Menú principal

sábado, 31 de mayo de 2014

Apple actualiza Java 6 para OS X y Oracle Java 7

A finales del mes pasado Oracle liberó Java 7 para OS X con una nueva actualización crítica que solucionaba 37 CVEs de seguridad. Esa actualización solucionaba todos los bugs para todas las plataformas de OS X que tuvieran Java 7 instalado. Sin embargo, en las versiones de OS X con Java 6, es Apple quién aún distribuye los parches, y hemos tenido que esperar hasta ayer (viernes) para que Apple liberase Java for OS X 2014-1 que soluciona todos los bugs en Java 6 para los sistemas operativos OS X Mavericks, OS X Mountain Lion y OS X Lion. Las versiones anteriores están sin soporte.

La actualización está disponible vía Software Updates o Mac App Store en tu equipo y en descarga directa en el artículo de la knowledge base DL1572.

Figura 1: Java for OS X 2014-001

Casi al mismo tiempo, Oracle ha liberado Java 7 Update 60 que soluciona bugs del sistema, aunque no es una actualización crítica de seguridad. Si tienes Java 7 instalado en tu equipo solo debes irte al Panel de Control de Java y comprobar la actualización.

Figura 2: Java 7 Update 60 para OS X

La lista de bugs solucionados está aquí, y los cambios más importantes en esta versión están recogidos en la las release notes de Java 7 Update 60.

viernes, 30 de mayo de 2014

Utilizar OS X Server como plataforma MDM [Vídeo]

Para hacer el despliegue y la configuración de terminales Apple dentro de una organización existen herramientas como iPhone Configuration Utility y Apple Configurator, pero para gestionar los terminales de forma robusta es necesario usar una solución de MDM (Mobile Device Management) de La empresa de formación inglesa QA ha subido a su canal Youtube un vídeo en el que durante más de 1 hora explica cómo se puede utilizar OS X Server como una plataforma MDM

Figura 1: Vídeo de utilización de OS X Server como una plataforma MDM

El vídeo está en inglés, pero explica paso por paso cómo configurar OS X Server y cómo gestionar los terminales. Merece la pena perder una hora asistiendo a esta formación que nos brindan gratuitamente en la red.

jueves, 29 de mayo de 2014

YoNTMA:You'll Never Take Me Alive para Mac OS X

A través de nuestros amigos de HackPlayers hemos descubierto esta sencilla herramienta de ISEC Partners llamada YoNTMA - You'll Never Take Me Alive - orientada a dificultar los ataques de arranque frio "Cold Boot" o de Acceso Directo a Memoria "DMA" tanto en equipos Windows como en equipos Mac OS X. Ambos ataques están orientados a poder robar las claves de descifrado de BitLocker o FileVault accediendo directamente a las zonas de memoria donde están alojadas las claves de descifrado cuando el sistema ya ha sido arrancado.

En el caso concreto de los ataques de DMA para Mac OS X se han publicado trabajos extensos que explican como explotarlo con éxito en todos los equipos Mac con versiones anteriores a Mac OS X 10.8.2 y en todos los equipos Mac con hardware anterior al Ivy Bridge de Intel, que permite este ataque.
Ahora, con la herramienta de YoNTMA, lo que se pretende es borrar las claves de memoria en cuanto se detecte que el equipo ha sido desconectado de la fuente de alimentación, así que se ha creado un pequeño servicio para Mac OS X que detecta ese evento y pone el equipo inmediatamente en modo hibernación, eliminando completamente las claves de memoria. Curioso, pero práctico.

miércoles, 28 de mayo de 2014

El "ransomware" de Oleg Pliss bloquea iPhone & iPad con Find My iPhone, pero solo en Australia y Nueva Zelanda

Recientemente usuarios de iPad y iPhone de Australia y Nueva Zelanda despertaron con un extraño mensaje que decía: "Dispositivo Hackeado por Oleg Pliss. Para desbloquear el dispositivo...". Al parecer esta persona está pidiendo entre 50 y 100 dólares mediante un pago por PayPal para desbloquear el dispositivo. ¿Es un nuevo tipo de Ransomware? Pues todo hace indicar que al menos no es como lo conocíamos. Por lo que se sabe sobre el asunto, los dispositivos no están infectados con malware, pero parece que el atacante ha conseguido apoderarse de las credenciales de acceso de Apple iCloud de las víctimas y ha bloqueado los dispositivos de forma remota. 

Hay que recordar la noticia de la semana pasada sobre el bug de iCloud que permite bloquear o desbloquear los dispositivos, pero en este caso parece que no ha sido a través de dicho bug, si no por un robo de credenciales, que parece que tiene que ver más con un servicio que sea popular en Australia y Nueva Zelanda que con la propia Apple

Como se ha dicho las denuncias han aparecido principalmente en Australia, y los menos en Nueva Zelanda. ¿Qué ha ocurrido? El problema de los ataques basado en el cloud son dificilmente rastreables e identificar y enjuiciar es altamente complejo. En Australia se está debatiendo qué es lo que ocurre y cómo ha ocurrido.  En el blog de Naked Security dan buenas preguntas y respuestas al asunto.

¿Podría ser un efecto del reciente incidente de seguridad de eBay?

Después del hack de 2013 de Adobe, muchas contraseñas fueron recuperadas de la base de datos. Esto fue, en parte, debido a que los usuarios utilizaron contraseñas no complejas ni con un mínimo de seguridad. Servicios com Facebook tomaron la precaución de poner a prueba las contraseñas reveladas por incumplimiento de Adobe contra los propios usuarios de la plataforma. Los resultados fueron los esperados, es decir, muchos usuarios utilizaban la misma contraseña, con la característica de que era fácil de adivinar.

Figura 1: Mensaje de Hacked by OIeg Pliss enviado por Find My iPhone

Pero este vector parece que no ha sido el utilizado, ya que algunos usuarios que han informado del ransomware no tenían cuentas de eBay, por lo que no sería posible que a partir de esta contraseña se accediese a la cuenta de iCloud.

¿Podría ser un ataque MiTM?

Algunos foreros sugieren que una posibilidad es que debido a fallos de seguridad en iTunes o iCloud, los cuales permiten a usuarios maliciosos engañar a los dispositivos para que visiten un sitio de inicio de sesión falsa, ya que nos encontramos en medio de la comunicación. Entonces los nombres de usuario y contraseña de Apple podrían haber sido capturados.

Pero siendo realistas, los agujeros de seguridad referentes a Apple iTunes fueron descubiertos hace más de un año, por lo que todos los dispositivos afectados estarían ejecutando una versión antigua de iOS, hecho muy poco probable.

¿Podría haber un MiTM contra un proveedor de Internet en Australia? 

Como el rescate del ransomware se encuentra muy localizado, entre Australia y Nueva Zelanda, se puede entender que un ataque MiTM contra el proveedor de Internet haya causado el incidente. Esto explicaría por qué los inicios de sesión de iCloud han podido ser secuestrados en una sola parte del mundo, y por qué los usuarios no darse cuenta de que estaban visitando servidores no legítimos. 

Pero, lamentablemente, tampoco parece haber ningún patrón que confirme esta suposición. Además, al menos una persona que reportó el incidente era un usuario australiano que actualmente se encuentra en Londres, y el cual se conecta a través de un proveedor de Internet en el Reino Unido

¿Podría ser Jailbreaking?

Australia fue el primer país en el que se encontró malware para iPhone. El famoso Ikee que se limitaba a los dispositivos con Jailbreak. Por desgracia, no todos los usuarios que han formado parte de este incidente tienen jailbreak realizado a su dispositivo.

Todas las preguntas que van surgiendo en torno a este incidente no parecen ser viables del todo, por lo que el misterio continua. ¿Qué pueden hacer? La verdad que al no saber como sucedió el incidente no es fácil tomar decisiones, pero si que hay ciertas cosas claras:
  • Parece que las credenciales fueron robadas. 
  • El uso de verificación en dos pasos hubiera ayudado a evitar este incidente. 
  • En 2012 hubo un incidente similar, pero el cual acabó con la eliminación remota de los dispositivos.
  • En el peor de los casos las víctimas deberán realizar un reset y "modo de recuperación" del dispositivo, eliminando todas las aplicaciones y datos.
  • Si la víctima tiene una copia de seguridad en iTunes se puede recuperar utilizando dicha copia de seguridad.

martes, 27 de mayo de 2014

Virus Total Uploader para OS X

El popular servicio Virus Total, que tiempo atrás compró la empresa Google, ha publicado una nueva aplicación para escritorio, en este caso para sistemas OS X. La versión para Windows existía desde hace tiempo, pero ahora han puesto Virus Total Uploader que puedes correr en Mac OS X 10.7 o superior que permite hacer drag and drop de los ficheros sospechosos para que sean subidos y analizados por los motores antimalware de Virus Total.

Figura 1: Virus Total Uploader para OS X 

Para probarla, nosotros hemos subido la propia app de Virus Total Uploader para OS X, con el objeto de ver cómo funcionaba la herramienta. En el interfaz se puede ver cómo la aplicación muestra el enlace con el análisis completo.

Figura 2: Informe de análisis de Virus Total Uploader con Virus Total
En esta ocasión, no hemos sido los primeros en hacer esto, y 40 minutos antes alguien ya había subido para analizar la propia herramienta. ¿Es la gente muy paranoica?

lunes, 26 de mayo de 2014

Apple comete un error de principiantes y se le caduca un certificado de los servidores usados para Software Updates

La gestión de los certificados digitales de una compañía es una de las tareas fundamentales que deben llevarse a cabo. En Eleven Paths, dentro de los más de 100 plugins de auditoría que tenemos en nuestro sistema de Pentesting Persistente Faast hay dos de ellos orientados solo a gestionar esto. El primero avisa de todos los certificados digitales caducados, el segundo genera una alerta de seguridad de gestión si al certificado digital le quedan menos de 30 días para caducar, permitiendo que el administrador tenga tiempo suficiente de actuar antes de tener el problema.

En el caso de Apple no han sido tan previsores, y uno de los certificados digitales de uno de los servidores que se utilizan en Software Updates ha caducado. En concreto, de los cuatro servidores indicados por Apple que se utilizan, que son: swcdn.apple.com, swdownload.apple.com, swquery.apple.com y swscan.apple.com, ha sido el certificado de SWSCAN.APPLE.COM el que se les ha caducado, como puede verse aquí.

Figura 1: El certificado de swscan.apple.com caducado

El uso de certificados digitales correctos para la distribución de actualizaciones de seguridad es fundamental para evitar los ataques de Evil Grade que pueden permitir a un atacante, como se pudo ver que utilizaba el troyano de espionaje FinFisher, para introducir un troyano en la máquina de la víctima simulando ser una actualización correcta. Esto ha hecho que ahora Software Updates no funcione con ese servidor.

Figura 2: Error en OS X al actualizar

Debido a esto, Apple parcheó después de varios años su sistema de actualizaciones utilizando certificados digitales, pero parece que no han gestionado correctamente su renovación.

domingo, 25 de mayo de 2014

Fue Noticia en Seguridad Apple: Del 12 al 25 de Mayo

Una vez más retomamos nuestro ritual de recopilar todos los artículos relacionados con la seguridad que han tenido lugar en el mundo Apple en las últimas dos semanas, y que por supuesto hemos publicado en este blog - junto con una pequeña selección de otros que no puedes perderte -. Vamos con el repaso de lo publicado y luego con la lista de los posts de otros blogs.

Para comenzar la semana del 12 de Mayo, un plato fuerte: un repaso por todas las Apple Stores fraudulentas que podemos encontrar en la Deep Web, que supuestamente venden todo tipo de dispositivos Apple a precios más que asequibles. Algunos sitios sospechosamente fraudulentos y otros abiertamente fraudulentos.

El martes publicamos un artículo ligeramente crítico dirigido contra la política de actualizaciones de software de Apple para parchear brechas de seguridad. Estas actualizaciones no se publican simultáneamente para OS X y para iOS, lo que deja a una gran parte de los usuarios expuestos durante un tiempo.

Creación del server con Frutas R.A.T.
A mitad de semana nos centramos en un backdoor basado en Java que está dando mucho que hablar. La herramienta Frutas R.A.T, que se difunde principalmente a través de redes sociales, permite tomar el control de un equipo de forma remota.

El jueves hablamos del Proyecto Cider, una sorprendente arquitectura de compatibilidad desarrollada por estudiantes de la Universidad de Columbia que permite la ejecución de apps de iOS en sistemas operativos Android.

Noticia de actualizaciones para terminar la semana. El viernes os contamos qué trae de nuevo la versión OS X Mavericks 10.9.3, que viene a poner punto y final a 13 CVEs que comprometían la seguridad de los usuarios.

En sábado nos centramos en una actualización más pequeña pero no por ello menos importante: una nueva versión de Apple iTunes, la 11.2.1, que soluciona un CVE que permitía obtener credenciales de la aplicación por medio de un ataque Man in the Middle. Además, se arregló el bug que ocultaba la carpeta USERS en OS X.

Al día siguiente revisamos los no pocos problemas que ha generado iMessages, la aplicación nativa de Apple para envío de mensajes de texto: problemas con tarjetas clonadas, pérdidas de mensajes.... y muchas denuncias de por medio.

La nueva semana comenzó con una noticia relacionada con el Untethered jailbreak de iOS 7.1.x que anunciamos semanas atrás. El equipo Evad3rs dispone de una herramienta que permite realizar un Untethered jailbreak en dicha versión del sistema operativo, pero no planean publicarla hasta que salga la beta de iOS 8. Por otra parte, ha salido a la luz que i0nic dispone de un exploit para esta versión desde hace mucho tiempo.

Archivo PDF cifrado en OS X
El martes mostramos cómo se puede cifrar archivos PDF en OS X, utilizando la herramienta Preview, y así cubrirnos las espaldas frente a fallos de seguridad como el de Dropbox, que dejaba expuestos documentos compartidos.

Un día después vimos la sorprendente tregua entre Apple y Google, poniendo fin temporalmente a la guerra de patentes, con innumerables demandas interpuestas entre ambos que duraba desde hace varios años.

El jueves nos centramos en un bug en Apple iCloud que permite desactivar el Activation Lock de iOS 7, descubierto por hackers y que se está usando para liberar dispositivos que han sido robados.

Para este viernes tocó hablar de Apple Safari 7.0.4 y Apple Safari 6.1.4 para OS X, que solucionan 22 vulnerabilidades de seguridad. Una vez más, las versiones de Safari para iOS quedan expuestas debido a esta política desincronizada de parcheo.

Por último, ayer sábado hablamos de OS X Server 3.1.2 que soluciona un bug crítico en Ruby On Rails que podría permitir a un atacante comprometer la seguridad completa de un servidor.

Hasta aquí la lista de todos los artículos publicados en Seguridad Apple, pero durante este tiempo han sucedido otro buen montón de cosas que pasamos a recapitular en la siguiente selección de posts que no debes perderte:
- Apple prepara ya iOS 7.1.2: Hay ya varios bugs públicos conocidos, entre otros los fallos de iMessage y el cifrado de los adjuntos en los correos electrónicos que Apple tiene que resolver. 
- Cómo comenzar a usar Latch en tu vida digital: Paso a paso se explica en este artículo cómo se puede crear una cuenta y empezar a poner protecciones extra a tus identidades digitales. 
- Las universidades españolas y los metadatos: Un pequeño estudio refleja que las fugas de datos en los documentos publicados en las webs de algunas las universidades españolas son grandes. 
- SnapChat no borra las imágenes para siempre: Al final ha tenido que reconocerlo públicamente debido a las presiones de la FCC norteamericana. 
- Twitter te permite cambiar tu password vía SMS: Esto debe ser un acicate más para que añadas un segundo factor de autenticación en tu cuenta. 
- Cómo configurar Latch en la cuenta de Movistar.es y Movistar.uy: Tutorial paso a paso para añadir esta protección en tu identidad digital. 
- Google Glass puede darte dolor de ojos y de cabeza: Debido a que son movimientos extraños realizados con un solo ojo puede generar dolores nuevos.
Y esto ha sido todo, esperamos que tengas un buen domingo y que nos veamos dentro de dos semanas en esta sección y cada día en los artículos que publicamos en Seguridad Apple.

sábado, 24 de mayo de 2014

Apple OS X Server 3.1.2 arregla serio bug en Ruby on Rails

Esta semana Apple ha publicado OS X Server 3.1.2 para solucionar solo un bug, con CVE-2013-4164 que afecta a Ruby. Dicho bug, un heap-based buffer overflow permite que un script en Ruby con una entrada mal formada pueda generar en una ejecución de código arbitrario en el servidor, lo que hace que esta actualización esté catalogada como Highly Critical y que se recomiende su actualización cuanto antes.

Figura 1: Security Advisory de OS X Server 3.1.2

La información de este bug está disponible en el Security Advisory APPLE-SA-2014-15-20-1 OS X Server 3.1.2 y la actualización está disponible vía Mac App Store para su aplicación.

viernes, 23 de mayo de 2014

Apple Safari 7.0.4 y 6.1.4 para OS X arregla fallos en el WebKit que quedan vulnerables en la versión de iOS

Apple ha liberado una nueva versión de su navegador Apple Safari, la razón es que existen fallos de seguridad en el código del WebKit que permitía la ejecución de código arbitrario en un equipo cuando éste visitaba una web maliciosa. Este tipo de bugs son utilizados habitualmente para la distribución de malware por medio de los famosos Exploit Kits, que desde hace ya mucho tiempo tienen a los equipos OS X entre sus objetivos. Lógicamente, también se podía conseguir que en vez de ejecutar código causará la caída de la aplicación. Dos escenarios temidos cuando se habla de una vulnerabilidad en un software, el primero que la aplicación ejecute cosas para las que no está programada o que deje de funcionar causando el cese de su actividad.

El número total de vulnerabilidades solucionados en esta nueva versión es de 22 CVEs de seguridad, que están descritos, uno a uno, en el Security Advisory de Apple con código APPLE-SA-2014-05-21-1 Safari 6.1.4 and Safari 7.0.4.

Figura 1: Security Advisory de Apple Safari 6.1.4 y 7.0.4

La versión Apple Safari 7.0.4 se encuentra disponible para los sistemas operativos OS X 10.9 Mavericks y la versión Apple Safari 6.1.4 para OS X 10.8 Mountain Lion. Estas nuevas versiones de Safari para OS X llegan un mes y medio después que lo hiciera la versión 7.0.3 y 6.1.3 del navegador, a mediados de Abril y se puede descargar a través del sistema de Actualización de Software de Apple.

¿Y estos bugs están iOS?

Sí, los bugs que se solucionan en estas versiones de Apple Safari para OS X también afectan a la versiones de Apple Safari para iOS, pero una vez, como es la queja de los investigadores de seguridad desde hace tiempo, Apple deja vulnerables los terminales iOS con estos bugs, por lo que durante este periodo de tiempo habrá que tener cuidado extra.

jueves, 22 de mayo de 2014

Un bug en iCloud permite liberar iPhone & iPad bloqueados

Un grupo de hackers holandeses y marroquíes, bajo el nombre Doulci, han conseguido romper la seguridad de iCloud la nube de Apple, la cual dispone de 400 millones de usuarios en el mundo. ¿Qué se hace con este servicio? Por ejemplo, utilizar este servicio para bloquear teléfonos iPhone robados a través de dicho sistema. La noticia puede leerse en el periódico holandés De Telegraaf, en el cual se cuenta la hazaña o el acto de hacking. Los hackers que actúan bajo el nombre de AquaXetine y Merruktechnolog han logrado vulnerar el servicio. 

Cuando un dispositivo como iPhone es robado, una de las funcionalidades estrella de Apple iCloud, es que se puede bloquear a distancia con Find My iPhone y el Activation Switch. Según informa el periódico holandés en los últimos días 30.000 dispositivos móviles iPhone robados han sido desbloqueados. Estos dispositivos son vendidos más tarde en Internet, el negocio parece interesante. Queda claro que si existe una forma de vulnerar el servicio puede resultar interesante para ciertos delincuentes. Hasta el momento, solo bugs puntuales y en situaciones concretas permitían eliminar la cuenta de Apple iCloud de un terminal.

Figura 1: Activation Switch con Apple iCloud

Comerciantes chinos compran de forma masiva dispositivos móviles de Apple, los cuales están bloqueados y se hace negocio rápido. Los compran entre 50 y 150 dólares, para su posterior venta desbloqueados por un importe que va desde los 450 a 700 dólares. Los terminales iPhone o iPad, que Apple ha bloqueado porque han sido modificados por sus propietarios en contra de los términos de la compañía, son fácilmente vendibles.

El experto de seguridad Mark Loman, indica que los piratas han colocado un equipo ficticio entre el dispositivo y el sistema de Apple iCloud, es decir un proxy, con el que se autoriza la liberación de un terminal de esta compañía. Este proxy manipula las aplicaciones del iPhone, el cual se entiende que está conectado con el servidor de Apple, para activar y desactivar los dispositivos. Gracias al proxy, o Nepcomputer, se puede generar mucho dinero en ventas, ya que permite bloquear y desbloquear dispositivos. Además, según indica Loman los hackers podrían realizar alguna acción más como leer mensajes de iMessage. Parece uno de los hacks del año, ya que en malas manos puede reportar un gran beneficio a ciertas mafias que puedan aliarse para el robo masivo de dispositivos.

Actualización: A día de hoy no hay ningún bug que funcione, así que los esfuerzos en desbloquear iCloud se están haciendo vía ataques de Spoofing de mensajes a los propietarios.

miércoles, 21 de mayo de 2014

Apple y Google firman una tregua en la guerra de patentes

La guerra de patentes que desde hace años enfrenta a Apple y Google llega a su fin, al menos temporalmente. Históricamente hemos presenciado líos entre empresas tecnológicas por las ansiadas patentes, pero quizá la guerra entre Google y Apple es como el clásico entre los clásicos si hiciéramos un símil futbolístico. Ambas compañías parecen haber alcanzado un acuerdo para dar por terminados todos los procesos judiciales que tienen abiertos, que no son pocos. Y no solo eso, también anuncian que están dispuestas a colaborar en pos de una reforma de patentes.

Semejante noticia no ha dejado indiferente a nadie. Desde el punto de vista de los expertos en materia de propiedad intelectual, esta decisión obedece a que ninguno de los dos gigantes tecnológicos dispone de argumentos para imponerse a corto plazo en sus demandas pendientes. Por eso, para evitar un largo proceso de desgaste que no llevaría a ningún lado, han decidido poner punto final al litigio. 

Figura 1: Gráfico que describía el estado de la guerra de patentes..

Todo comenzó hace casi un lustro, cuando Motorola denunció a Apple, quien respondió de la misma manera. Google entró en el conflicto al comprar la rama de telefonía móvil de Motorola. Muchos analistas interpretaron este movimiento como una estrategia para usar las patentes como mecanismo de defensa de Android, sistema operativo que utilizado por casi el 75% de los terminales móviles del mercado.

Hay que aclarar, sin embargo, que esto no significa que Apple renuncie a su agresiva política de patentes. La tregua con Google no cierra otros frentes. Con un 30.2% de cuota del mercado de los smartphones, Samsung es el principal rival de Apple en la fabricación de dispositivos móviles. Y la guerra de patentes contra esta compañía sigue más viva que nunca.

Si bien en los últimos tiempos es Apple quien se está llevando el gato al agua, tras varias condenas a Samsung por violación de patentes que han resultado en jugosas indemnizaciones, resoluciones recientes de los tribunales están revertiendo la balanza, siendo Apple quien ha de indemnizar, en menor cantidad, dicho sea de paso, a la empresa surcoreana.

martes, 20 de mayo de 2014

Cifrar un PDF en OS X

Tras el escándalo del bug en Dropbox que podría dejar expuestos documentos compartidos, muchos son los que han preguntado por opciones de protección de los documentos cuando se van a compartir. Una forma sencilla es la de poner un sistema de protección de cifrado a archivos compartidos con shared-password para evitar que ojos no deseados pudieran acceder al contenido de los documentos. En el caso de OS X y los documentos PDF, la herramienta de Preview es capaz de cifrar el contenido de un documento PDF usando Shared-Password por medio de una contraseña. 

Las opciones de cifrado y protección de documentos PDF pueden ser tres. La primera de ellas es la citada de protección por contraseña compartida, cifrando el contenido del documento completo con un algoritmo que podrá ser RC4 o AES256 dependiendo de la versión del documento PDF y las opciones de la herramienta que se esté utilizando. Los algoritmos están descritos en los documentos del estándar ISO 32000 que define el formato PDF.

Figura 1: Opción de cifrar un documentos PDF con OS X Preview

Las otras opciones para proteger un documento PDF es utilizar el cifrado con certificados digitales usando PKI o directamente utilizar soluciones de Digital Right Manangements. En OS X Preview se puede usar la primera de las opciones, y basta con seleccionar el checkbox de Encrypt en el cuadro de diálogo de guardar para que se nos solicite una contraseña compartida. Pon una contraseña muy compleja, ya que existen múltiples herramientas de cracking de passwords PDF.

lunes, 19 de mayo de 2014

Jailbreak para iOS 7.1.x: i0n1c y los Evad3rs ya lo tienen

Hace unas semanas hablamos de que ya existía un Jailbreak para iOS 7.1 en iPhone 4S, pero que otros modelos deberían esperar. Según informa Pod2g hace unos días, el Untethered Jailbreak iOS 7.1.x se reserva hasta que lleguen las primeras betas de iOS 8 para probar que sigue funcionando. El equipo de Evad3rs ha dejado claro que están trabajando en este Jailbreak que cuando salga iOS 8 la herramienta Evasi0n7 se actualizará para incluirlo. Realmente es lógico que no se quiera sacar a la luz, ya que el coste de llevar a cabo este tipo de descubrimientos es alto, y un exploit de este tipo puede perderse por precipitación. 

Dicho esto, ¿cuándo tendremos Jailbreak más o menos? Apple tiene programada la salida de iOS 8 para el día 2 de Junio, por lo que en apenas dos semanas podría salir a la luz el nuevo Jailbreak. El equipo de Evad3rs quiere esperar a realizar pruebas de su Jailbreak bajo las betas de iOS 8, por lo que si Apple no ha corregido los fallos en esta versión el Jailbreak seguirá valiendo. Es altamente probable que si Evad3rs no lo ha hecho público, Apple no pueda conocer el fallo de seguridad que provoca la posibilidad de realizar Jailbreak al dispositivo. 

Lo que si ha ocurrido es que i0n1c ha sacado a la luz una imagen en la que muestra un iPhone 5 con iOS 7.1.1 y con Jailbreak. Según comenta el propio hacker alemán dicho Jailbreak ha sido conseguido a través de una vulnerabilidad muy antigua y que es un exploit a nivel de kernel. Comenta que funciona en todos los modelos de iPhone y iPad y que sería cerrado por Apple fácilmente si lo conocieran. 

Figura 1: Foto del Jailbreak en iPhone 5 de i0n1c

Lo sorprendente es que i0n1c dispone de este exploit hace años y lo ha ido utilizando a lo largo del tiempo por lo que no hará público dicho exploit. Él habla de este Jailbreak como "su Jailbreak" y que lo guardará para él.  En definitiva, parece que los chicos de Evad3rs tienen un Jailbreak que esperarán a iOS 8 y que es altamente probable que una vez salga iOS 8 salga a la luz el nuevo exploit. Por otro lado, la historia de i0n1c es curiosa y es un claro ejemplo del poder que pueden tener algunas personas u organizaciones teniendo en su poder exploits no públicos y el daño que pueden hacer, o incluso el beneficio económico que pueden tener.

domingo, 18 de mayo de 2014

El robo del SMS y los problemas de abandono de iMessage

Cuando en iOS 5 se forzó a los usuarios de iPhone a pasar de SMS a iMessage, no se les notificó de todos los pequeños problemas que esto podría acarrear a lo largo de una vida usando mensajes de texto. Hay que recordar que Apple NO introdujo una nueva app llamada iMessages sino que la misma app de Messages - siempre usada en iOS anteriormente para enviar SMS - de repente enviaba los mensajes de texto entre terminales iPhone usando un nuevo sistema, del que muchos usuarios no eran conscientes. Esto llevo a muchas situaciones no habituales para los usuarios a las que no estaban acostumbrados.

Problema 1: Sin múltiples mensajes en SIM clonadas

Por ejemplo, aquellos que tenían un mismo número de teléfono dos SIM clonadas y que una de ellas fuera un iPhone, dejaban de recibir los mensajes en los dos teléfonos. Esto generaba un cambio en el paradigma de uso. iMessage puede funcionar entre múltiples dispositivos de Apple, como iPhone, iPad, OS X, pero nunca entre distintos terminales con la misma SIM, para eso hay que forzar el envío de SMS deshabilitando el uso de iMessage o reenviando manualmente el mensaje que ha sido enviado con iMessage como un SMS.

Figura 1: Forzar el envío de un iMessage como SMS manualmente

Problema 2: Deshabilitar iMessage en un dispositivo entregado

También sucedía que como iMessage asocia el destinatario al terminal y no a la SIM, un simple cambio de SIM en un terminal iPhone no era suficiente para dejar de recibir los mensajes, así que muchos usuarios veían como sus mensajes de texto llegaban a personas a las que habían regalado o vendido el terminal sin haber hecho una restauración. Lo peor, es que también les llegaban los mensajes de texto a los ladrones del terminal.

Figura 2: iMessages entregados a ladrones de iPhone

Problema 3: iMessage y la necesidad de Internet

Cuando el destinatario del mensaje de texto tiene iPhone, entonces el emisor enviará por iMessage si hay conexión a Internet y por SMS si no la hubiera, pero nunca tiene en cuenta si el destinatario tiene o no disponibilidad de conexión a Internet, así que puede que si el destinatario está en una situación sin Internet, NO se le enviará el mensaje por SMS. Esto generó problemas, por ejemplo, en la caída de Internet en New York debido al temporal que solo los que deshabilitaron iMessage a tiempo pudieron salvar.

Figura 3: Configurar iMessage o SMS en Messages

Problema 4: iMessages perdidos en la migración a otros teminales

Hoy la noticia es el problema con los mensajes que se pierden cuando los usuarios pasan de un iPhone a otro dispositivo que no es de Apple, ya que al igual que en el problema 3 nunca se reenvían por SMS. Apple, es consciente del problema, pero no está siendo capaz de solucionarlo a día de hoy. En otras palabras, si nosotros tenemos un iPhone y cambiamos de dispositivo, cuando mis contactos con iPhone me envíen un mensaje de texto, éste no me llegará debido a que el iPhone de mi contacto no sabe que yo ya no tengo un iPhone y no será capaz de enviármelo como mensaje de texto si ya está enviado.

Apple demandado por esto

Como iMessage se activó por defecto en iOS 5 sin avisar de que había un cambio de uso de SMS a iMessage - ya se comentó esto en muchos sitios - ahora hay algunas personas que están demandando a Apple por los problemas que le ha causado no recibir los mensajes de texto como SMS cuando se migraron a Android.


Figura 4: Demanda a Apple por iMessages

Si usted es usuario de iPhone y está barajando la posibilidad de cambiar de dispositivo debe desactivar la funcionalidad iMessage antes de cambiar de dispositivo. De este modo evitará que el sistema de Apple le tenga en cuenta y no reconozca su cambio automáticamente. Esta precaución funciona en muchos casos, pero no todos los propietarios de iPhone ha conseguido obtener el resultado esperado.

sábado, 17 de mayo de 2014

Actualización de Apple iTunes 11.2.1 soluciona 1 CVE

Junto con la aparición de OS X Mavericks 10.9.3 Apple ha lanzado también una nueva actualización de Apple iTunes 11.2. La nueva versión, además de añadir mejoras y funcionalidades soluciona un el bug CVE-2014-1296, el cual permite a un atacante obtener credenciales de Apple iTunes gracias a un ataque de man in the middle en la red. En otras palabras, un atacante puede forzar a la conexión cerrarse antes de que los ajustes de seguridad se envíen, para después obtener el valor de la cookie sin protección.

La aplicación Apple iTunes 11.2 se encuentra disponible para OS X, Windows XP SP3, Windows Vista/7/8 o superior de 32 bits y como es habitual hay una versión especial de Apple iTunes 11.2 para Windows de 64 bits.

Figura 1: Security Advisory de Apple iTunes 11.2

Una vez que instales Apple iTunes 11.2, a través de Mac App Store se está ofreciendo Apple iTunes 11.2.1, un pequeño Fix para solucionar el problema de que la carpeta USERS en OS X Mavericks 10.9.3 queda oculta en las instalaciones de los usuarios.

Figura 2: Apple iTunes 11.2.1 en la Mac App Store

Te recomendamos que actualices cuanto antes, pues una vez que se hacen públicos los fallos de seguridad, es más fácil para un atacante que se ponga en práctica. Además, aprovechamos para recordarte que Adobe también ha sacado actualizaciones de seguridad para Adobe Flash Player, Adobe Illustrator (CS6) y Adobe Reader/Acrobat y que desde Apple se han actualizado los drivers de las impresoras Cannon para OS X y se ha puesto en circulación un nuevo paquete de compatibilidad para cámaras digitales. Actualiza tu sistema operativo y mantenlo lo más seguro posible.

viernes, 16 de mayo de 2014

OS X Mavericks 10.9.3 arregla 13 CVEs de seguridad

Ayer Apple puso disponible la nueva versión del sistema operativo OS X Mavericks 10.9.3 publicando un Security Advisory en el que se informa de que se han solucionado un total de 13 CVEs de seguridad, además de mejorar muchas de las prestaciones del sistema, como el rendimiento de las pantallas Retina de 4K, la posibilidad de sincronizar contactos entre iOS y Mail vía USB o mejoras en el rendimiento de VPNs con IPSec. También, como era esperado, está la actualización de Apple Safari 7.0.3 con los bugs que ya habían sido solucionados en el Security Update anterior.
La lista de los bugs, que afectan a esta versión están descritos en el Security Advisory APPLE-SA-2014-05-15-1 OS X Mavericks v10.9.3 y están descritos en el artículo de la Knowledge Base HT6207. La nueva actualización está disponible vía Mac App Store y para descarga directa en versión actualización y versión Combo en los siguientes enlaces:
Os recomendamos que actualicéis cuando antes para solucionar los bugs descritos en la actualización.

jueves, 15 de mayo de 2014

El Proyecto Cider lleva apps de iOS a dispositivos Android

El Proyecto Cider ha sido llevado a cabo por 6 estudiantes del Departamento de Ciencias de la Computación de la Universidad de Columbia. Este proyecto proporciona una arquitectura de compatibilidad a nivel de sistema operativo capaz de ejecutar aplicaciones de iOS en dispositivos Android.

En vez de utilizar una máquina virtual de manera estricta, lograron ejecutar binarios distintos en el mismo dispositivo, lo que ha generado mucho revuelo en el sector. Para conseguir esta ejecución aprovechan técnicas de compatibilidad binaria, como por ejemplo la adaptación de código en tiempo de compilación y las funciones que se pueden encontrar en ambos sitios.

La adaptación de código en tiempo de compilación permite modificar el código fuente de la aplicación a exportar con el objeto de ser reutilizado en el núcleo interno del sistema destino. De esta forma se produce una reducción en el esfuerzo de implementación necesaria para soportar múltiples interfaces de binarios en ejecución de aplicaciones nativas y de otro sistema existentes. Esto quiere decir que Cider puede copiar bibliotecas y frameworks que se necesitan y ajustar el código de una aplicación que se ejecuta en un Kernel XNU de Apple para un Kernel Linux de Android.


Figura 1: Prueba de concepto de Cider

En este video se muestra una prueba de concepto con un Nexus 7 en el que Cider permite ejecutar aplicaciones de iOS como es iBooks. El rendimiento no es el mejor, pero esto es algo normal ya que la optimización de código no es idónea en un proceso de este tipo. Sin embargo, se marca un nuevo campo en el que la compatibilidad de aplicaciones entre iOS y Android ha aumentado, viendo la traducción y ejecución nativa como una hazaña que tenemos que tener en cuenta.

Figura 2: Arquitecturas de Android e iOS

Estos estudiantes presentaron una ponencia en la cual presentaron la arquitectura y el método que utilizan para lograr este resultado. Además, se hizo hincapié en algo que siempre ha llevado consigo los frameworks que permiten compatibilidad entre plataformas. En este caso explicaron, como cuentan en TNW, que se introduce sobrecarga en el rendimiento, aunque es una pequeña cantidad.

La última parte es especialmente importante, ya que comentaron que las apps de Android siguen funcionando incluso con la capa de abstracción del sistema operativo. Los estudiantes comentaron que no han encontrado ningún tipo de limitación respecto a la compatibilidad aunque todavía es solo un prototipo y la implementación es incompleta. Señalaron que los smartphones y tablets tienen muchas características que las aplicaciones esperan poder utilizar, como son el GPS, cámaras, radio, Bluetooth, etcétera.

Figura 3: Arquitectura Cider

Parece que el proyecto sigue muy vivo, y planean una evolución y mejora del mismo, donde habrá que esperar a ver cómo gestionan cosas como los permisos de seguridad, ya que los modelos que usan Android e iOS son bastante diferentes.

miércoles, 14 de mayo de 2014

Frutas R.A.T.: Backdoor escrito en Java que afecta a OS X

Figura 1: Logo de Frutas R.A.T.

Hace un tiempo se ha anunciado desde Symantec el descubrimiento de un nuevo troyano, denominado Frutas, que hace las veces de RAT(Remote Access Tool). Creado con un origen hispano, esta herramienta de control remoto está desarrollada  íntegramente en Java, lo cual la convierte en una amenaza multiplataforma: todos los sistemas operativos, incluyendo Windows, Linux y OS X, serán propicios para llevar su propagación y acciones maliciosas por parte de los atacantes. Como curiosidad indicar que cada nueva versión recibe la denominación de un tipo de fruta. 

Figura 2: Creación de un backdoor server con Frutas R.A.T.

El funcionamiento es sencillo. El troyano es un archivo JAR que cuando es ejecutado en el equipo de la víctima, crea un servidor que construye una puerta trasera parseando un fichero de configuración con dirección IP y puerto. Dicha backdoor permite a los atacantes llevar a cabo una gran variedad de acciones: entre otras cosas, explorar los archivos del sistema, matar procesos, hacer saltar un pop-up, descargar y ejecutar ficheros, manejar el navegador e incluso forzar una denegación de servicio. En otras palabras, otorga a los atacantes el control total del equipo de la víctima.

Figura 3: Panel de control de Frutas R.A.T.

Frutas es una herramienta de origen español y aunque su uso todavía no es demasiado frecuente, ya es detectable por más de una veintena de antivirus. Para evitar que se descubra, los delincuentes suelen recurrir a las redes sociales para su propagación, debido a sus laxas medidas de seguridad. Facebook, por ejemplo, no detecta el archivo JAR, así que haciendo un poco de ingeniería social (no muy sofisticada, dicho sea de paso), consiguen un gran número de descargas. En casos como estos, conviene recordar que la mejor defensa contra este tipo de amenazas es el sentido común, y que no es recomendable descargar archivos si no conocemos su procedencia, por mucho que prometan grandes ventajas.

Figura 4: Distribución de Frutas R.A.T. a través de Facebook

Si eres usuario de OS X ten en cuenta que las amenazas existen y están en Internet. De esta forma tan sencilla se puede infectar sistemas operativos de Apple y gracias a vías como Facebook se dispone de un canal de distribución que llega a millones de usuarios en un corto período de tiempo. Recuerda que si ves alguna promoción con enlace externo en sitios como Facebook y detectas que un JAR puede ser ejecutado ten cuidado. 

martes, 13 de mayo de 2014

Desincronización de parches en iOS & OSX y seguridad

En los últimos días muchos medios se han hecho eco de las duras críticas que Kristin Paget, investigadora de seguridad y ex-empleada de Apple, expresa en su blog personal, en contra de la política de actualizaciones de seguridad.

Los dos sistemas operativos de Apple, OSX & iOS, comparten muchos elementos de su arquitectura, por lo que en general una vulnerabilidad afecta al primero puede afectar también al segundo. Sin embargo, cuando se publica una actualización de seguridad para OS X, suele transcurrir un periodo de tiempo hasta que el parche es publicado para iOS, y viceversa.

Paget sostiene que este lapso de tiempo, que puede llegar a las tres semanas, pone en grave riesgo la seguridad de los usuarios de la plataforma que es parcheada en último lugar. Cita como ejemplo la actualización de iOS 7.1.1, recientemente publicada por Apple, que soluciona las mismas vulnerabilidades que habían sido parcheadas en las versiones 6.1.3 y 7.0.3 de Apple Safari para OS X a primeros del mes Abril.

Figura 1: El post de Kristin Paget al respecto

Dichas vulnerabilidades, que afectaban a WebKit, el motor utilizado para renderizar páginas web, tenían graves implicaciones puesto que permitían a un atacante ejecutar código arbitrario. Según parece, Apple dejó expuestos a los usuarios de iOS durante un mes, de forma premeditada. Por desgracia esto ha pasado varias veces, llegando hasta pasar casi un mes, como en el caso del bloqueo de certificados robados.

Lo cierto es que Apple no es la única compañía que sigue una política de este tipo. Las actualizaciones de Flash Player, por ejemplo, tardan semanas en llegar a Adobe Reader. Uno de los pocos supuestos bajo los que sería razonable priorizar una plataforma sería el de una actualización de urgencia debida a un 0-day que estuviese siendo explotado de forma activa para uno de los dos productos.

lunes, 12 de mayo de 2014

Las Apple Store fraudulentas de la Deep Web

Visitando la Deep Web usando Tor puedes encontrar casi cualquier cosa y entre otras, puedes localizar tiendas online vendiendo dispositivos Apple que dicen ser robados o conseguidos de contrabando. Lo cierto es que jamás te recomendaríamos comprar un dispositivo Apple así por muy barato que lo encontrases. Esto no quiere decir que sean fakes o ilegales, ya que el que estén en la Deep Web puede significar solo otro canal de venta para una tienda, pero aún así, es fácil ver que muchas son más que "sospechosas" de ser una estafa o un delito. Esa es una rápida selección de lo que hemos visto por ahí.

Apples 4 Bitcoin

Tiene el aspecto de un tienda que solo vende un tipo de producto, concretamente estos iPhone 5/5S y los iPads de abajo. Dicen servir desde USA, cargan un 5% por el envío y dicen dar un 1% de las ventas referenciadas por cada usuario. Dicen que todos los terminales están desbloqueados de operador.

Figura 1: iPhone 5 e iPhone 5S en Apples 4 Bitcoins

Figura 2: iPads en Apples 4 Bitcoins

Carded iPhones

Dicen vender terminales iPhone robados, reciben los pedidos por correo electrónico alojado en un dominio .ch y prometen entregar los terminales en 5 días. La página web está datada en 2013.

Figura 3: Carded iPhones en la Deep Web

iPhones for Bitcoins / iPhones for Sale

Es una de las páginas menos trabajadas. Dicen vender terminales Apple con las características que aparecen en la imagen, cobran en BitCoins y reciben los pedidos por correo electrónico.

Figura 4: Página web de iPhones for Sale / iPhones for BitCoins

Premium Tor

Se define como una tienda que blanquea dinero procedente del mundo del e-crime y el fraude online comprando terminales legales con tarjetas de crédito robadas, gift cards de Apple o cuentas de Paypal. Es decir, los clientes de esta tienda son cómplices del fraude de estas mafias.

Figura 5: La tienda de PremiumTor en la Deep Web

Stolen Mac Store

Otra tienda de la Deep Web que vende terminales robados. Su aspecto es bastante malo pero está datada en 2014. Tampoco mienten sobre la procedencia de sus terminales.

Figura 6: Stolen Mac Store

Onix Electronics

La información que provee esta tienda online es bastante poca. Tiene un e-mail de contacto en safe-mail pero la información que da es prácticamente cero. Bastante sospechosa.

Figura 7: Onix Electronics en la Deep Web

Todas estas webs ofrecen muy poca seguridad. Si compras algo en una de ellas puedes acabar estafado o siendo colaborador de las mafias de Internet y llegar a tener problemas legales en una posible detención del sitio. Desde luego, no deja de sorprender cómo las mafias buscan ganar dinero con Apple.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares