Volvemos otro domingo más, a resumir y contar las noticias que han sido portada en Seguridad Apple, para que nadie se pierda las ultimas novedades del mundo Apple, ya que estas dos semanas ha estado repleta de noticias y novedades.
Comenzamos el resumen con una interesante publicación de Apple sobre buenas practicas para desarrollar código seguro en la que se recogen las principales vulnerabilidades de seguridad en tecnologías Apple, un interesante documento de 123 paginas para mejorar la calidad de las aplicaciones, aunque si te sabe a poco siempre hay alternativas cómo aprender a desarrollar apps para iOS.
Avanzamos al martes con la peculiar forma que tuvo Apple de tapar una vulnerabilidad que permitía a un usuario instalar sus propias aplicaciones en un Apple TV, dicha vulnerabilidad encontrada por David Schuetz.
El miércoles 19 hablamos de cómo Apple patenta el uso de direcciones de correo desechables como forma de combatir el spam. Apple ha descrito los términos del servicio y hasta un diagrama de como funcionara.
A mediados de semana comentamos las medidas preventivas necesarias para preservar la privacidad que se deben tener antes de llevar un terminal al SAT. Esta historia se debe a varias experiencias ajenas y personales que hacen que sea una buena recomendación de privacidad cifrar el disco con FileVault o TrueCrypt si vas a llevar tu equipo al SAT de Apple, ya que tienes que firmar que las piezas viejas son suyas.
Antes de llegar al fin de semana nos encontramos con una nueva Campaña de Phishing sobre Apple ID con OS X Mavericks basado en un correo aparentemente procedente del “Departamento de Seguridad de Apple”.
Empezando el sábado, Apple publica iOS 7.0.6 & iOS 6.1.6 con parche para SSL con gran urgencia, solucionando un bug en el tratamiento de las conexiones SSL que puede permitir a un atacante en medio de la conexión capturar y modificar la conexión completamente, aunque en ese momento no sabíamos la razón de cómo.
Para acabar la semana se da a conocer que el parche que se publicaba con tanta urgencia era por un goto fail, que provocaba un tremendo error al comprobar los certificados. Algo digno de entrar en la historia de los grandes errores de programación, aunque muchos ven la mano de la NSA en este "error humano".
Empezando la semana con la presentación de Latch 1.2 en el MWC, dado que se publicaba la versión 1.2 de Latch con un nuevo look ademas de añadir las traducciones a Alemán, Brasileño y Portugués, sin olvidar la nueva opción de AutoLock. Sí todavía no tienes Latch en tu iOS, no esperes más a proteger tus entidades digitales con esta nueva versión de la que ya se han publicado algunos de los sitios donde puede utilizarlo. Tines la información en la nueva web de Latch donde hay también la lista de plugins, los enlaces a todas las apps e información del servicio.
Continuamos la semana con Apps maliciosas en iOS podrían hacer Touch-Logging, la empresa FireEye, ha mostrado gracias a su PoC, como una aplicación de iOS es capaz de registrar las pulsaciones en la pantalla sin necesidad de tener realizado el jailbreak al sistema, si quieres saber como lo han hecho, puedes echar un vistazo a la noticia.
El miércoles, Apple actualiza OSX, Safari y la TV para cerrar el bug del goto fail, solucionando 39 bugs de seguridad. Enter los servicios que se veían afectados por este bug se encuentran algunos de los más utilizados, como FaceTime, iMessage, etcétera.
Llegamos al jueves avisando de las aplicaciones que roban BitCoins, llamadas OSX/CoinThief, las cuales se basan en robar las credenciales de sitios de intercambio de Bitcoins. Este malware que habíamos visto incluido en falsas billeteras ahora también aparece en software pirata para Mac OS X tan popular como Angry Birds.
Para empezar el fin de semana, comentamos que Apple libero una actualización de Apple iTunes 11.1.5 y QuickTime 7.7.5 que soluciona varios bugs en las versiones de 32 y 64 bits para sistemas Microsoft Windows y la versión para Mac OS X.
A mediados de semana comentamos las medidas preventivas necesarias para preservar la privacidad que se deben tener antes de llevar un terminal al SAT. Esta historia se debe a varias experiencias ajenas y personales que hacen que sea una buena recomendación de privacidad cifrar el disco con FileVault o TrueCrypt si vas a llevar tu equipo al SAT de Apple, ya que tienes que firmar que las piezas viejas son suyas.
Antes de llegar al fin de semana nos encontramos con una nueva Campaña de Phishing sobre Apple ID con OS X Mavericks basado en un correo aparentemente procedente del “Departamento de Seguridad de Apple”.
Empezando el sábado, Apple publica iOS 7.0.6 & iOS 6.1.6 con parche para SSL con gran urgencia, solucionando un bug en el tratamiento de las conexiones SSL que puede permitir a un atacante en medio de la conexión capturar y modificar la conexión completamente, aunque en ese momento no sabíamos la razón de cómo.
El "goto fail" de más que provoca el caos |
Para acabar la semana se da a conocer que el parche que se publicaba con tanta urgencia era por un goto fail, que provocaba un tremendo error al comprobar los certificados. Algo digno de entrar en la historia de los grandes errores de programación, aunque muchos ven la mano de la NSA en este "error humano".
Empezando la semana con la presentación de Latch 1.2 en el MWC, dado que se publicaba la versión 1.2 de Latch con un nuevo look ademas de añadir las traducciones a Alemán, Brasileño y Portugués, sin olvidar la nueva opción de AutoLock. Sí todavía no tienes Latch en tu iOS, no esperes más a proteger tus entidades digitales con esta nueva versión de la que ya se han publicado algunos de los sitios donde puede utilizarlo. Tines la información en la nueva web de Latch donde hay también la lista de plugins, los enlaces a todas las apps e información del servicio.
Continuamos la semana con Apps maliciosas en iOS podrían hacer Touch-Logging, la empresa FireEye, ha mostrado gracias a su PoC, como una aplicación de iOS es capaz de registrar las pulsaciones en la pantalla sin necesidad de tener realizado el jailbreak al sistema, si quieres saber como lo han hecho, puedes echar un vistazo a la noticia.
El miércoles, Apple actualiza OSX, Safari y la TV para cerrar el bug del goto fail, solucionando 39 bugs de seguridad. Enter los servicios que se veían afectados por este bug se encuentran algunos de los más utilizados, como FaceTime, iMessage, etcétera.
Llegamos al jueves avisando de las aplicaciones que roban BitCoins, llamadas OSX/CoinThief, las cuales se basan en robar las credenciales de sitios de intercambio de Bitcoins. Este malware que habíamos visto incluido en falsas billeteras ahora también aparece en software pirata para Mac OS X tan popular como Angry Birds.
Para empezar el fin de semana, comentamos que Apple libero una actualización de Apple iTunes 11.1.5 y QuickTime 7.7.5 que soluciona varios bugs en las versiones de 32 y 64 bits para sistemas Microsoft Windows y la versión para Mac OS X.
Por último, ayer sábado la noticia fue para la actualización del whitepaper de iOS Security a la versión de iOS 7, donde se han añadido tecnologías como el Secure Enclave, el Touch ID, el Apple iCloud KeyChain, o las nuevas VPN por apps para explicar cómo funcionan en iOS 7, además del resto de opciones de seguridad que acompañan al sistema operativo.
Hasta aquí es todo lo publicado en Seguridad Apple, pero han sucedido muchas más cosas durante este periodo, y os las dejamos aquí para que podáis leer las que consideréis de vuestro interés:
- El US AirForce reemplaza 5.000 dispositivos BlackBerry por terminales iOS: Parece que se están preparando definitivamente para el cambio.
- En tu iPhone es mejor tener Siri que Marcación por Voz: En este post se explican los problemas de privacidad que puedes tener si no configuras correctamente Siri y la Marcación por Voz en un iPhone.
- Buenas prácticas en la gestión de dispositivos móviles (MDM): Guía de recomendaciones escrita por Lorenzo Martínez en la que explica algunas de las recomendaciones que da a sus clientes. Merece la pena la lectura.
- El negocio de las fake apps y Google Play: Si quieres ver cómo funciona el negocio del malware en Google Play, no debes perderte esta serie que no tiene desperdicio.
- Aprende ensamblador desde la web: Curioso proyecto que nos traen nuestros compañeros de Cyberhades - autores del libro de Microhistorias - sobre un proyecto que permite aprender a programar en esamblador desde una página web.
- Formación de seguridad en la RootedCON: Quedan muy pocas plazas, pero la semana que viene comienza la RootedCON y hay varios labs de hacking y seguridad que son más que interesantes. Aquí tienes la lista.Y esto ha sido todo por hoy. Os esperamos dentro de dos semanas en esta sección y cada día en los artículos de Seguridad Apple. Puedes suscribirte a ellos vía RSS o Google+ para estar informado puntualmente.
No hay comentarios:
Publicar un comentario