Como cada dos semanas volvemos con el resumen quincenal de todo lo publicado en
Seguridad Apple y en el mundo de la seguridad de la manzana en general. Tras la salida de los nuevos
iPhone 5S & 5C, y el famosísimo nuevo botón con el sensor biométrico, estamos esperando ya a los nuevos
iPad, y de
OS X Mavericks, ya que estamos en renovación máxima de productos.
Empezando por el lunes 16 de Septiembre donde se habló un
Jailbreak para iOS 7 y el
Open Source Jailbreak Framework. Desde hace varios meses la comunidad
jailbreakers está estudiando el nuevo sistema operativo en busca de fallos de seguridad que permitan realizar el
jailbreak a el nuevo
iOS 7.
El martes 17 de Septiembre hablamos de una característica eliminada en
iOS 7 versión
Golden Master. El
iCloud Keychain ha sido eliminado de dicha versión, quizá debido a que no estaba suficientemente testeada para pedir al mundo que guarde sus tarjetas de crédito en la nube de
Apple... por ahora.
El sabado 21 de Septiembre continuamos informando sobre
nuevos bugs que se encuentran en el sistema operativo iOS 7, esta vez uno nuevo que permitía saltarse el
passcode. El objetivo era llamar sin tener el
paasscode, desbloqueando el dispositivo. También informamos que
Apple había publicado
iOS 7.0.1 sólo para iPhone 5C y iPhone 5S.
No habían pasado ni 24 horas desde que
Apple los puso a la venta, y ya tenían que distribuir una actualización para algo de
Touch ID y see estaba ofreciendo una gran cantidad de dinero por hackear el dicho sistema. Tal ve esta actualización tan temprada no era un buen presagio.
El domingo 22 de Septiembre hablamos de malware. El turno de
OSX/Leverage.A un malware que está unido al
Syrian Electronic Army. Se reportó ésta nueva muestra de malware encontrada en
Virus Total. Además, ese mismo día los
miembros del Chaos Computer Club hackean Touch ID, o al menos consiguen engañarle mediante el uso de una huella falsa.
|
Apple TV |
El martes 24 de Septiembre publicamos la salida de
Apple TV 6.0, con solución a
CVEs (parches).
Apple solucionó 57 CVEs en esta nueva actualización, por lo que es altamente recomendable su instalación inmediata. Algunos usuarios encontraron que esta actualización convertía el dispositivo en un ladrillo, comunmente llamado
brickear. Ahora está ya resuleto todo el problema, pero en el artículo tienes la información por si se te
brickeo.
El miércoles de esta semana hablamos de la actualización de
XCode 5.0 que, además de dar soporte completo a
iOS 7 viene acompañada de un parche para un
CVE de
GIT que permite a un atacante hacer un
man in the middle con un certificado falso y robar las credenciales de
Apple ID. Hay que parchear sí o sí.
El jueves fue el turno de una noticia que también tiene que ver con un
man in the middle. En este caso la
retirada de Google Play de una herramienta para Android llamada iMessage Chat que permitía conectar con
iMessage de
Apple, pero claro, para eso hay que darle las credenciales de
Apple ID a una empresa que simulaba luego conexiones desde un
Apple mini para enviar los mensajes de
iMessage.
|
¿Comparte Apple las huellas? |
Ya en viernes la noticia fue para una curiosa noticia publicada en un diarío que dice que personal de
Apple ha confirmado que
comparten la base de datos de huellas dactilares de Touch ID con la NSA. Algo que nos preguntamos y anlizamos un poco más en profundidad.
Ese mismo día,
Apple ponía en circulación
iOS 7.0.2, esta vez para todos los dispositivos y con solución a los dos bugs que permiten saltar el
passcode.
Por último, ayer mismo hablamos de
PAC4MAC una herramienta para el análisis forense de sistemas
Mac OS X que se ejecuta desde un
pendrive y que viene con una gran cantidad de
tools y
exploits para sacar información de un equipo bajo análisis.
Esto es todo lo que dio de sí nuestro blog, pero durante este tiempo también han pasado otro buen montón de cosas, así que vamos a dejaros aquí las que creemos que debéis leer sin dejarlas pasar:
- JOBS, un despropósito entretenido: Se estrenó la película de Steve Jobs en España y los chicos de Cyberhades fueron a verla. Aquí está su opinión sobre ella.
- XSS en Good Entreprise for iOS: Good es uno de los MDM más utilizados en el mundo empresarial para gestionar la seguridad de iOS. Recientemente se ha descubierto un XSS que podría ser utilizado para atacar a los clientes.
- Cuatro cosas que debes activar para tener más privacidad en iOS 7: Con la actualización del sistema, muchas opciones de privacidad han sido reseteadas a configuraciones por defecto. Aquí tienes algunas que debes tocar para tener un poco más de control.
- Conectate a la Deep Web con tu nodo TOR y sin Internet: Una recomendación de arquitectura para conectarse a la red TOR y evitar los data leaks que puedan revelar tus direcciones de conexión.
Y hasta aquí os dejamos, para que podáis estar informados. Os vemos dentro de dos semanas en esta sección y cada día en
Seguridad Apple.