Como cada dos semanas volvemos con el resumen quincenal de todo lo publicado en Seguridad Apple y en el mundo de la seguridad de la manzana en general. Tras la salida de los nuevos iPhone 5S & 5C, y el famosísimo nuevo botón con el sensor biométrico, estamos esperando ya a los nuevos iPad, y de OS X Mavericks, ya que estamos en renovación máxima de productos.
Empezando por el lunes 16 de Septiembre donde se habló un Jailbreak para iOS 7 y el Open Source Jailbreak Framework. Desde hace varios meses la comunidad jailbreakers está estudiando el nuevo sistema operativo en busca de fallos de seguridad que permitan realizar el jailbreak a el nuevo iOS 7.
El martes 17 de Septiembre hablamos de una característica eliminada en iOS 7 versión Golden Master. El iCloud Keychain ha sido eliminado de dicha versión, quizá debido a que no estaba suficientemente testeada para pedir al mundo que guarde sus tarjetas de crédito en la nube de Apple... por ahora.
El miércoles 18 de Septiembre nos ponemos sexys para que nos hiciera una fotografía la iSight de nuestro MacBook. En este artículo se explicaba cómo generar un binario con una shellcode que realiza una captura con la webcam iSight de Mac y la envía para que el handler de Metasploit la reciba.
El jueves 19 de Septiembre publicamos un artículo donde se especifica los problemas de iOS 7 para su instalación debido a errores en la descarga. El nuevo sistema operativo dió solución a 80 nuevos CVEs, novedades de seguridad y la nueva interfaz gráfica, la cual ha revolucionado la forma en la que la información es presentada.
Además ese mismos día empezamos a hablar de los bugs que se iban detectando en las primeras fechas de iOS 7. El turno era para el primer bug, por así notificarlo. Siri es capaz de desactivar Find My iPhone. Otro bug que fue encontrado casi en la salida del propio sistema operativo permitía saltarse el código de desbloqueo o passcode. Como podéis observar fue un día intenso.
Además ese mismos día empezamos a hablar de los bugs que se iban detectando en las primeras fechas de iOS 7. El turno era para el primer bug, por así notificarlo. Siri es capaz de desactivar Find My iPhone. Otro bug que fue encontrado casi en la salida del propio sistema operativo permitía saltarse el código de desbloqueo o passcode. Como podéis observar fue un día intenso.
El viernes 20 de Septiembre nos relajamos viendo el anuncio de... "Si eres capaz de hackear Touch ID, llévate 20K $, un puñado de bitcoins y, por supuesto, vino". Desde Twitter llega esta curiosa y motivadora campaña, que daría sus frutos rápidamente, aunque alguno de los supporters se echara luego atrás.
El sabado 21 de Septiembre continuamos informando sobre nuevos bugs que se encuentran en el sistema operativo iOS 7, esta vez uno nuevo que permitía saltarse el passcode. El objetivo era llamar sin tener el paasscode, desbloqueando el dispositivo. También informamos que Apple había publicado iOS 7.0.1 sólo para iPhone 5C y iPhone 5S.
No habían pasado ni 24 horas desde que Apple los puso a la venta, y ya tenían que distribuir una actualización para algo de Touch ID y see estaba ofreciendo una gran cantidad de dinero por hackear el dicho sistema. Tal ve esta actualización tan temprada no era un buen presagio.
No habían pasado ni 24 horas desde que Apple los puso a la venta, y ya tenían que distribuir una actualización para algo de Touch ID y see estaba ofreciendo una gran cantidad de dinero por hackear el dicho sistema. Tal ve esta actualización tan temprada no era un buen presagio.
El domingo 22 de Septiembre hablamos de malware. El turno de OSX/Leverage.A un malware que está unido al Syrian Electronic Army. Se reportó ésta nueva muestra de malware encontrada en Virus Total. Además, ese mismo día los miembros del Chaos Computer Club hackean Touch ID, o al menos consiguen engañarle mediante el uso de una huella falsa.
El lunes 23 de Septiembre nos hicimos eco de una noticia curiosa, los polícias de Nueva York recomiendan actualizar a iOS 7. Basándonos en las soluciones que aporta iOS 7 en temas de seguridad no van desencaminados en este anuncio.
 |
| Apple TV |
El martes 24 de Septiembre publicamos la salida de Apple TV 6.0, con solución a CVEs (parches). Apple solucionó 57 CVEs en esta nueva actualización, por lo que es altamente recomendable su instalación inmediata. Algunos usuarios encontraron que esta actualización convertía el dispositivo en un ladrillo, comunmente llamado brickear. Ahora está ya resuleto todo el problema, pero en el artículo tienes la información por si se te brickeo.
El miércoles de esta semana hablamos de la actualización de XCode 5.0 que, además de dar soporte completo a iOS 7 viene acompañada de un parche para un CVE de GIT que permite a un atacante hacer un man in the middle con un certificado falso y robar las credenciales de Apple ID. Hay que parchear sí o sí.
El jueves fue el turno de una noticia que también tiene que ver con un man in the middle. En este caso la retirada de Google Play de una herramienta para Android llamada iMessage Chat que permitía conectar con iMessage de Apple, pero claro, para eso hay que darle las credenciales de Apple ID a una empresa que simulaba luego conexiones desde un Apple mini para enviar los mensajes de iMessage.
Ya en viernes la noticia fue para una curiosa noticia publicada en un diarío que dice que personal de Apple ha confirmado que comparten la base de datos de huellas dactilares de Touch ID con la NSA. Algo que nos preguntamos y anlizamos un poco más en profundidad.
Ese mismo día, Apple ponía en circulación iOS 7.0.2, esta vez para todos los dispositivos y con solución a los dos bugs que permiten saltar el passcode.
Por último, ayer mismo hablamos de PAC4MAC una herramienta para el análisis forense de sistemas Mac OS X que se ejecuta desde un pendrive y que viene con una gran cantidad de tools y exploits para sacar información de un equipo bajo análisis.
Esto es todo lo que dio de sí nuestro blog, pero durante este tiempo también han pasado otro buen montón de cosas, así que vamos a dejaros aquí las que creemos que debéis leer sin dejarlas pasar:
El jueves fue el turno de una noticia que también tiene que ver con un man in the middle. En este caso la retirada de Google Play de una herramienta para Android llamada iMessage Chat que permitía conectar con iMessage de Apple, pero claro, para eso hay que darle las credenciales de Apple ID a una empresa que simulaba luego conexiones desde un Apple mini para enviar los mensajes de iMessage.
 |
| ¿Comparte Apple las huellas? |
Ese mismo día, Apple ponía en circulación iOS 7.0.2, esta vez para todos los dispositivos y con solución a los dos bugs que permiten saltar el passcode.
Por último, ayer mismo hablamos de PAC4MAC una herramienta para el análisis forense de sistemas Mac OS X que se ejecuta desde un pendrive y que viene con una gran cantidad de tools y exploits para sacar información de un equipo bajo análisis.
Esto es todo lo que dio de sí nuestro blog, pero durante este tiempo también han pasado otro buen montón de cosas, así que vamos a dejaros aquí las que creemos que debéis leer sin dejarlas pasar:
- JOBS, un despropósito entretenido: Se estrenó la película de Steve Jobs en España y los chicos de Cyberhades fueron a verla. Aquí está su opinión sobre ella.
- XSS en Good Entreprise for iOS: Good es uno de los MDM más utilizados en el mundo empresarial para gestionar la seguridad de iOS. Recientemente se ha descubierto un XSS que podría ser utilizado para atacar a los clientes.
- Cuatro cosas que debes activar para tener más privacidad en iOS 7: Con la actualización del sistema, muchas opciones de privacidad han sido reseteadas a configuraciones por defecto. Aquí tienes algunas que debes tocar para tener un poco más de control.
- Conectate a la Deep Web con tu nodo TOR y sin Internet: Una recomendación de arquitectura para conectarse a la red TOR y evitar los data leaks que puedan revelar tus direcciones de conexión.Y hasta aquí os dejamos, para que podáis estar informados. Os vemos dentro de dos semanas en esta sección y cada día en Seguridad Apple.
No hay comentarios:
Publicar un comentario