempre que se le pregunta a Apple sobre lo sucedido con iMessage se recibe esta respuesta:
"Cuando las autoridades policiales  nos presentan una citación válida o una orden judicial, les proporcionamos la información solicitada que esté en nuestra posesión. Como iMessage está cifrado de punta a punta, no tenemos el acceso a su contenido. En algunos casos, somos capaces de proporcionar datos de los troncos de servidor que son generados por clientes que tienen acceso a ciertas apps en sus dispositivos”.

miércoles, 19 de octubre de 2016

Cuando uses tu webcam un malware te puede estar grabando

El famoso hacker ex-NSA Patrick Wardle ha publicado una nueva forma en la que se podría estar espiando a la gente a través de las webcam. Wardle tiene cierto gusto por la tecnología de Apple, y ya hemos podido alguna investigación muy interesante de él, como fue el caso del bypass a Gatekeeper o su herramienta RansomWhere. En esta ocasión, Wardle habla de como los macOS hacen que su cámara sea compatible a múltiples aplicaciones al mismo tiempo, es decir, es posible crear una aplicación maliciosa que pida utilizar la webcam. Hasta aquí todo normal. A diferencia de las cepas de malware de Mac, la aplicación propuesta por Wardle no acaba de comenzar a utilizar la webcam, por lo que el LED no se enciende. 

El malware de Wardle espera hasta que otra aplicación, como por ejemplo Skype o Hangout, utilicen la webcam y es en ese momento cuando el malware de Wardle actúa. El software espía puede aprovecharse del proceso previo y comenzar a grabar a la víctima, mientras ella piensa que su cámara sólo está siendo utilizada por la aplicación legítima y que su vídeo lo tiene bajo control. Wardle comentó que era una característica sencilla de agregar a un malware, y que sabían que existe malware que ya lo hace. Cuando un usuario de Mac está utilizando su webcam es que, seguramente, está comentando cosas interesantes o sensibles. Es justamente lo que el malware desearía grabar.

Figura 1: Malware que te graba pasando desapercibido

Analizando este esquema, más que interesante, llegamos a la conclusión de que un malware puede grabarnos en cualquier momento delante de nuestro equipo, dónde podríamos estar acariciando al perro, tocándonos la nariz o, en general, realizando cualquier actividad del día, pero cuando el malware nos graba, mientras que una aplicación como Skype o Hangout estamos utilizando, seguramente estemos comentando algo interesante o muy privado, por lo que tenemos que empezar a detectar estas posibilidades.

El investigador ha creado una herramienta básica, denominada OverSigth, con el objetivo de supervisar y alertar al usuario de macOS/OSX cada vez que un programa esté pidiendo permiso para acceder a la cámara. El usuario puede rechazar o permitir el acceso. Es muy recomendable que utilicemos este tipo de software con el objetivo de detectar este tipo de malware. Además, la herramienta permite registrar las acciones y mantener un log. 

martes, 18 de octubre de 2016

Qué hacer si Facebook dice que tu equipo tiene malware

Mientras compartes un video en Facebook puedes ser sorprendido por un extraño mensaje alertándote de que debes activar tu antivirus, el texto que contiene el mensaje es el siguiente: su ordenador ha sido infectado por un virus o malware, usted debería usar un antivirus para eliminar estos programas perjudiciales para su equipo y guardar su información de una manera más segura. A continuación aparecerán dos enlaces, uno para Microsoft y otro para Apple, además de una ventana en la que te pedirá que verifiques que tu antivirus está en funcionamiento y que te encuentras seguro frente a malware.

Tras investigar un poco, Facebook confirmó que esta alerta  se trata de un falso positivo y es posible que no corramos ningún riesgo. El enlace para programas de Windows ayuda a la gente a utilizar programas de limpieza de  malware de compañías vinculadas con Facebook  que pueden descubrir y eliminar extensiones de navegador maliciosas. Lamentablemente estas opciones no están disponibles para Apple.

Figura 1: Mensaje encontrado en Facebook

Entonces, ¿Qué deberías hacer si aparece esta extraña advertencia y quieres investigar si realmente hay  malware en tu macOS/OSX? Un  buen primer paso es comprobar personalmente tus extensiones de navegador. En Firefox, haz clic sobre el botón de menú (botón con tres líneas en la esquina superior derecha de la pantalla), luego pulsa sobre "Extensiones". Para suprimir una extensión pulsa en "Eliminar", y luego reinicia Firefox. En Google Chrome, haz clic sobre el icono de menú (botón con tres puntos en la esquina superior derecha), ve a Más Instrumentos -> Extensiones. Desde allí puedes deshacerte de cualquier extensión que no reconozcas pulsando sobre el icono de la papelera.

lunes, 17 de octubre de 2016

Let your data speak: Ven con nosotros el 20 de Octubre

El mundo está en una era de máxima información. Cada día generamos un gran volumen de datos, tanto de forma particular, como de forma empresarial. Este volumen de datos expone una gran de oportunidades que deben ser aprovechadas para mejorar la vida de las personas y de las empresas. Los datos proporcionan una oportunidad única para la toma de decisiones, por lo que debemos aprovechar este gran volumen de datos e ir a por ello.

De este modo, las empresas podrán acercarse, de una forma nunca antes vista, a sus clientes, optimizando actividades y procesos internos. El próximo jueves 20 de Octubre, a las 15.30 en el Auditorio de Telefónica en Madrid, estamos preparando un evento para mostrar lo que estamos haciendo. Nuestro pensamiento es dejar que los datos nos hablen mientras hacemos  un viaje hacia el mundo "Data-Driven". Queremos acompañarte en la era de la transformación digital, queremos acompañarte para capturar el valor de los mejores casos de uso. Acércate y verás un nuevo mundo lleno de posibilidades. A continuación os dejamos la agenda del evento.

Figura 1: Agenda - Let your data speak

Contaremos con la participación de Dr. Chema Alonso, D. José Luis Gilpérez y Dª. Elena Gil. Ya puedes registrarte en el sitio web destinado para ello, os animamos a que vengáis a ver con nosotros todo lo que está ocurriendo y cómo impulsar tu negocio en el mundo "data-driven".

domingo, 16 de octubre de 2016

Fue Noticia en Seguridad Apple: del 3 al 16 de Octubre

En Seguridad Apple somos inmunes a la bajada de temperatura que acompaña al otoño, y como lo que no se reduce es la cantidad de noticias relativas a la seguridad de los productos de Apple, volvemos a ofreceros nuestro Fue Noticia, el mejor resumen de los contenidos publicados en este y otros blogs durante los últimos quince días. El objetivo, como siempre, es que estéis lo más informados posibles con lo que sucede referente a las tecnologías Apple y su seguridad.

El lunes 3 os informamos de cómo un hombre, Daisuke Ikeda,  fue detenido en Tokio por vender ilegalmente terminales iPhone con jailbreak.

El martes os hablamos de Syncios, una herramienta que permite recuperar datos de dispositivos iPhone y copias de seguridad de iTunes e iCloud, minimizando el riesgo de perder esa información.

Al día siguiente os presentamos un nuevo episodio de la ya famosa guerra del cifrado, en esta ocasión con Tim Cook elogiando el cifrado end-to-end por ser un seguro público.

El jueves os explicamos cómo cada mensaje de iMessage puede potencialmente revelar información sobre nuestra versión de iOS, iPhone y Safari.

El día 7 os presentamos las muchas novedades de seguridad que incorpora la nueva versión macOS Sierra 10.12, que mejoran la seguridad de aplicaciones como Apple Pay y Gatekeeper.

El sábado os adelantamos la nueva patente de biometría de Apple, un botón virtual con el que pretende sustituir a Touch ID y que podría salir a la luz en las versiones iPhone 7S o iPhone 8.

Cerramos la semana con una estadística interesante que muestra cómo iOS 10 es el sistema operativo instalado en casi la mitad de dispositivos de Apple.


Un día después os contamos la noticia de cómo Apple decidió expulsar al popular browser de documentación Dash,  por conducta fraudulenta de un desarrollador que abusó del Growth Hacking.

A mitad de semana os hablamos de la multa de 302 millones de USD que Apple deberá pagar por delito de robo de patentes relacionadas con tecnologías de seguridad.

El día 13 os trasladamos la prohibición a los ministros del Reino Unido de asistir a reuniones de gabinete ataviados con dispositivos Apple Watch.

El viernes 14 la noticia la centramos en la enésima actualización crítica de Adobe Flash Player para corregir un bug crítico que estaba siendo utilizado en Internet para infectar equipos con malware.

Por último, ayer sábado le dedicamos la entrada al nuevo desarrollo de SealSign BioSignature para iPad Pro que, gracias a una colaboración entre el área de empresas de Apple en España y ElevenPaths, permite firma documentos con la biometría de la firma manuscrita usando iPad Pro.

Y esto ha sido todo lo que hemos publicado por aquí, pero como es costumbre, os traemos otras noticias de otros medios para manteneros bien informados:
- Latch Plugin Contest 2016: Ya está abierta una nueva edición del Latch Plugin Contest para que ganes hasta 5.000 USD con tu integración de Latch haciendo el plugin que más nos sorprenda. Es un buen dinero que te arreglaría las vacaciones, no? Vamos hackers!!! 
- ElevenPaths compra Shadow: Esta tecnología permite, con solo tirar una fotografía a un documento publicado, conocer quién ha filtrado o a quién se lo han robado. En el vídeo del Security Innovation Day puedes ver la demo completa de este producto. 
- Cómo detener las actualizaciones atuomáticas de macOS Sierra: Aquí tienes un artículo que te explica cómo configurar el sistema para detener este comportamiento si no es de tu agrado. 
- Vídeos de la DEFCON 24: Ya tienes recopilados por nuestros amigos de CyberHades todos los vídeos de la pasada conferencia DefCON 24. Ahora no tienes excusa para no aprender muchas cosas el resto del domingo. 
- BigData Event: Nuestros compañeros del área de BigData presentan una nueva unidad. Será el próximo día 20 y estará nuestro compañero Chema Alonso al frente de esta presentación. Te esperamos allí. 
- Código contra "exploiters": El DARPA ha puesto en marcha un sistema para desarrollar software especialmente preparado contra los exploiters. Nuestros compañeros de HackPlayers nos lo explican en sus blog. 
- Ciberataques políticos: El malware avanzado del gobierno turco a revisión por parte de nuestros analistas de ciberseguridad en ElevenPaths.
Y esto ha sido todo lo que ha dado de sí el resumen de estas dos semanas. Esperamos que paséis un buen domingo y que nos veamos dentro de dos semanas por esta sección y cada día en los artículos que publicamos en Seguridad Apple.

sábado, 15 de octubre de 2016

Firmar documentos con la biometría de tu firma manuscrita en iPad Pro

Hasta el pasado Security Innovation Day, nuestra solución de firma manuscrita biométrica de documentos, de nombre SealSign BioSignature, podía ser utiliza en terminales iPad e iPhone con bolígrafos especiales que capturan la velocidad y la presión en los diferentes ejes de coordenadas para garantizar la máxima precisión de la captura biométrica. Ahora, como se anunció en el evento y gracias a una colaboración entre la unidad de empresas de Apple en España y ElevenPaths, la solución ha sido migrada para que funcione de forma nativa en iPad Pro.

En el siguiente vídeo se puede ver cómo la solución está integrada en los nuevos terminales iPad Pro funcionando con la plataforma completa de SealSign Biosignature.


Figura 1: SealSign BioSignature en iPad Pro

Si en tu organización se cuenta con terminales móviles Android o iOS, con SealSign BioSignature se puede construir la solución de firma digital en movilidad que requieras en cada situación, usando la firma manuscrita biométrica como forma de autenticar a un usuario para firmar con un certificado digital o directamente para firmar digitalmente el documento. En la web de SealSign BioSignature tienes más información y en la sección dedicada a SealSign en la comunidad técnica de ElevenPaths.

viernes, 14 de octubre de 2016

Adobe actualiza de urgencia Flash Player

Adobe libera una actualización de urgencia para los usuarios de Adobe Flash Player para hacer frente a varios agujeros de seguridad críticos. Una vez más, Adobe en el ojo del huracán por una serie de agujeros en su software, por lo que se ha visto obligada ha publicar una serie de actualizaciones de seguridad para su plugin de Flash Player. Dichas vulnerabilidades podrían permitir la ejecución de código arbitrario a un atacante, a través de sitios web maliciosos preparados para llevar a cabo estas acciones.

Para los usuarios de Mac, los cambios incluyen la versión de Flash Player 23.0.0.185, Flash Player 18.0.0.382 y Flash Player 23.0.0.185 para Google Chrome. Además, las correcciones se encuentran disponibles para los usuarios de Flash en Windows y Linux. Las actualizaciones pueden descargarse utilizando la web de Adobe o la propia herramienta de Flash.

Figura 1: Adobe Flash Player debe ser actualizado

Los fabricantes de navegadores modernos han apartado cada vez más a Flash, que si bien sigue siendo útil para juegos, vídeos y algunas animaciones, en gran medida está siendo suplantada por otras tecnologías, como por ejemplo HTML5, la cual supone un riesgo menor para la seguridad. Desde hace varios años Flash era uno de los principales vectores para los atacantes, obligando a Adobe lanzar parches de forma regular. Apple intensificó su posición en contra de Flash con el debut de macOS Sierra. El plugin viene desactivado por defecto en la nueva versión del sistema operativo, obligando a la gente que active manualmente su uso.

jueves, 13 de octubre de 2016

Prohíben a ministros del Reino Unido ir a reuniones con el Apple Watch

Se ha comentado ya en muchas ocasiones que cuando llevamos un wearable encima podemos estar siendo espiados. Esta es la paranoia que ha llevado a indicar a los ministros del Reino Unido que cuando entren a reuniones de gabinete dejen fuera sus relojes inteligentes. Hay verdadero temor de que los dispositivos puedan ser hackeados por esías rusos, según indican medios ingleses. Los teléfonos móviles ya fueron prohibidos en reuniones de gabinete, pero al parecer el gobierno de Reino Unido ha ampliado la prohibición a los relojes inteligentes.

El miedo y riesgo asociado es que estos dispositivos podrían ser hackeados para espiar a los usuarios, esperialmente los que tienen información secreta. Los expertos en seguridad advierten que esta posibilidad no es tan descabellada y que los ejecutivos de grandes empresas deberían tomar precauciones. Según Craig Young, investigador de la firma de seguridad Tripwire, un wearable tienen micrófono incorporado, sensores y comunicación inalámbrica, por lo que presentan una superficie de ataque valiosa para el espionaje.

Figura 1: ¿Apple watch como arma de espionaje?

Los expertos en seguridad han demostrado maneras para que el micrófono en smartphones se pueda utilizar para grabar conversaciones de manera secreta, robar datos de un usuario o, incluso, identificar contraseñas basadas únicamente en las vibraciones hechas en un teclado cercano. Los relojes inteligentes se podrían llegar a utilizar de la misma manera y por ello el temor en el Reino Unido. A principios de este año, los investigadores encontraron un bug con el que un Apple Watch podría ser hackeado para registrar los movimientos de la mano del usuario, incluso robar números PIN tecleados en un cajero automático.

Aún así, el reloj de Apple no se ha convertido en un objetivo real para el malware. El foco del mercado del malware se sigue encontrando en Windows, Android y, poco a poco, cada vez más en Mac. La pregunta que lanzamos desde aquí es: ¿Podría ser que el wearable se convierta en un arma de espionaje?

miércoles, 12 de octubre de 2016

Apple pagará más de 302 Millones de USD por delito de "robo" de patentes

El pasado viernes un juzgado federal de Texas sancionó a Apple  con una multa de más de 302 millones de USD por daños y perjuicios causados al utilizar la tecnología de seguridad patentada por VirnetX Holding Corps sin su permiso (algunas de ellas en Facetime). VirnetX y Apple han estado luchando por causa de patentes durante años. El caso comenzó en 2010 cuando VirnetX, un empresa que licencia patentes de Nevada, abrió un pleito por el uso de 4 patentes para redes seguras conocidas como redes virtuales privadas y líneas de comunicación seguras.

En 2012 un jurado le concedió 368.2 millones de dólares en daños y perjuicios, pero el tribunal de apelación estadounidense para el circuito federal en Washington echó atrás ese veredicto utilizando como justificación los  problemas con la instrucción que habían recibido los jurados sobre  el cálculo de daños. Los dos pleitos fueron combinados y en febrero un juzgado que dictaminó un veredicto todavía más desfavorable  para la empresa californiana, 625, 6 millones de dólares (uno de los más grandes de los Estados Unidos en un caso de patentes), sin embargo Schoreder anuló más tarde el resultado alegando que las referencias repetidas podían haber confundido a jurados y eran injustas para Apple.

Figura 1: Apple y la multa

Al final los jurados determinaron que los daños y perjuicios sobre las 2 patentes de VirnetX que Apple había usado y las otras que había dañado ascendían a los 302, 4 millones de dólares, cantidad que VirtnetX había estado exigiendo. La portavoz de  Apple, Rachel Tulley rehusó de comentar que un abogado para VirnetX no podía ser alcanzado. Según documentos del tribunal, Apple debe afrontar otro juicio en el que se discutirá si se infringió las patentes voluntariamente lo que conduciría a una mayor pena de daños y perjuicios. Apple también tendrá que hacerle frente a la prueba que VirnetX archivó en su contra sobre las versiones más recientes de algunos rasgos de seguridad, como el uso de iMessage  en un segundo pleito.

Muchos casos evidentes son manejados por el Tribunal de Texas por su reputación para conceder veredictos favorables a los demandantes que han alegado en la infracción. A VirnetX le habían sido asignado las cuatro patentes por la corporación internacional de las aplicaciones de la ciencia en 2006. según algunos papeles del juicio el caso esta archivado como VirnetX Inc vs Apple Inc as .US District Eastern District of Texas No.10.417.

martes, 11 de octubre de 2016

Black ASO: Expulsado el desarrollador de Dash

La semana pasada Apple decidió expulsar al popular browser de documentación Dash. Fue expulsado debido a una acusación sobre el desarrollador de conducta fraudulenta y se afirmó que estaba llevando a cabo la manipulación de las reviews o comentarios que se pueden encontrar en la propia AppStore. El desarrollador negó las acusaciones y ha recibido el apoyo e los usuarios de aplicaciones que utilizan Dash, los cuales creen que ha sido una confusión.

En declaraciones realizadas, Apple dice que le desarrollador poseía dos cuentas con 25 aplicaciones, las cuales tenían cerca de unos 1000 comentarios falsos. Todas con críticas positivas sobre sus propias aplicaciones. Desde dichas cuentas se generaban comentarios con críticas negativas a los competidores. Al parecer los algoritmos 'sentimentales' de Apple lograron detectar este tipo de comportamiento. Según indica la empresa de Cupertino, la advertencia fue dada antes de eliminarle de la AppStore, incuso llevando a cabo varios intentos para resolver el problema. 

Figura 1: Dash en iOS

Apple ha informado que irán cerrando cuentas de desarrolladores que utilicen este tipo de técnicas fraudulentas. Además, añadieron que es una responsabilidad que se tomarán muy en serio, ya que afecta a todos los clientes y desarrolladores de la AppStore. Por otro lado, el desarrollador negó haber estado involucrado en esta estafa y manipulación de comentarios para hacer lo que se conoce como Black ASO (Black AppStore Optimization). Lo más curioso es que el desarrollador comentó que la culpa es de un pariente, el cual es socio y pagó el programa de desarrollador de Apple.

Además, añadió que no era consciente de que su cuenta estaba vinculada a la otra hasta el pasado viernes y que no se le notificó las acusaciones. La decisión de Apple frente al asunto es definitiva y no hay proceso de apelación. Es poco probable que la aplicación de Dash para iOS vuelva a la AppStore, pero Dash para Mac sigue estando disponible, eso sí fuera de la Mac App Store.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares