Menú principal

martes, 28 de febrero de 2017

Apple investiga un video en el que un iPhone 7+ se funde

Apple está investigando las circunstancias detrás de un video que lleva unos días rondando por la red en el que se ve como un iPhone 7 Plus humea y se funde parcialmente. El pasado miércoles Brianna Olivas publicó en twitter un video en el que se veía como su iPhone 7 plus de color rosa desprendía una continua columna de humo. Poco después publicó unas imágenes en las que se puede ver como la pantalla del dispositivo está separada del chasis de aluminio y el mal estado en el que quedó la protección de la parte trasera. Tras esto el video de Brianna recibió más de un millón de visitas y fue retweeteado más de 22.000 veces.

Un día antes del video Brianna declaro a Mashable que tenía algunos problemas encendiendo su dispositivo, el cual fue comprado en una tienda de Sprint en enero. Tras comprarlo Brianna llevo su iPhone a una tienda Apple para que sus empleados lo revisasen, tras revisar el dispositivo los empleados la aseguraron que funcionaba correctamente. A la mañana siguiente Brianna tenía el iPhone cargando cerca de su cabeza. Fortuitamente su novio, al verlo, cambio el iPhone de lugar dejándolo sobre una cómoda, segundos después comenzó a oír como el iPhone emitía ruidos y chirridos. Rápidamente cogió el teléfono y lo llevó al baño de Brianna donde finalmente entró en combustión. 

Figura 1: Imágenes tweeteadas por Brianna Oliva

Mientras se desconoce la causa exacta de los hechos, el humo blanco podría ser un indicativo de un grave fallo de batería en el cual se vaporizan electrolitos, lo que pude suceder por una fuga térmica. Como muestran las imágenes, aparte de estar hinchado se pueden observar pequeñas manchas químicas en el borde del dispositivo, lo que explicaría la deformación del aluminio. En cualquier caso, desde que Brianna entregó el dispositivo a Apple la compañía no ha querido hablar del incidente, sus únicas declaraciones han sido, nos mantenemos en contacto con el cliente, seguimos investigando.

Los problemas de batería han existido desde el comienzo del uso de los Smartphones, sin embargo ha habido un gran incremento en la sensibilidad de los usuarios respecto a este tema tras el incidente sufrido por Samsung el año pasado. La empresa coreana tuvo que iniciar un programa de sustitución para sus Galaxy Note 7 defectuosos, lo que mas tarde acabó el cese en la producción de este dispositivo.

lunes, 27 de febrero de 2017

Apple rompe con SuperMicro por un firmware manipulado

Apple terminó su relación comercial con el proveedor de hardware SuperMicro debido a las preocupaciones de la empresa de Cupertino sobre la seguridad de las actualizaciones del firmware. Según un informe pulicado por The Information, el vicepresidente de SuperMicro Tau Leng afirmaba que Apple no sólo canceló futuros negocios como resultado de un entorno de desarrollo interno comprometido a mediados de 2016, sino que también devolvió el equipo que había obtenido.

Según las fuentes anónimas citadas, la funcionalidad de búsqueda de aplicaciones y algunas consultas de Siri fueron manejas por el hardware, proporcionado por SuperMicro, el cual estaba comprometido por una actualización de firmware falsa. El portavoz de Apple niega que ellos hayan encontrado firmware infectado o manipulado. También se niega que cualquier información del cliente fuera robada como resultado de cualquier incidente que involucre la seguridad del centro de datos. El mensaje del portavoz es: "Apple está profundamente comprometida con la protección de la privacidad y seguridad de sus clientes y los datos que se almacenan. Estamos monitorizando de forma constante cualquier ataque a nuestros sistemas, trabajando estrechamente con los proveedores y revisando regularmente los equipos"

Figura 1: Servidores de Apple

Leng afirma que después de que se informara de que el firmware había sido comprometido, SuperMicro pidió el número de versión que se instaló. Según el ejecutivo, Apple proporcionó un número no válido y se negó a revelar cualquier información adicional a SuperMicro. Leng afirma que el firmware modificado era para un chip de red utilizado en los servidores de Apple y que miles de clientes utilizaban el mismo equipo. Apple se ha mantenido al margen en el asunto y no han vuelto a comentar nada sobre los supuestos hechos. ¿Habría sido comprometida la seguridad de miles o millones de usuarios y los datos de éstos? De ser así, ¿Quién podría estar detrás de tal ataque? Con el paso de los días, se desveló que los servidores afectados de Apple fue en realidad los laboratorios de diseño y no los servidores de Siri, como se alertó en primer lugar. Estaremos atentos en Seguridad Apple por si hubiera novedades.

domingo, 26 de febrero de 2017

Fue noticia en Seguridad Apple: del 13 al 26 de febrero

En este frio mes de febrero seguimos trabajando para traeros las mejores noticias en el ámbito de la seguridad informática Como es habitual os presentamos en nuestro fue noticia un resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 13 contándoos por que Apple ha patrocinado la conferencia de seguridad BSides San Francisco, a pesar de no ser el máximo patrocinador contribuyó con la entrega de fondos directos.

El martes, os advertimos sobre un nuevo malware que afecta a Mac a través de Microsoft Word. Este malware es capaz de acceder a iMessage o incluso a la webcam del equipo.

El miércoles 15 os informamos de la llegada de la tercera temporada de Eleven Paths Talks y de los interasentes temas que serán abordados en ellas durante los próximos meses.

El día 16 os contamos como Apple guarda tu información de navegación en iCloud a pesar de borres tu historial y como esto ha sido descubierto por la compañía de software Elcomsoft.

El viernes 17 os alertamos sobre como vuestro Mac puede ser controlado a través de GarageBand, esta brecha de seguridad permitiría a un atacante ejecutar código en nuestro terminal.

El sábado 4 os presentamos Confide, una aplicación de criptografía robusta que puede estar siendo utilizada por los ayudantes del nuevo presidente Donald Trump.

Cerramos la semana hablándoos de la evolución en la disputa entre Apple y los bancos australianos por la liberación del chip NFC de los terminales Apple para poder utilizar aplicaciones de banca online.

El lunes 20 os contamos cómo unos ladrones lograron robar 24 iPhones en la Apple Store de la Puerta del Sol en Madrid.

El martes 21 os presentamos una nueva patente de Apple consistente en una pantalla capaz de leer huellas dactilares sin la necesidad de un sensor dedicado a esta función.

El miércoles 22 os hablamos de la investigación publicada por BitDefender en la que se cuenta como XAgent afecta a los Mac en el APT28.

El jueves 23 os informamos de la nueva actualización de Logic Pro X con la que se puede solucionar
el problema que hay con GarageBand ya que podían controlar tu Mac gracias a esa vulnerabilidad.

El viernes 24 os advertimos sobre la aparición de un nuevo ransomware que no descifrara tus archivos aunque pagues haciéndote perder todos aquellos que fuesen secuertrados.

Por último, ayer sábado se habló de la herramienta AppSync Unified, la cual estará prondo disponible para iOS 10. Los problemas causados por la herramienta en iOS 10 ha hecho que los autores prometan una mejora y estabilidad.

Esto ha sido todo durante estas dos semanas, seguimos informando y haciendo llegan la actualidad del mundo de Apple a todos vosotros. Os esperamos, de nuevo, en dos semanas con el mejor resumen de actualidad.

sábado, 25 de febrero de 2017

AppSync Unified pronto disponible para iOS 10

Ha habido un montón de novedades en el mundo del jailbreak durante las últimas semanas. Luca Todesco liberó la versión de jailbreak para iOS 10.2. Saurik ha revelado la versión pública de su Cydia 1.1.28, herramienta que soporta dispositivos de 64 bits. Ahora el desarrollador tras AppSync Unified ha confirmado que su popular tweak llegará pronto para los iPhone e iPad que corran las versiones de iOS 10 y 10.2 con jailbreak.

Karen aka ha informado que la causa de la caída del programa en iOS 10 ha sido identificada. Actualmente está trabajando en la preparación de AppSync Unified para las últimas versiones de jailbreak. Se espera que esté disponible públicamente dentro de poco. Por cuestiones de segguridad deberíais evitar instalar el tweak en vuestros iPhone o iPad ya que esto podría provocar que vuestros dispositivos sufriesen un boot loop. Durante años, Appsync Unified ha sido una parte integra de la experiencia jailbreak, lo necesitas si quieres instalar aplicaciones o juegos crackeados en tu iPhone o iPad.

Figura 1:Tweet de Karen advirtiendo de la posibilidad de sufrir un boot loop

Karen normalmente actualiza el tweak para asegurarse de que es compatible con los dispositivos que corren las últimas versiones de jailbreak sin embargo parece que hacer el tweak compatible con la versión de iOS 10 está siendo más difícil de lo esperado. AppSync Unified es necesario para instalar aplicaciones no registradas en dispositivos iOS con jailbreak. Las aplicaciones que descargadas desde la app store están registradas con un certificado válido y verificado por Apple garantizándonos que el origen de la aplicación es seguro. No puedes instalar aplicaciones hackeadas fácilmente a causa de los requerimientos de seguridad de iPhone por lo que AppSync se ha convertido en una de las herramients indispensables para disfrutar de todas las posibilidades que te ofrece el jailbreak.

viernes, 24 de febrero de 2017

Nuevo ransomware para Mac que no descifra aunque pagues

Hoy la noticia es de un nuevo ransomware que afecta a los sistemas OS X y macOS. Investigadores de seguridad han descubierto un nuevo ransomware para Mac, creado en Swift. Este malware cifra los archivos del usuario y exige un pago, sin posibilidad de descifrar los archivos incluso aunque se pague el rescate. El método de infección está en diferentes sitios de BitTorrent y es a través de un fichero denominado Patcher. El malware se presenta como un crack para piratear la protección de copia de algunos sistemas de licencias. El investigador Marc-Etienne M.Léveillé encontró dos diferentes, uno para Microsoft Office para Mac 2016 y otro para Adobe Premire Pro CC 2017

Seguramente haya más patcher maliciosos que se aprovechan de los usuarios que intentan eludir el sistema de licencias de este tipo de aplicaciones. Cuando se extrae el archivo y se ejecuta, el malware abre una ventana aconsejando a los usuarios que presionen el botón de inicio para parchear el software. Si se hace clic en él, el ransomware se difunde a través de un archivo "readme" a varios directorios del usuario, antes de cifrar todos los demás archivos utilizando para ella una clave de 25 caracteres generada aleatoriamente. En el archivo "readme" se explica al usuario que los archivos están cifrados y que se debe pagar 0,25 BTC a una dirección de cartera específica en el plazo de 7 días.

Figura 1: Binarios infectados

Se afirma que los archivos se descifrarán dentro de las siguientes 24 horas al pago, otra opción es pagar 0,45 BTC y se haría un descifrado en diez minutos. Es lo que llaman servicio premium. El investigador señala que el malware está codificado de forma mejorable. Además, se puede observar que a todos los clientes se les presenta la misma dirección de cartera, por lo que se puede hacer un seguimiento de los pagos que se realizan a dicha cartera. A día de hoy, nadie ha pagado.

A diferentes de otors ejemplos de ransomware, se observa que las víctimas no podrán recuperar sus archivos, incluso aunque pague el rescate. No hay código en el malware que envíe una clave al operador, por lo que no hay posibilidad de proporcionar el "servicio" de descifrado de archivos. Por otro lado, un ataque de fuerza bruta a la clave llevaría demasiado tiempo, por lo que sería inviable. El investigador Léveillé indica que el malware no es una obra maestra, pero que sigue siendo suficiente para dañar las vidas digitales de las víctimas y causar graves daños.

jueves, 23 de febrero de 2017

Actualización de urgencia de Logic Pro X: Pueden controlar tu Mac

La semana pasada hablamos de que GarageBand tenía una vulnerabilidad que podía hacer que un usuario malicioso tomara el control de tu Mac. Hoy hablamos de la actualización que Apple ha liberado respecto al software Logic Pro X y que también soluciona el problema de GarageBand. Muchos no conocerán la herramienta Logic Pro X y sirve para crear, editar y compartir la música. Suele ser utilizado por profesional del sector de la música, por lo que el target en un ataque dirigido podría ser el propio sector musical.

Apple ha liberado una actualización a través de la publicación de la versión 10.3.1 de Logic Pro X. La nueva versión del software presenta una corrección que evita una potencial ejecución de código arbitrario sobre el Mac. Esta vulnerabilidad afectaba a los sistemas OS X Yosemite 10.10 y posteriores. El CVE, dónde se puede encontrar más información sobre la vulnerabilidad, es el CVE-2017-2374. En el CVE se puede ver como se habla también de GarageBand y cómo afecta esta vulnerabilidad a todo el pack.

Figura 1: Actualización de Logic Pro X 10.3.1

Desde Seguridad Apple os recomendamos que actualicéis lo antes posible vuestra suite de edición musical y de vídeos, ya que podéis tener problemas serios con esta vulnerabilidad. Todavía no hay constancia de que se esté utilizando esta vulnerabilidad en ninguna campaña de malware, pero esto podría ocurrir, es más, los productores musicales pueden ser el target en este tipo de campañas de malware. Os seguiremos contando y manteniendo al día si ocurre algo sobre esto.

miércoles, 22 de febrero de 2017

XAgent afecta a los Mac en el APT28

La noticia de hoy trata sobre el APT28. Investigadores de BitDefender publicaron una investigación dónde se hablaba y detallaba del APT28. En el informe publicado se puede ver la forma de actuar, los targets y las atribuciones sobre este asunto. La utilización de XAgent ahora puede dirigirse a las víctimas que ejecutan Mac OS X con el objetivo de robar contraseñas, hacer capturas de pantalla y robar copias de seguridad del iPhone almacenadas en el Mac

Es en el año pasado en el que se tiene constancia de la utilización de este tipo de software en una de las mayores campañas de ciberespionaje jamás realizadas, supuestamente vinculadas al territorio ruso. La muestra de XAgent está vinculada a Mac. Esta puerta trasera modular tiene avanzadas capacidades de ciberespionaje y es probable que esté instalada en el sistema a través de Komplex. Una vez instalado correctamente, la puerta trasera verifica si hay un depurador conectado al proceso. Si detecta uno, se termina la ejecución del mismo. De lo contrario, espera una conexión a Internet antes de iniciar la comunicación con los servidores C&C. Una vez establecida la comunicación, el payload inicia los módulos. La mayoría de las direcciones URL del C&C se han pasar por dominios de Apple

Figura 1: Infecciones en APT28

Una vez conectado al C&C, el payload envía un HelloMessage, y luego genera dos hilos de comunicación que son ejecutados en bucles infinitos. El primero utiliza las solicitudes POST para enviar información a los C&C, mientras que el segundo supervisa las solicitudes GET de comandos. El análisis de la gente de BitDefender indica que los módulos pueden sondear el sistema para listar configuraciones de hardware y software, obtener un listado de procesos en ejecución, ejecutar archivos adicionales, así como obtener captruas de pantalla o extrar contraseñas del navegador. Quizá el módulo más importante es el que permite al operador exfiltrar las copias de seguridad del iPhone.

La gente de BitDefender indica que existe una serie de similitudes entre el componente Sofacy / APT 28 / XAgent para Windows / Linux y el binario de estudio para Mac. La evidencia forense recuperada del binario también revela cadenas idénticas en los clientes Komplex y XAgent. La investigación sigue en curso, pero todo apunta a que ha sido utilizado dentro de la misma campaña de ciberespionaje.

martes, 21 de febrero de 2017

Apple patenta una pantalla capaz de leer huellas dáctilares sin sensor dedicado

La noticia de hoy está relacionada con las patentes de que Apple va logrando. En este caso, llama mucho la atención, la concesión de una patente que sugiere que la compañía está mirando para aprovechar su adquisición de LuxVue, con el objetivo de integrar la tecnología capaz de leer la huella dactilar de un usuario sin un sensor dedicado, es decir, sin Touch ID. Esta característica ya se rumorea para el lanzamiento del iPhone 8. La patente estadounidense con número 9570002 tiene como nombre "Panel de visualización interativo con diodos IR" y detalla una pantalla táctil que incorpora tecnología de detección de micro-LED, en lugar del hardware de matriz activa omnipresente, visto en la mayoría de dispositivos móviles.

La patente de hoy presenta un diseño para incorporar sensores de panel táctil y huellas dactilares utilizando hardware en gran parte similar. Todo apunta hacia el botón invisible de inicio que podría verse con la aparición del iPhone 8. La tecnología actual de detección de huellas digitales de Apple requiere un anillo de accionamieto capacitivo para estar en contacto con el dedo de un usuario durante el funcionamiento. Es posible que Apple esté buscando cerrar el Touch ID o evolucionarlo hacia un nuevo sistema más avanzado. Por ejemplo, una pantalla táctil capaz de actuar como un dispositivo de entrada y escáner de huellas dactilares ahorraría espacio y aportaría mayor flexibilidad de diseño.

Figura 1: Resumen de la patente

La empresa LuxVue cree que ha resuelto el rompecabezas o, que por lo menos, está cerca de hacerlo. De acuerdo con la patente, los micro-LED se pueden utilizar como un sustituto para las matrices táctiles capacitivas. Específicamente, los diodos emisores y sensores IR independiente se conectan a los circuitos de conducción y de selecció para crear un circuito subpixel. Debido al pequeño tamaño, estos diodos IR se pueden embeber o incrustar en un substrato de pantalla junto con LED RGB o en un microchip montado.

Figura 2: Sistema esquematizado del panel

Apodado"Píxeles interactivos", los subpíxeles podrían incorporar LED rojo, verde, azul, IR, e IR, es decir, RGBIRSIR, así cómo otras matrices de colores en un panel de alta resolución. En la patente también se describen características más avanzas como la detección de contacto y la determinación del perfil de superior de un objetivo, es decir, reconocimiento de huellas digitales.

Si Apple tiene la intención de llevar la tecnología de micro-LED a iPhone u otro producto en el futuro sigue siendo algo desconocido. Se rumorea que podría aparecer en el próximo iPhone, pero no se sabe a ciencia cierta si esto ocurrirá o tendremos que seguir esperando la tecnología que sustituya al Touch ID.

lunes, 20 de febrero de 2017

Roban varios iPhone valorados en 23.000 euros en una Apple Store de Madrid

La policía de Madrid ha arrestado a 10 de los individuos causantes de los robos de iPhones en la Apple Store de la Puerta del Sol de los dos últimos meses, estos individuos fueron captados por las cámaras rompiendo los cables de protección de los terminales con los dientes. El grupo en el cual había hasta 8 menores robó alrededor de 24 iPhone de gama alta, valorados en 23.000 euros.

Según la policía de Madrid la investigación comenzó el año pasado, cuando el personal de la tienda se dio cuenta de que estaba aumentando el número de desapariciones de iPhone. Muchos de los ladrones entraban simultáneamente en la tienda y se distribuían de tal forma que dificultasen la localización del iPhone en caso de ser descubiertos mientras lo robaban. Uno de los miembros se dedicaba a roer el cable de seguridad hasta que este era lo suficientemente débil como para arrancar el iPhone de un tirón, hecho esto el resto de participantes se pasaban el iPhone entre ellos causando confusión entre los encargados de la tienda hasta sacarlo de ella. Los 10 miembros de la banda han sido arrestados al detectar a uno de los miembros intentando vender uno de los terminales sustraidos valorado en 900 euros.

Figura 1: Camara de seguridad Apple Store 
El grupo estaba formado por 2 adultos y 8 menores de nacionalidad rumana. Los menores han sido puestos a disposición judicial además de haber recibido una orden de alejamiento de 100 metros contra cualquier tienda Apple. Las Apple Store son un atractivo objetivo para ladrones por el alto precio de sus productos, ya ha habido muchos robos con métodos un poco más convencionales como el alunizaje que tuvo lugar el Apple Store de Palo Alto hace unos meses.

domingo, 19 de febrero de 2017

La guerra entre Apple y los bancos australianos toma un nuevo rumbo

La disputa entre Apple y los bancos australianos por la liberación del chip NFC de Apple continua, Como ya os hemos contado anteriormente los bancos australianos se niegan a pagar las altas comisiones que pide Apple para que puedan implementar su servicio Apple Pay, es más, exigen a Apple que les ofrezca acceso al chip NFC de sus terminales para poder ofrecer sus servicios de pago virtuales sin tener que pagar una comisión a la compañía.

Según las ultimas noticias los bancos ya han dejado atrás las reivindicaciones sobre las grandes comisiones impuestas para poder usar Apple Pay para centrarse en la liberación del chip NFC en los iPhone a lo que Apple se ha negado rotundamente alegando que al hacerlo comprometería la seguridad de su sistema operativo. Tanto el sistema operativo Apple como su plataforma son sistemas cerrados, por lo tanto Apple es quien decide qué hacer con ella, al contrario de Android, donde cualquier aplicación puede acceder al chip NFC.

Figura 1: Apple pay para iPhone

En su defensa Apple citó algunos casos en los que dispositivos Android habían sido susceptibles a ataques de aplicaciones maliciosas capaces de usar sus dispositivos como lectores de NFC, a lo que los bancos han contestado que los argumentos de Apple no eran creíbles ya que no se han demostrado vulnerabilidades en sus aplicaciones y diciendo que son mucho más seguras que la realización de pagos por internet como es habitual. Los bancos más importantes de Australia están buscando aliados en pequeños comercios para llevar este tema ante el tribunal del país para ver si pueden presionar legalmente a Apple a liberar el uso de su chip NFC. Seguiremos indagando sobre este tema para traeros el desenlace.

sábado, 18 de febrero de 2017

Confide: La aplicación de mensajería de los empleados de la Casa Blanca

La aplicación de mensajería Confide puede estar siendo utilizada por los ayudantes del nuevo presidente de los Estados Unidos Donald Trump. Al parecer la aplicación se apoya en criptografía robusta, aunque algunos expertos en seguridad se muestran escépticos. Los rumores de que los asesores del nuevo presidente estén utilizando esta aplicación ha puesto a la aplicación bajo el microoscopio de la seguridad. El medio nacional, Washington Post, mencionó que la Confide ha sido construída por una startup de Nueva York y es utilizada por algunos empleados de la Casa Blanca para comentar en privado algunos rumores que puedan ocurrir allí dentro. 

La aplicación consta de un chat secreto, el cual dice borrar los mensajes según son leídos. Los asistentes y empleados, temerosos de ser acusados de filtrar a la prensa, intentan utilizar aplicaciones que no deje huellas o mensajes de una forma descontrolada. Todo lo que se envía se debe eliminar. Confide no es la primera vez que está en el punto de mira. En el año 2014, ya salió a la luz mediática, debido a que fue puesta como un ejemplo de aplicación de mensajería segura. Lo que no se detalló es como hace la implementación del cifrado extremo a extremo, ni el borrado de los mensajes. Estos detalles no se dieron por la empresa.

Figura 1: Confide

Confide está disponible para iOS y Android. Utiliza, básicamente, el estándar OpenPGP para utilizar clave pública y utiliza AES para el cifrado de mensaje. Intercambia claves públicas entre usuarios a través de conexiones TLS 1.2 con Certificate Pinning. Algunos expertos indican que el fabricante de la aplicación puede forzar la posible escucha de conversaciones, sustituyendo las claves de los usuarios. En teoría, esto es algo complejo de realizar. Según Jonathan Zdziarski, el cifrado parece funcionar como la mayoría de las aplicacioens extremo a extremo, dónde se generan claves públicas y privadas. Eso sí, cree que no ha pasado una revisión suficiente por el CIO de la Casa Blanca, por lo que aquí están las dudas de si se está metiendo algo seguro en la Casa Blanca o no.

viernes, 17 de febrero de 2017

Pueden controlar tu Mac a través de GarageBand

macOS  tiene un parche para paliar y solucionar un defecto crítico en la aplicación de música conocida como GarageBand. Apple ha publicado que tiene un agujero de seguridad en la aplicación GarageBand, el cual podría permitir a un potencial atacante ejecutar código de forma remota en un Mac. La actualización de GarageBand 10.1.6 está siendo enviada a todos los equipos que ejecutan OS X Yosemite y posteriores. Esto es debido a que la aplicación tiene dicha vulnerabilidad, por lo que se debe prestar especial atención en este hecho. 

El fallo, el cual se aborda en el CVE-2017-2374, permite, a través de un fileformat, a un atacante ejecutar código remoto, cuando la víctima ejecuta el archivo creado de forma maliciosa, es decir, que contiene el exploit en su interior. Apple utiliza el formato .band para todos los archivos del proyecto GarageBand. En otras palabras, un atacante podría convencer a un usuario para que ejecute un archivo con extensión .band, el cual al ser abierto con la aplicación vulnerable proporcionase el control de la máquina al atacante. El investigador que se encuentra detrás de la investigación que ha dado como resultado este fallo, publicó hace muy poco tiempo otra vulnerabilidad relacionada. En la ocasión anterior, se encontró el CVE-2017-2372, solucionado en una actualización anterior.

Figura 1: GarageBand vulnerable a fileformat

Esta vulnerabilidad es el resultado de una mala gestión y validación a la hora de analizar el formato y la composición del archivo, según indica el investigador. El formato se divide en trozos con un campo longitud para cada uno. Esta longitud es controlada por el usuario y puede ser utilizada para crear una condición explotable. Apple no ha comunicado que esta vulnerabilidad se pueda estar utilizando en alguna campaña de malware, aunque podría llegar a ser un vector para infectar multitud de equipos. Se recomienda parchear la vulnerabilidad lo antes posible, llevando a cabo una actualización de GarageBand.

jueves, 16 de febrero de 2017

Apple guarda tu información de navegación en iCloud a pesar de que borres tu historial

Cuando borramos el historial del navegador Safari, los usuarios de iPhone e iPad esperamos que este se borre permanentemente, pero parece que la sincronización con iCloud hace que estos registros se almacenen durante un largo periodo de tiempo, puede ser de unos meses o incluso superior al año. La compañía de software Elcomsoft (dedicada al desarrollo de herramientas con las que obtener información protegida de dispositivos iOS) descubrió que iCloud estaba almacenando historiales de navegación borrados.

Según Vladimir Katalov CEO de Elcomsoft su compañía fue capaz de encontrar registros de historial previamente borrados con más de un año de antigüedad. Apple estaba guardando la información de sus navegadores en un archivo apartado en iCloud llamado “tombstone”. Elcomsoft explica que esta información fue guardada en este apartado con el fin de eliminar el historial de navegación de varios dispositivos simultáneamente.

“Apple guarda el historial de Safari en la nube durante más de tres o cuatro meses aunque este haya sido borrado. Los investigadores de ElcomSoft fueron capaces de acceder a los registros que habían sido suprimidos hace más de un año, lo que quiere decir que a pesar de haber sido borrados estos permanecen en iCloud.” 

Figura 1: Historial de Navegación de Safari

Forbes utilizó el software creado por Elcomsoft y fue capaz de recuperar casi 7,000 registros que remontan hasta noviembre de 2015 (Sitios web, URLs, búsquedas de Google y cuentas de visita). Poco después de que Forbes y Elcomsoft publicaron sus conclusiones sobre iCloud. Elcomsoft anunció que gran parte de estos registros han sido borrados como parte de un parche de corrección de errores implementado por Apple. Todos los registros de navegador con una antigüedad superior a dos semanas han sido eliminados.

Figura 2: Información que se guarda en iCloud

A partir de iOS 9.3 y Safari 9.1 Apple ha empezado a convertir las URLs en código cifrado haciendo que al borrar el historial este sea ilegible, otra medida de seguridad, la cual según Forbes no ha logrado frenar a la herramienta de Elcomsoft para funcionar en las últimas versiones de Safari. Ahora que sabemos que Apple guarda los historiales de las últimas dos semanas los usuarios de iCloud que no nos sintamos cómodos con ello podremos solucionar este problema deshabilitando la sincronización en los ajustes de iCloud.

miércoles, 15 de febrero de 2017

Eleven Paths Talks Temporada 3: La guerra contra el Ransomware

Comenzamos la tercera temporada de Eleven Paths Talks con nuevas temáticas de actualidad en el mundo de la seguridad informática. Prometemos grandes emociones y conocimientos en esta tercera temporada. También queremos aprovechar para dar las gracias a todos los seguidores y personas que han visto los vídeos y que siguen semana a semana Eleven Paths Talks.  Contamos con varias novedades para esta tercera temporada.

Contaremos con nuevos colaboradores y nuevos CSA que participarán en esta nueva aventura. El próximo jueves 23 de Febrero tendrá lugar la primera de los talks. En esta ocasión abren la temporada Claudio Caracciolo y Pablo San Emeterio para hablarnos sobre la guerra existente contra el Ransomware, sin duda una de las lacras de nuestro mundo digital actual. En la talk se contará cómo protegerse contra este tipo de malware y cómo desde Eleven Paths nos sumamos a la lucha contra el Ransomware
Figura 1: Nueva temporada de Eleven Paths Talks

Las sesiones en esta tercera temporada serán quincenales y el horario escogido seguirá siendo las 15.30 (hora española). Los talks durarán unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y un invitado especial y 10 minutos sobre consejos y herramientas. Como novedad indicar que las sesiones se llevarán a cabo a través de la plataforma GoToWebinar. Posteriormente, y como siempre, se publicarán en nuestro canal de Youtube. No pierdas la ocasión y registrate para el primer webcast. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

martes, 14 de febrero de 2017

Nuevo malware a través de Microsoft Word para Mac

Un nuevo malware se ha descubierto para los equipos Mac. En menos de una semana, se descubre un segundo ejemplo de malware dirigido, ya que la semana pasada hablamos del malware MacDownloader dirigido a activistas iraníes. Este segundo malware está orientado a la utilización de Microsoft Word y permite al atacante apoderarse del control de la máquina, cuando el usuario ejecuta una macro, la cual descarga un payload que permite infectar el Mac objetivo. El archivo de Word se denominada "Aliados de los EE.UU y rivales de Trump", según ha indicado el equipo de Objective-See.

Cuando se abre el archivo, las potenciales víctimas reciben el típico aviso de que la ejecución de macros podrían hacer que el equipo se dañara o infectara. Si el usuario acepta la ejecución de las macros, tendría el control de la máquina, ya que en ese momento se ejecutaría la macro y ésta descargaría el payload con el objetivo de infectar el equipo. Una de las cosas que la macro comprueba es si Little Snitch se está ejecutando en la máquina, ya que habría que evitarla. El código de la macro se puede encontrar en el proyecto EmPyre, un derivado del famoso Powershell Empire.

Figura 1: Mensaje de advertencia sobre ejecución de macros

Los investigadores creen que el payload podría persistir en el Mac ejecutándose automáticamente después de un reinicio de la máquina. Además, se cree que podría realizar funciones basadas en uno de los muchos módulos de EmPyre. Estos módulos ofrecen una multitud de opciones para que los atacantes puedan adquirir y recopilar informacion, incluyendo keyloggers, volcado de llaveros, monitorización del portapapeles, capturas de pantalla, acceso a iMessage o, incluso, a la webcam. El malware, como ha indicado Patrick Wardle, no es particularmente avanzado debido a que los usuarios deben interactuar con el mensaje de las macros, pero una vez habilitado el malware es eficaz  y funciona bien.

lunes, 13 de febrero de 2017

Apple patrocina la conferencia de seguridad BSides San Francisco

BSides San Francisco, englobado dentro de los eventos BSides que hay por el mundo, es uno de los foros de debate abiertos en seguridad informática con gran relevancia ha recibido el patrocinio público de Apple. El movimiento de la empresa de Cupertino subraya los crecientes esfuerzos de la compañía para participar en investigación académica y publicaciones relacionadas con la seguridad, privacidad y otros objetivos de investigación. Apple contribuyó con el patrocinio en la conferencia, incluyendo fondos directos. 

Apple participó en el evento con un nivel superior de patrocinio, respecto a otras empresas como Google y Dropbox, aunque no fue uno de los principales patrocinadores, ya que esos fueron Fitbit y HackerOne. La conferencia se presenta en dos días con presentaciones técnicas y académicas. Según la organización, el congreso no tiene fines de lucro, lo cual permite que el campo de la seguridad de la información crezca en amplitud y profundidad. 

Figura 1: BSides San Francisco

Apple ha aparecido recientemente para indicar que abrirá sus esfuerzos de colaboración con otras empresas de la industria. El movimiento hace pensar que Apple quiere situarse como una empresa que apuesta por la seguridad de la información, un mercado claramente en auge y que debe acompañar a cualquier empresa tecnológica que se precie. En diciembre, la compañía anunció que sus empleados podrían publicar y colaborar con la comunidad de investigación, comenzando a enviar a conferencistas a algunas conferencias importantes a nivel mundial en temas de inteligencia artificial. Puede que veamos lo mismo pronto en temas de seguridad de la información.

domingo, 12 de febrero de 2017

Fue noticia en Seguridadapple: del 30 de enero al 12 de febrero


En este mes de febrero hemos tenido numerosas novedades en el ámbito de la seguridad informática, aunque haga frio no descansamos para traeros las mejores noticias y que no os perdáis nada. Como es habitual os presentamos en nuestro fue noticia un resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 30 contándoos como Apple ha eliminado el sitio web para comprobar el estado de Activation Lock. Una herramienta que nos permitía verificar si un terminal estaba bloqueado utilizando su número de serie o IMEI.

El martes, os informamos del parcheo de un agujero de seguridad en Remote Desktop Client for Mac ya que por medio de esta vulnerabilidad un atacante podría ejecutar código arbitrario y acceder a los directorios del Mac de la víctima.

El miércoles 1 os explicamos porque las fuerzas armadas de UK eligen el iphone 7 para sus comunicaciones secretas dejando atrás al Samsung Galaxy note 4.

El día 2 os contamos como ATS sigue a la espera de que las aplicaciones de los iPhone sean más seguras ya que el 83% de las aplicaciones todavía no están listas para integrarlo.

El viernes 3 os alertamos sobre un nuevo Phising que suplanta a Apple iMessage, aquí os contaremos como evitar o minimizar los riesgos de caer en una trampa de este tipo.

El sábado 4 os hablamos de la nueva función de lector de códigos Qr que ha implementado Google en su navegador Chrome, la cual supone numerosas ventajas pero también algunos riesgos.

Cerramos la semana presentándoos TouchHome, un nuevo tweak que permite convertir el Touch ID de tu iPhone en un botón capacitivo.

El lunes 6 os contamos cómo un hacker dice que Cellebrite usa jailbreack para acceder a la información del iPhone.

El martes 7 os explicamos cómo un informe ha revelado que activistas iranís podrían estar siendo espiados por medio de Malware de Mac.

El miércoles 8 os hablamos de cómo está la situación entre Apple y el FBI un año después de la disputa por el caso San Bernardino.

El jueves 9 os informamos de la desaparición de iOS 10.2 y la liberación de la beta 7 para yalu 10.2, dos grandes noticias referentes al mundo del jailbreak.

Para el viernes 8 os contamos que decenas de las aplicaciones más populares de iOS son inseguras, lo que podría ampliar las posibilidades de sufrir un ataque MITM (Man In The Middle).

Por último, ayer sábado os explicamos cómo ocultar archivos de tu Mac desde el terminal. Dos semanas llenas de noticias en el ámbito de la seguridad en el mundo Apple. Os esperamos mañana con más y más noticias.

sábado, 11 de febrero de 2017

Cómo ocultar archivos y carpetas en tu Mac

En algunas ocasiones, los usuarios comparten su Mac con otras personas. Es probable que se tengan archivos en ubicaciones compartidas y no querer que otros usuarios vean dichos archivos o carpetas. Muchos usuarios quieren ocultar estos archivos o carpetas y Mac, a diferencia de Windows, no ofrece una forma sencilla o rápida de realizar esta tarea. Una forma relativamente sencilla de ocultar y luego mostrar los archivos ocultos es utilizar el Terminal. En este artículo se exponen los pasos que deberíamos seguir para poder llevar a cabo esta operativa.

En primer lugar, para ocultar archivos o carpetas de Mac se debe tener la Terminal abierta. Esto se puede hacer a través de Spotlight. Una vez el Terminal hay que escribir chflags hidden [ruta de la carpeta o archivo que se quiera ocultar]. Si abrimos el Finder e intentamos localizar dicho archivo ya no lo veremos. Como se ve, es un método muy sencillo para ocultar la información en el sistema de archivos. Eso sí, no debemos olvidarnos de la ruta del archivo si, a posteriori, queremos encontrarlo y poder volver a mostrarlo.

Figura 1: Ocultar archivos o carpetas en Mac

Para mostrar el archivo, debemos acceder a la ruta del archivo o la carpeta oculta. Ahora, debemos ejecutar la orden inversa, es decir, chflags nohidden [ruta del archivo o carpeta que se quiere recuperar o volver a mostrar]. Una vez ejecutada esta instrucción el archivo volverá a ser visible para los usuarios. Como es lógico, si queremos ocultar o proteger archivos sensibles o críticos este método no sería válido. Habría que optar por la gestión de permisos para diferentes usuarios o, incluso, cifrar la información, por ejemplo con claves PGP o GPG.

viernes, 10 de febrero de 2017

Decenas de aplicaciones de iOS inseguras en la AppStore

Decenas de aplicaciones de iOS, populares, son vulnerables a la interceptación de datos protegidos por el protocolo TLS. De estas aplicaciones decenas, alrededor de 75, no utilizan buenas prácticas para proteger los datos de los usuarios. Esto es, sin duda, una afirmación o noticia grave, ya que impacta en el manejo de los datos de los usuarios y algo que deberá ser revisado. La noticia ha sido puesta en conocimeinto para el público por los investigadroes de Sudo Security Group, los cuales descubrieron este hecho inesperado para muchos.

Algunas aplicaciones de iOS en la AppStore habían sido implementadas con carencias en el cifrado y sus comunicaciones, pudiendo ser vulnerables a ataques de man in the middle. Las aplicaciones podrían ser engañadas por un certificado falso enviado por un proxy, permitiendo que su seguridad de la capa de transporte pueda ser descifrada y visualizada a medida que se envía el tráfico hacia Internet.

Figura 1: Generación de certificado con OWASP ZAP

El descubrimiento fue inicialmente el resultado del análisis realizado por los investigadores de la empresa. A través del uso de un servicio que realiza un análisis estático de binaios de aplicaciones de la App Store. El presidente de la empresa Sudo verificó que las aplicaciones descubiertas por el sistema eran vulnerables en el laboratorio, utilizando para ello un proxy de red configurado con su propio certificado. Esta es una práctica que en muchas auditorías se utiliza y que para muchos no es nuevo, pero impacta ver como las aplicaciones más populares no utilizan Certificate Pinning para mejorar la seguridad de los usuarios.

jueves, 9 de febrero de 2017

Novedades en jailbreak de iOS: Yalu 10.2 y el fin de iOS 10.2

Ha sido una semana importante para el jailbreak en iOS 10. Luca Todesco liberó la versión de jailbreak para iOS 10.2 con soporte para algunos dispositivos, pero ha seguido añadiendo dispositivos a la lista de compatibles con cada nueva beta. Ya está disponible la beta 7 para yalu 10.2, la cual trae soporte para todos los dispositivos incluyendo el iPad Air 2 y el iPad mini de cuarta generación. En uno de sus tweets Luca mencionó que la beta 6 es tan estable como parece indicando sutilmente que ahora es más seguro que nunca utilizar jailbreak.

Si estas pensando en saltar a la beta de yalu 10.2 has de saber lo que te contamos a continuación. Apple ha retirado su versión 10.2 de iOS, lo que significa que ya no podrá ser adquirida por ningún usuario y evitando también la realización de downgrade si ya se dispone de iOS 10.2.1. lo que también afectará a los usuarios que esperaban instalar iOS 10.2 en dispositivos que corren con iOS 10.1.1 o versiones anteriores. No es sorprendente que Apple retire su versión 10.2 cuando ya sacó la 10.2.1 hace unos días y está probando iOS 10.3 con desarrolladores. El "fin" de iOS 10.2 es una importante noticia para aquellos que aún disponen de esta versión en sus dispositivos y quieran probar la beta de yalu jailbreak en sus terminales.

Figura 1: Yalu102 en funcionamiento

Al desaparecer iOS 10.2 no podrás restaurar tu dispositivo a dicha versión en caso de que sufrir un bootloop o cualquier otro error que pueda sufrir tu dispositivo durante el proceso de Jailbreak, estaremos atentos para traeros más novedades sobre este tema, ya que se esperan más novedades en el mund del Jailbreak.

miércoles, 8 de febrero de 2017

Caso FBI y Apple: Qué ha cambiado en el último año

No es la primera vez que en Seguridadapple hablamos sobre la disputa constante entre Apple y el FBI por el cifrado en sus dispositivos, el pasado mes de marzo os contamos la conclusión de la disputa legal entre Apple y el FBI por el caso San Bernardino y hace escasos días os contamos como Apple recibió el apoyo del congreso en el debate sobre el cifrado en Estados Unidos, Pero un año después ¿Qué ha cambiado?

La breve batalla entre el FBI y Apple que tuvo lugar hace un año por el caso de San Bernardino en la que el FBI pedía a Apple que desbloquease el iPhone de un terrorista concluyó con la negación de la empresa californiana a cumplir con las demandas del FBI, el cuál logró descifrar el iPhone del terrorista dejando apartado de los tribunales el caso sobre la seguridad y la privacidad de los usuarios. Este caso  ha sido posiblemente el más prominente sobre el derecho a la privacidad y la violación de este derecho, pero ¿ha provocado grandes cambios en cuanto a la seguridad digital y la privacidad? La respuesta es no, según los expertos no ha aumentado la vigilancia en la aplicación de la ley sobre la privacidad y la seguridad digital, de hecho las consecuencias públicas de la situación entre Apple y el FBI no han provocado la disminución en las solicitudes del gobierno a empresas tecnológicas sobre la información de sus usuarios, de hecho ha habido un incremento del número de solicitudes de este tipo.

Figura 1: Grafica del incremento de solicitudes en 2016

Esto reabre el conflicto existente con muchas compañías tecnológicas las cuales en sus términos de privacidad afirman que la información de sus clientes puede ser facilitada al gobierno si se considera necesaria para casos de investigación criminal. Con la llegada del nuevo presidente Donald Trump no se espera ningún cambio al respecto, ya que en el caso de San Bernardino apoyó al FBI.

martes, 7 de febrero de 2017

Utilizan malware de Mac para espiar a activistas iraníes

Cada día vemos como muchos usuarios cambian sus hábitos y se adentran en el mundo Mac. Por esta razón, estamos viendo como, supuestamente, muchos activistas o personas influyentes son espiadas a través de software hecho para sistemas Mac, ya que estos activistas utilizan estos equipos. La noticia de hoy es que activistas iraníes pueden estar siendo espiados y trackeados a través de malware para Mac, según se indica en el informe publicado. Este hecho pone de relieve el flujo constante de gobiernos que interrumpen y rastrean movimientos activistas. 

Collin Anderson, uno de los investigadores de seguridad detrás el informe comentó que la utilización de plataformas alternativas, como el caso de OS X, hacen que también se busquen nuevas formas de espionaje orientadas a las plataformas alternativas. Los investigadores encontraron por primera vez un malware denominado MacDownloader en un sitio web que se hacia pasar por la empresa aeroespacial estadounidense United Technologies Corporation. Los investigadores ya habían vinculado este sitio a las campañas de malware iraní y sabían que era un sitio de ensayo para desplegar malware de Windows. El malware MacDownloader viene como una actualización falsa de Flash, siendo descargada por los objetivos. El malware se conecta a un servidor externo, con la intención de descargar código externo para el malware. Al mismo tiempo, MacDownloader transfiere información del sistema a un servidor controlado por el atacante, incluyendo el contenido del keychain y una lista de aplicaciones instaladas. También se solicita credenciales a la víctima, de manera fraudulenta.

Figura 1: Actualización falsa de Flash

Mientras que Chrome y Firefox no almacenan credenciales en el keychain, Safari y macOS si lo hacen.Esta informaciónes jugosa para los atacantes. A partir de aquí, los atacantes pueden entrar en cuentas de correo electrónico y redes sociales. Cuando se publicó el informe, VirusTotal no marcaba el malware como tal, por lo que se puede decir que el malware pasaba desapercibido. Por último, en el informe se subraya que los usuarios de Mac pueden sentir una falsa sensación de seguridad, por el simple hecho de utilizar Mac y esto deben vigilarlo, porque como se puede ver, estos son usuarios son objetivo.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares