Menú principal

domingo, 31 de agosto de 2014

Fue Noticia en Seguridad Apple: del 18 al 31 de Agosto

El verano toca a su fin, y con él terminan las vacaciones, pero Seguridad Apple no descansa. Llega otra vez el momento de revisar las noticias más destacadas de las últimas dos semanas, tanto publicadas en este blog como en otros medios virtuales.

El lunes 18 de agosto denunciamos una nueva campaña de phishing dirigida a los usuarios de Apple, que siempre es una forma rápida de obtener dinero. Lo curioso es que esta vez la estafa es bastante pobre en cuanto a elaboración.

El martes os hablamos de un bug que permite realizar una escalada de privilegios en Windows a través de software de Apple, concretamente el Software Updates, que se ejecuta servicios como con permisos de administrador.

De la expansión de Apple por el mundo hablamos a mitad de semana, con el anuncio por parte de la compañía de la apertura de centros de almacenamiento de datos en Curaçao y en China, siendo esto último bastante llamativo habida cuenta de las recientes polémicas entre el gobierno chino y Apple por temas de privacidad.

El jueves presentamos un pequeño truco para mostrar la hora de cada mensaje en iMessage para iPhone y iPad, cosa que la aplicación oculta por defecto, siendo molesto para muchos usuarios. Es sencillo, basta con deslizar la pantalla hacia la izquierda.

No podía faltar la ración de polémica de la semana, así que el viernes 22 posteamos sobre la orden judicial que ha forzado a Apple a retirar Secret de la App Store en Brasil, con la excusa de que las aplicaciones de mensajería anónima dan lugar a cyberbulling.

El sábado publicamos, en relación al post del jueves, cómo acceder a la hora de los mensajes de iMessage en el cliente para OS X. En este caso, es necesario dejar el cursor unos instantes sobre cada mensaje para que en un tooltip aparezca la hora.

Para cerrar la semana una excelente noticia desde Apple. La compañía anunció su compromiso para reemplazar, a nivel mundial, las baterías de una remesa de iPhone 5 defectuosa. Un buen gesto para los usuarios, sin duda.   

Semana nueva, post nuevo. El lunes 25, os contamos el exploit de 0day que sufre el cliente FTP y sFTP Easy FTP Pro v4.2 para dispositivos iOS, que permite Command Injection y elevación de privilegios.

El martes hablamos de cómo el estado de California exigirá, a partir de ahora, que todos los smartphones vengan de fábrica con un Kill Switch (equivalente al Activation Lock de iOS) activado por defecto, para prevenir el robo de dispositivos.

Demo click to call
El miércoles 27 os hablamos de una característica bien conocida de iOS. Es posible forzar llamadas a través de URIs de tipo tel. Sin embargo, aplicaciones como Messenger, Gmail o Google+ no se lo notifican al usuario, con el riesgo de seguridad que ello implica.

El jueves 28 nos centramos en un paper en el que varios investigadores de la Universidad de Berkeley analizan los distintos ataques a smartphones basados en Clickjacking y Tapjacking, tales como Destabilizing Pointer, Peripheral Vision, Fast Motion, etcétera.

Para el viernes, la noticia fueron las protestas del personal de seguridad de las tiendas Apple Store en frente de la tienda Apple Store de San Francisco, que acabó con la detención de 12 de los manifestantes.

Por último, ayer sábado os hablamos de la nueva actualización de seguridad para Microsoft Office 2011 para Mac, la Critical Update 14.4.4 que debe ser instalada cuanto antes debido a que no hacerlo pone en serio riesgo nuestro sistema.

Y esto ha sido todo lo publicado en nuestro blog, pero como hacemos siempre, vamos a dejaros otras lecturas que no podéis perderos de este periodo. Aquí van las recomendaciones:
- Cómo activar el control parental en iTunes y Mac App Store: Desde Intego cuentan cómo se pueden configurar estos controles para evitar problemas en el uso compartido de equipos OS X. 
- Cómo controlar el BlueTooth y la cerradura electrónica con Latch: Trabajo de Hackpalyers en el que controlan con Latch conexiones bluetooth y puertas electrónicas. Han publicado el código
- 50 Bugs corregidos en Google Chrome 37: Acuérdate de actualizar tu Google Chrome para OS X con urgencia. 
- Las presentaciones de DEFCON 22 disponibles: Nuestros compañeros de Cyberhades nos recopilan todas las presentaciones de la mítica conferencia para que las disfrutes. 
- Principales características de iOS 8 para la empresa: ¿Cuáles son las mejores características que traerá iOS para el mundo empresarial? Aquí tienes una buena lista. 
- Publicados Latch para Moodle y Latch para SugarCRM: Desde el blog de Eleven Paths nos llega el anuncio de los nuevos plugins oficiales disponibles de Latch para Moodle y SugarCRM. Además, se ha liberado un plugin de Latch para Laravel PHP hecho por la comunidad. 
- Apps pueden espiar la memoria de otras apps y robar datos: Ejemplo con Gmail, que permite robar los datos de la app a otra app maliciosa. 
- Capturar datos de red con un dispositivo iOS: Un ejemplo de cómo hacerlo con un terminal iOS con jailbreak. 
- Analizar los metadatos de fotografías y documentos con MetaShield Analyzer: La antigua FOCA Online ha mutado a una nueva herramienta llamada MetaShield Analyzer. Gratuita y disponible onlie. 
- Escaneo de Internet deja sesiones X11 abiertas: Ojo, que puedes tener este problema en OS X. El trabajo ha mostrado cómo es posible conectarse remotamente a escritorios X11 en Internet.
Y esto fue todo. Esperamos veros dentro de dos semanas en esta sección y cada día en los artículos que publicamos en Seguridad Apple.

sábado, 30 de agosto de 2014

Microsoft Office for Mac 2011 Critical Update 14.4.4

Con el último lanzamiento de parches de seguridad para todos sus productos, Microsoft ha puesto en circulación la actualización Microsoft Office for Mac 2011 Critical Update 14.4.4, que soluciona problemas de funcionalidad y bugs de seguridad que podrían a un atacante tomar control de un equipo Mac OS X con solo la apertura de un documento malicioso que explote esa vulnerabilidad, por lo que ha sido catalogada como una Critical Update.

Figura 1: Artículo de la Knowledge Base sobre Microsoft Office 14.4.4 for Mac

La actualización puede descargarse desde el artículo de la Knowledge Base de Microsoft y además, si tienes el sistema de actualizaciones activo recibirás una alerta en breve, así que no la ignores y aplica la actualización.

Figura 2: Instalación de Microsoft Office for Mac 2011 Critical Update 14.4.4

De momento no se conoce ningún problema con la actualización, así que cuanto antes apliques la corrección de los bugs de seguridad antes estarás protegido. No olvides que a lo largo del tiempo hemos visto malware para Mac OS X distribuido con archivos ofimáticos.

viernes, 29 de agosto de 2014

Personal de Seguridad detenido por protestas en Apple Store

La policía arrestó a una docena de activistas de la tienda Apple Store de la calle Stockton en San Francisco. En este lugar se celebraba una sentada en protesta por los bajos salarios y las malas condiciones de trabajo de los guardias de seguridad de Apple y otras compañías tecnológicas. La protesta fue organizada por SEIU, Service Employees International Union. Los manifestantes se encontraban molestos con la SIS, Security Industry Specialists. Esta organización se encarga de contratar los servicios de seguridad para muchas empresas tecnológicas americanas.

Los manifestantes comunicaban que con las grandes cantidades económicas que están consiguiendo empresas como Apple, ellos no se sienten parte de todo esto. En Estados Unidos ya se ha hablado de un problema cada vez con más eco, y es el de la diversidad de problemas que está creando la tecnología en Silicon Valley. Se publicó un informe dónde se trata el problema que se va expandiendo a Estados Unidos.

Figura 1: Protestas en frente de un Apple Store

El informe comenta lo siguiente:
La falta de acceso a empleos de alta gama y la falta de salarios adecuados en empleos de servicios contratados tienen un profundo impacto. Existen una gran brecha que sigue creciendo entre la región de ricos y todos los demás.
SIS ha respondido que sus trabajadores se encuentran entre los mejor pagados de la empresa, diciendo que todo esto ha sido un boicot o una campaña institucional dirigida por SEIU. Kayla Gordon que es ex guardia de seguridad de SIS, la cual ahora trabaja como organizador de SEIU, dijo que ella ganaba 15 dólares por hora en SIS, lo cual hacia que tuviera pocos beneficios.


Figura 2: Vídeo donde se explican los motivos de la protesta

Gordon también comentó que ellos son invisibles para el resto de la empresa, y que están protegiendo sus productos, los cuales hacen que organizaciones como Apple funcionen y vendan. En el video se puede ver a Gordon hablando sobre lo sucedido.

jueves, 28 de agosto de 2014

Nuevas Técnicas de Clickjacking & TapJacking y su explotación en dispositivos móviles

Los investigadores de la Universidad de Berkeley Devdatta Akhawe, Warren He, Zhiwei Li, Reza Moazzezi y Dawn Song han publicado un interesante paper sobre distintos ataques en el que el foco principal es el Clickjacking, y como éste afecta de manera importante a las nuevas tecnologías, llegando a los dispositivos móviles como víctimas interesantes hoy en día. Además del Clickjacking, existe el Tapjacking el cuales un concepto bastante similar y que permite saltarse, por ejemplo, permisos en Android. La técnica de Tapjacking consiste en situar una aplicación transparente delante de la que el usuario cree que está visualizando.

De este modo cuando se pulsa en algún botón de la aplicación que se encuentra detrás, en realidad se pulsa sobre la app que no se visualiza. Los ataques que proponen en el paper son los siguientes:

Figura 1: Artículo presentado sobre nuevas técnicas de clickjacking


Destabilizing Pointer

La idea clave de este ataque es desestabilizar la percepción del usuario en el uso del puntero, mostrando una imagen de un movimiento del puntero de ratón en una dirección diferente del cursor real. El ataque no es un ataque de punteros falsos. El ataque que se propone crea un puntero que se mueve en una dirección diferente para una duración transitoria. Este hecho hace que el usuario se confunda. 

Peripheral Vision

El segundo ataque consiste en fijar la atención del usuario en un área de la pantalla, mientras interactúa con otra. Este ataque es una demostración sencilla de la posibilidad de que un atacante sufra Clickjacking

Motor Adaptation

Este tipo de ataque permite aprovecharse de las limitaciones del sistema motor. Este tipo de ataque se refiere a la optimización de los sensores y motores para estímulos y acciones repetidas. La adaptación del motor permite al usuario realizar una secuencia de acciones repetitivas en el momento justo, lo cual nos hace vulnerables a ataques de Clickjacking.

Fast Motion

La percepción humana incluye inherentemente un modelo de inercia. En este ataque la idea clave es que se indica al usuario que realice clic en un objeto en movimiento. Debido a la ilusión de flash lag, el jugador o usuario rebasa el objeto en movimiento, y en su lugar, hace clic en un botón.

Figura 2: Ejemplo de Fast Motion

Controlling the Timing

Otro posible ataque es crear una señal visual para controlar el calendario de un usuario con un clic. Este ataque combinado con una apropiada posición del ratón, permite a un atacante engañar a un usuario para que haga clic en el objetivo.

Resultados obtenidos con estos ataques

En el artículo se hace hincapié en los resultados obtenidos en las pruebas con los diferentes ataques. Las pruebas se hicieron con usuarios, para conseguir que se hiciera clic en un botón. 130 usuarios fueron reclutados para cada ataque. Se pagó entre 0.20 y 0.30 dólares por jugar a "Juega a nuestro juego HTML5 durante 2 min". Los participantes solo podían utilizar Google Chrome y Mozilla Firefox

Figura 3: Tabla de resultados obtenidos

Algunos ataques dieron resultados muy positivos e interesantes, por lo que se deben tener en cuenta estas técnicas, ya que hoy en día pueden ser utilizadas en dispositivos móviles.

miércoles, 27 de agosto de 2014

Click to Call en iOS: Facebook Messenger, Gmail o Google+ permiten forzar llamadas con ver un enlace

En iOS está documentado que es posible utilizar URIs del tipo tel: para crear enlaces que abran la aplicación de llamar y marquen directamente a un número de teléfono. Del mismo modo que cuando se usa mailto: en un enlace para forzar que se abra la aplicación de Mail en iOS se construya un correo electrónico. El problema radica en que Apple en su documentación deja claro que la alerta de que se va a realizar una llamada de teléfono debe ser responsabilidad de la app que abre ese enlace, y parece que Facebook, Google y muchas otras empresas no lo están teniendo en cuenta.

Figura 1: Enlace URI para forzar una llamada de teléfono

Lo peor es que si no es necesario que se haga clic en el enlace de tipo tel: ya que con un sencillo código JavaScript es posible hacer que el enlace haga clic en si mismo, por lo que con compartir el enlace de una web, es decir, un http:// y que el usuario lo visite desde una app insegura, se podría forzar la llamada de teléfono.


Como se puede ver en estas imágenes animadas, Facebook Messenger y GMail son vulnerables a estos ataques en iOS, y fácilmente se puede forzar una llamada sin informar al usuario de que esto se va a producir.

Figura 2: Facebook Messenger
Figura 3: Gmail para iOS



La presentación completa la dio el investigador en la pasadas conferencias B-Sides de Las Vegas, y aquí puedes ver la explicación completa y las demos en real.


Figura 4: Conferencia en B-Sides sobre estos problemas por parte del investigador Guillame K. Ross

Habrá que ver si estas apps son actualizadas para avisar al usuario del inicio de llamadas telefónicas, aunque tal vez debería ser una solución de Apple iOS, es decir, por ejemplo que se rellene el número de teléfono en la aplicación de llamar pero que el usuario sea el que tenga que dar al botón de iniciar llamada.

martes, 26 de agosto de 2014

California exigirá en todos los smartphone el "Kill Switch"

Desde que se produjo el lanzamiento de iOS 7 con Activation Lock, la reducción de los robos de smartphone ha sido grande según informes de New York, San Francisco o Londres. Su uso permite al dueño de un terminal dejarlo inútil cuando se encuentra perdido o robado, ya que para volver a utilizarlo el nuevo poseedor deberá tener la clave de la cuenta de iCloud que lo protege, algo que ha dificultado la labor del negocio de los ladrones. Se sabe que hubo un bug explotado por algún grupo para desactivarlo, pero en esta medida ha forzado a los ladrones a buscar otros esquemas, como el que usaba la banda de empleados de Apple Store para "lavar" iPhones.

Ahora, en el estado de California, se ha aprobado una ley que obliga que todos los terminales que se vendan en dicho estado vengan con un Kill Switch - el Activation Lock de iOS - activado por defecto, y que sea el usuario el que tenga la opción de deshabilitar dicha protección.

Figura 1: Sección de la ley que obliga a que Activation Lock venga activado por defecto

La medida entrará en Julio de 2015 y se espera que se reduzca drásticamente el número de ladrones de terminales smartphone de alta gama, algo que el Senador Leno, impulsor de la ley y representante por San Francisco tiene claro. Aquí tienes la nueva ley que entrará en vigor en el Estado de California.

lunes, 25 de agosto de 2014

Easy FTP Pro v4.2 para iOS: Bugs de Command Injection

En la lista Bugtraq se ha publicado información sobre un exploit de 0day para Easy FTP Pro versión 4.2 para iPhone e iPad, un popular cliente FTP y sFTP (Secure FTP) que podría ser atacado localmente para comprometer la app. Se han publicado las pruebas de concepto en el informe realizado. Son dos vulnerabilidades de Command Injection que permitirían ejecutar comandos en el contexto de la app y podría ser utilizado por usuarios poco privilegiados para conseguir una elevación de privilegios.

Es decir, tendría especial significancia en el entorno de Jailbreak, pero en un entorno sin Jailbreak, parece poco probable una explotación con éxito.

Figura 1: Reportes publicados en Bugtraq

Easy FTP Pro aún no ha sido actualizado y sigue teniendo estos fallos, por lo que parece que no ha tenido ningún impacto en la seguridad de lo usuarios, pese a la validación CVSS de 5.7 que asignan a los bugs.

domingo, 24 de agosto de 2014

iPhone 5: Comienza el reemplazo de baterías esta semana

Desde Apple se ha lanzado un programa para sustituir baterías en terminales iPhone 5 a nivel mundial. No, no serán todos los dispositivos iPhone 5, pero sí una tirada de ellos que pueden estar en cualquier lugar del mundo. El programa ha comenzado esta semana pasada en Estados Unidos y China, y ahora va a extenderse al resto del mundo a partir del día 29 de Agosto, es decir, el viernes de esta semana. Para ello debes ir a la web que Apple ha creado para ver si tu iPhone 5 - no iPhone 5S, no iPhone 5C - está dentro de los "agraciados".

Figura 1: Página web del programa de reemplazo de baterías para iPhone 5

Si es así, deberás ir a la tienda Apple Store más cercana o enviar tu dispositivo siguiendo las instrucciones de la web. Apúntate el día 29 de Agosto en tu agenda si tienes un iPhone 5, ya que si tu terminal se ve afectado puedes solucionar los problemas de consumo de batería de una vez con una batería nueva.

sábado, 23 de agosto de 2014

Cómo ver la hora de cada iMessage en el cliente de OS X

El otro día publicamos una forma de poder ver la fecha exacta de cada iMessage en iPhone con un sencillo movimiento del dedo. Algo que lleva tiempo en la aplicación pero que muchos desconocíamos. En el artículo nos quedamos preguntándonos cómo se podría ver lo mismo en iMessage para OS X, y la verdad es que tras repasar todas las opciones de todos los menús de iMessage en OS X Mavericks 10.9.4 no fuimos capaces de encontrar ninguna que permitiera visualizar junto con cada mensaje su fecha y su hora. Y no se puede hacer, al menos de esa forma.

Por otro lado, alguien más acostumbrado a iMessage que nosotros nos contó que sí que existe una forma de de ver la fecha y la hora exacta, no de todos los mensajes a la vez, pero sí uno a uno. Basta con dejar el cursor unos instantes quieto sobre cada mensaje para que salga un tooltip con la fecha y la hora del mismo.

Figura 1: Fecha exacta de un iMessage visualizado en el cliente de OS X Mavericks 10.9.4

No, no existe opción en la aplicación para que salga impreso, y en ningún sitio se puede configurar nada, pero si has tenido suerte de dejar el ratón quieto sobre un iMessage alguna vez, lo habrás descubierto. Un cero en usabilidad e interfaz a los creadores de este cliente, que hemos pasado tiempo usando iMessage y buscando ese dato, y no hemos dado con él. Gracias por contarnos el truco, te debemos un regalo o una mariscada, o algo. Si tú tampoco lo conocías, por favor, cuéntanoslo, que no nos sintamos solos en este desconocimiento.

viernes, 22 de agosto de 2014

Brasil fuerza a Apple a que quite Secret de App Store

El gobierno de Brasil quiere acabar con las apps que permiten sistemas de mensajería anónimos, y ha comenzado la guerra cargando contra Secret, una app de mensajería que ha tenido que ser eliminada de la AppStore de Brasil y de los terminales móviles en que se hubiera instalado en Brasil por orden de un juez, tal y como informa SFGate. La base de esta orden judicial es que estas apps son utilizadas para hacer ciberbullying masivamente, y se quiere acabar con el anonimato de las personas que se encuentran detrás. En otros sistemas como WhatsApp, el registro se hace vía número de teléfono y SMS, por lo que se puede saber quién está detrás de cada cuenta.

Secret ha tenido que ser retirada no sólo de App Store y de los iPhone donde estuviera instalada, sino también de Google Play y Android, por lo que parece que en Brasil van en serio con este tipo de campaña contra las apps que permiten anonimato en el registro de las cuentas.

Figura 1: Secret App para iPhone

Lógicamente, no son las únicas apps que hay con estas características, así que otras apps como Wickr o Signal puede que estén en la lista de aplicaciones que se prohiban en el futuro dentro del país que va a celebrar las próximas Olimpiadas. Veremos qué reacciones genera esta guerra contra el anonimato por parte del gobierno de Brasil

jueves, 21 de agosto de 2014

Cómo ver la hora de cada iMessage en iPhone & iPad

Una de las peculiaridades que tiene el sistema de visualización de conversaciones iMessage en iOS, es que agrupa los mensajes que han sido parte de una misma conversación mostrando solo una fecha aproximada de cuándo fueron enviados o recibidos. Esto es algo que a mucha gente molesta porque quieren saber el instante exacto de cada mensaje en algunas ocasiones, y nosotros llegamos a meternos en las entrañas de la base de datos para sacar del SQLite toda la información de los menajes, tal y como os mostramos en el artículo de "Almacenamiento de mensajes SMS e iMessage en iOS".

Hoy queremos contaros un pequeño tip que no sabemos desde cuando está en iMessage, pero que te puede ahorrar la tarea de ir a destripar la base de datos para saber la hora de envío o recepción de un iMessage, y es que ahora - no sabemos exactamente desde qué versión - se pueden ver las horas de los mensajes arrastrando la pantalla hacia la izquierda.

Figura 1: Si se arrastra la pantalla a la izquierda salen las horas de los iMessages

Tal vez lleva tiempo esta función, pero nosotros no la teníamos ubicada, y puede que como nosotros muchos de vosotros tampoco, así que os la hemos querido contar, que como la opción de forzar el envío por SMS de iMessages, nos la topamos sin querer. Eso sí, en el cliente iMessage de OSX 10.9. 4 Mavericks, todavía no hemos conseguido sacar ese dato, por lo que seguimos tirando de técnicas de análisis forense.

Figura 2: Conversación sincronizada de iMessage en OS X 10.9.4 Mavericks

A esto, hay que ver que la sincronización temporal de los mensajes es un poco desastre y una misma conversación, que se originó desde el cliente iOS aparece sinconizada en el cliente OS X con dos minutos de anticipación. Eso es viajar en el tiempo y lo demás tontería. Si conoces algún truco para no tener que ir a destripar el almacenamiento de conversaciones en los ficheros te lo agradeceremos. 

miércoles, 20 de agosto de 2014

Nube de Apple iCloud tendrá CPDs en China y ¿Curaçao?

Parece que es oficial que Apple ha abierto un centro de almacenamiento de datos en China para guardar los datos de los usuarios chinos de iCloud. La respuesta oficial, según informan en The Inquirer, es que Apple busca dar más velocidad y ancho de banda con el hospedaje de este CPD dentro de China Telecom, pero lo que parece que hay detrás es un intento de salvar el negocio en el país de la Gran Muralla. Hay que tener en cuenta que tras la prohibición oficial de comprar dispositivos Apple en concursos públicos, Apple podría enfrentarse a un bloqueo de sus servicios en China si no cumple con las demandas del gobierno.


Figura 1: CPD de Apple iCloud en Maiden, Carolina del Norte, USA

No solo China, según reporta Apple Insider, parece que Apple estaría a punto de abrir un nuevo CPD en Curaçao aprovechando una instalación que ya está realizada en esta pequeña isla caribeña, de nuevo con el objetivo de ganar ancho de banda y velocidad en las conexiones de América Latina, pero por ahora son todo rumores.

martes, 19 de agosto de 2014

Elevación de Privilegios en Windows con software de Apple

En la lista de Bugtraq se ha producido un interesante debate esta semana sobre los fallos en el software que Apple está publicando para sistemas Microsoft Windows, en los que se ponen de manifiesto errores de principiante en la plataforma. Entre el software que se ve afectado, está en primer lugar el agente de actualizaciones de Software Updates, que por un error de invocación puede ejecutar programas maliciosos en Windows con permisos de Administrador. Una elevación de privilegios que Apple pone en las manos de los creadores de software de la forma más tonta.

El bug es sencillo, cuando alguien tiene instalado Software Updates de Apple para Windows, el programa que se invoca es C:\Program Files\Apple Software Update\SoftwareUpdate.exe. Dicha herramienta invoca, con permisos de Administrador un servicio COM con identificador {91A9E6A9-3935-4A37-AFBA-F0904B166364} y nombre AppleSoftwareUpdate.ASUInstallhost que está dentro de la librería de vínculo dinámico DLL C:\Program Files\Apple Software Update\SoftwareUpdateAdmin.Dll.

Figura 1: Apple Software Updates para Windows

Este servicio, que corre como Administrador, invoca vía línea de comandos el siguiente programa C:\Program Files\Apple Software Update\SoftwareUpdate.exe -background. El problema es que esa invocación se hace sin entrecomillar, lo que genera que se ejecute uno de los siguientes programas con permisos de administrado: "C:\Program.exe", "C:\Program Files\Apple.exe" o "C:\Program Files\Apple Software.exe" (en x86) o "C:\Program.exe", "C:\Program Files.exe", "C:\Program Files (x86)\Apple.exe" o "C:\Program Files\Apple Software.exe" (en x64)

Es decir, alguien que quiera una elevación de privilegios en un sistema al que se conecta vía Citrix o RDP, solo debe conseguir crear un fichero en esas rutas con esos nombres y esperar a que el servicio COM de Apple le de permisos de Administrador y lo ejecute. Bastaría como poner un cmd.exe y ya tener una consola con privilegios. Este mismo error le sucede, como explican en el hilo, a Windows Live Mail 2011, que por no poner entre comillas la ruta, es posible conseguir la ejecución de programas maliciosos.

Esto también le pasa a iCloudServices, que crea unas entradas en el registry con rutas sin entrecomillar que podría ejecutar también programas maliciosos en el sistema con permisos de Administrador.

Figura 2: Entradas del registro que crea iCloudServices sin entrecomillar

Por último, se cita en el hilo que el paquete de iCloudServices se está distribuyendo con librerías OpenSource con desactualizadas y con bugs conocidos, como son:
- libxslt.dll 1.0.9.0
- libxml2.dll 2.1.13.0
- icuuc40.dll, icuin40.dll, icudt46.dll. libicuin.dll, libicuuc.dll 4.6.1.0
En definitiva, un repaso a una serie de bugs que Apple deberá corregir cuanto antes en el software que está distribuyendo para plataformas Windows.

lunes, 18 de agosto de 2014

Campaña Low-Cost de Phishing a Apple para pagarse las vacaciones de verano

Ayer recibimos en nuestros buzones una nueva campaña de spam que apunta a sitios de phishing de Apple. Esta campaña es bastante curiosa, por lo "cutre" y directa que es a la hora de querer realizar la estafa. Parece que alguien tiene ganas de tener dinero rápido este verano para pagarse unas vacaciones y ha hecho una campaña al vuelo para ganar lo justo para el hotel, las copas y los viajes. Por desgracia, seguro que le funcionará.

El correo de Spam

Como se puede ver, el mensaje de correo es lo menos elaborado que existe. Se puede ver cómo se ha utilizado un renombrado del buzón, pero que el dominio del que se envía es un hosting contratado. Lo peor es el diseño del correo electrónico, donde no se ha tenido en cuenta ningún estilo de los utilizados por Apple. Canta a estafa a la legua.

Figura 1: El correo de spam no es nada "compliant" con el diseño de Apple

La web de Phishing

El dominio de la web, aún activo, simula el login de Apple iCloud, pero tampoco se han preocupado en demasía en todos los detalles. Además, como se supone que la cuenta está bloqueada, directamente pide el CVV de la tarjeta de crédito, que el número de la misma ya lo sacará con el usuario y la contraseña dentro de las preferencias. Eso sí, no ha pensado si el usuario tiene la Verificación en 2 Pasos, con lo que tendrían el CVV pero no la tarjeta de crédito.

Figura 2: En la web de Phishing, el domino no está nada trabajado y se pide el CVV en el login

Como siempre, ojo con estas estafas y si podéis alertar a vuestros amigos y familiares de que nunca introduzcan datos cuando se los requieran por un correo electrónico de esta forma. Si es posible, activar cuanto antes la Verificación en 2 Pasos para Apple ID.

domingo, 17 de agosto de 2014

Fue Noticia en Seguridad Apple: del 4 al 17 de Agosto

Otra vez más, como cada dos semanas, estamos aquí en esta sección para hacer balance de todo lo que ha pasado durante este periodo. En esta sección, como es habitual, os traemos todos los artículos publicados y un selección de temas publicados en otros medios pero que merece la pena que os leáis. Vamos con ello.

Comenzamos el 4 de Agosto con el aviso de Microsoft para eliminar las versiones antiguas de Skype para OS X. Por ello, si no tienes actualizada tu versión de Skype, debes hacerlo cuanto antes pues no habrá soporte para bugs y puede que deje de funcionar correctamente.

El día siguiente era un día especial, el 5 de Agosto de 2010 comenzamos la andadura en este blog, así que el 5 de Agosto de 2014 Seguridad Apple cumplió 4 años de vida. Han pasado volando, pero es lo que sucede cuando el día a día te marca un ritmo en el que no puedes parar. Gracias por estar ahí.

El miércoles de esa semana le dedicamos la entrada a la demanda colectiva que han puesto los usuarios de iPhone por el activado de Frequent Location en iOS. Es decir, que Apple comienza a guardar todos los datos de las ubicaciones habituales de sus usuarios. 100 millones de usuarios se ven afectados.

A colación con la noticia anterior, el gobierno de China prohibe comprar dispositivos Apple con dinero público por sospechas de espionaje por parte de los productos de Apple. Esto había generado mucha polémica anteriormente, pero ahora cristaliza en una orden gubernamental que deja a la compañía fuera de cualquier posible proyecto con el gobierno chino.

Ese viernes hablamos de la llegada de Google Canary de 64 bits a los sistemas OS X. Después de que Google lo lanzara para Windows, aparece la primera versión beta para OS X. Algo más que interesante para nosotros.

El 9 de Agosto pasado nos enfrentamos a más bugs de OpenSSL en el mes de Agosto. Ni estos, ni los anteriores han sido parcheados aún por Apple, así que esperamos que en la nueva revisión de OS X aparezcan resueltos de una vez por todas.

El domingo pasado hablamos de PKGBackup, una herramienta de Cydia que te ayuda a hacer backups de las apps que tengas en tu sistema iOS con jailbreak. Una utilidad que te vendrá bien para evitar problemas indeseados con la pérdida de datos o apps.

Para este lunes la noticia fue la confirmación por parte de Microsoft de que habría versión de Skype para Mac OS X Leopard, algo que a los usuarios de este sistema operativo tranquiliza, pero que deberían pensar en abandonar cuanto antes por motivos de seguridad.

El martes de esta semana nos encontramos con una nueva campaña de spam que estaba haciendo phishing a las cuentas de Apple ID para robar las identidades de los clientes y usuarios de Apple, algo que de lo que tienes que estar más que alerta ya.

Para el día siguiente, nos encontramos con el informe de un nuevo malware para dispositivos iOS con jailbreak llamado iOS/AdThief, que se dedica a robar los revenues de publicidad a los desarrolladores de apps cambiando los identificadores por los del ladrón. 

Este jueves la entrada se la dedicamos a las nuevas versiones de Apple Safari 6.1.6 y Apple Safari 7.0.6 que corrigen 7 bugs de seguridad críticos, además de más actualizaciones para OS X que debíais instalar para tener vuestro sistema al día.

El viernes de esta semana la noticia fue para la detención de una banda formada por empleados de Apple Store en Best Buy para ayudar a los ladrones a cambiar terminales iPhone & iPad robados y bloqueados por nuevos dispositivos completamente libres.

Por último, ayer sábado, os informamos de Apple había recibido el Pwnie Award al Most Epic Fail en la conferencia de hackers Black Hat USA 2014 por el archifamoso bug de Goto Fail, Goto Fail que tanto ruido generó.

Hasta aquí todo lo publicado en estas dos semanas en nuestro blog, pero como hacemos siempre, os traemos una lista de otros artículos que debéis leer para estar más que informados y que también ha sido publicados durante este periodo. Aquí van:
- El hippy del billón de dólares: Documental publicado por nuestros amigos de Cyberhades sobre la vida y la figura del hippy Steve Jobs, que hizo oro todo lo que tocó al final de su vida. 
- Apple ha elimina dos elementos en la fabricación de iPhone 6: Según parece ha prohibido el uso de dos componentes por el exceso de contaminación que producen, así que no estarán presentes en el nuevo dispositivo. 
- Google Authenticator no te avisa de que te han robado la contraseña: Si usas Google Authenticator para proteger tu cuenta Google, solo recibirás una entrada en el log si el atacante pone un código erróneo, pero no si no pone nada, lo que hace que no te enteres de si te han robado la cuenta. 
- Ya está disponible el material de la Black Hat USA 2014: En hackplayers nos recapitulan todo el contenido que ha sido publicado en la pasada Black Hat USA 2014 en Vegas. Especial atención a la charla de Rubén Santamarta sobre "SATCOM: Hacking by Air, sea and Land" 
- Disponible Latch para Moodle: Desde el Blog de Eleven Paths nos esteramos de que se ha liberado la versión de Latch para Moodle, lo que ayuda a poder proteger muchos de los portales más utilizados en educación a distancia.  
- El informe sobre diversidad cultural en Apple no gusta a Tim Cook: El que la mayoría sean hombres y de raza blanca no ha gustado mucho al CEO de la compañía. 
- Cómo calibrar un monitor sin tener que comprar un colorímetro: En Blog Think Big nos cuentan cómo se debe realizar la tarea de calibrar correctamente la visualización de un monitor, para que lo que veamos por la pantalla sea lo que se supone que debemos ver. 
- Cómo hackearon Gamma Internacional: Durante este periodo, una de las noticias más impactante ha sido el hackeado de Gamma Internacional, creadora de FinFisher, uno de los malware para espionaje más populares que es usado por muchos países. En Security By Default nos explican cómo lo hicieron. 
- Aprende a configurar tu privacidad en Badoo: Y así evitarás estar indexado en Google con tus fotos, tus mensajes y todas tus aficiones - incluidas las sexuales -. 
- Cómo ganar dinero con 1.200.000 identidades robadas: Salto la noticia de que se había encontrado una base de datos de identidades robadas de unos 1.200.000 cuentas. En esté artículo se cuenta un poco qué se podría hacer con ello.
Y esto ha sido todo. Esperamos veros dentro de otras dos semanas en esta sección y cada día en los artículos que publicamos en Seguridad Apple

sábado, 16 de agosto de 2014

Apple se lleva el Pwnie Award al "Most EPIC FAIL"

En la conferencia Black Hat USA, desde hace ya varios años, se entregan los premios Pwnie Awards, unos simpáticos Ponis de colores que se otorgan en el mundo de la seguridad en diferentes áreas que van desde el mejor exploit en el lado del servidor, el mejor exploit en el lado del cliente, el compromiso masivo de sistemas, el paper de investigación y hasta la mejor canción hacker. Entre los premios también se entregan a la peor reacción de un fabricante y el MOST EPIC FAIL, o premio al fallo más épico y sonado del año.

Los ganadores de este año se hicieron públicos en la conferencia, y el ganador del Pwnie Award al Most Epic Fail fue Apple por su bug de GOTO FAIL, GOTO FAIL, que muchos hackers lucían en sus camisetas durante las charlas de Black Hat y Defcon. El resto de los ganadores de los premios han sido:
- Best Server-Side Bug: Heartbleed.
- Best Client-Side Bug: GeoHot por exploit de Google Chrome Arbitrary Memory Read-Write Vulnerability.
- Best Privilege Escalation Bug: AFD.sys Dangling Pointer Vulnerability de Sebastian Apelt.
- Most Innovative Research: RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis de Daniel Genkin, Adi Shamir, Eran Tromer.
- Lamest Vendor Response: AVG por lo mal que responde a las vulnerabilidades reportadas.
- Most Epic 0wnage: Mt. Gox el servidor de BitCoins que cerró.
- Best song. 0xabad1dea's SSL Smiley Song
- Most Epic Fail: Goto FAIL, Goto FAIL de Apple
Ya esperamos ver los nominados y ganadores de estos premios el año que viene. Por supuesto, este palo a Apple desde la comunicad de hackers es para que se ponga las pilas con seguridad, así que veremos si mejora un poco más este año.

viernes, 15 de agosto de 2014

Detenida una banda formada por empleados de Apple Store y Best Buy que hacían negocio con iPhone & iPad robados

Según cuentan en The Register, una banda de siete empleados de la tienda de Apple Store de Fort Lauderdale han sido detenidos por la policía por estafar a la compañía Apple usando un modelo de fraude basado en terminales iPhone & iPad robados. Estos empleados de Apple Store trabajan en conjunción con otro empleado de Best Buy, que necesitaban para hacer la estafa completa, tal y como se detalla en la orden policial que ha sido publicada en Internet.

Figura 1: Miembros de la banda detenidos

La estafa funciona de la siguiente manera. Los ladrones de los terminales llevaban a la tienda Apple Store de Fort Lauderdale los teléfonos robados para solicitar un cambio. Por supuesto, estos teléfonos estaban bloqueados por sus dueños que usando iCloud y Find My iDevice habían bloqueado su uso. Los empleados de la tienda, para poder hacer el cambio necesitaban un número de serie limpio, para lo que llamaban al empleado de Best Buy que se lo facilitaba.

Figura 2: Esquema de la estafa que hacían

Con cada transacción los empleados se quedaban con entre 45$ y 75$, y podrían haber generado unos 500.000$ con este negocio. Al final, el equipo de investigación interna de Apple detectó la estafa y puso en manos de la justicia el caso para que acabaran todos detenidos.

jueves, 14 de agosto de 2014

Actualización de Seguridad para Apple Safari: 6.1.6. y 7.0.6

Ayer Apple ha puesto en circulación una nueva actualización de seguridad crítica para el navegador de Internet de la compañía Apple Safari. Las nuevas versiones, pues hay una para la rama 6.x y otra para la rama 7.x corrigen 9 vulnerabilidades críticas de corrupción de memoria que podrían llevar a una ejecución de código remoto y la toma de control del equipo con solo visitar una página web especialmente creada para explotarlas. Las nuevas versiones son Apple Safari 6.1.6 y Apple Safari 7.0.6 y están disponibles vía Software Updates y Mac App Store.

Las vulnerabilides están descritas en el Security Advisory que se ha publicado en la web de soporte de Apple en el artículo HT6367 y la lista de CVEs es la siguiente que se puede ver en la imagen. Ahora hay que esperar que en iOS solucionen los mismos bugs.

Figura 1: Lista de bugs solucionados en esta actualización

Si vas a actualizar tu equipo OS X, no te olvides de Adobe también ha publicado una Advisory de Seguridad Crítico para Adobe Flash Player, Adobe Acrobat y Acrobat Reader que deberías aplicar lo antes posible. Tienes la información en APSB14-18 para los bugs de Adobe Flash Player, y en APSB14-19 para los bugs de Adobe Acrobat y Acrobat Reader.

Figura 2: Adobe ha sacado boletines de seguridad en Agosto

Por último, durante el mes de Agosto Apple puso en circulación una nueva versión de Apple iTunes 11.3.1 que solucionaba fallos no de seguridad (también para Windows 64 bits) y un nuevo paquete de compatibilidad con cámaras digitales, el Digital Camera Raw Compatibility Update 5.06, y así dejas tu equipo totalmente actualizado.

miércoles, 13 de agosto de 2014

iOS/AdThief: Malware en iOS con Jailbreak roba anuncios

Esta semana se ha conocido un nuevo malware para dispositivos iOS de Apple, pero de nuevo vuelve a ser uno para dispositivos que tienen realizado el Jailbreak. El malware en concreto, además, no está interesado en robar al usuario, sino robar a los desarrolladores de apps para iOS, aprovechando que el dispositivo está con Jailbreak para robar todos los beneficios que pueda proporcionarle el uso de banners en sus apps. Ha sido bautizado por tanto como iOS/AdThief y localizado su origen en China, tal y como se puede ver en el análisis que se ha publicado en el paper "Inside the iOS/AdThief".

Para robar el dinero de la publicidad a los desarrolladores, lo que hace el malware de origen Chino, es conseguir modificar los identificadores del programa de asociados de los creadores de aps, quitando el del programador original y poniendo el suyo.

Figura 1: Esquema de negocio de iOS/Thief para robar ads a desarrolladores

El malware está especializado en una lista de 15 proveedores de anuncios, lo que hace que le pueda reportar pingües beneficios con robar, simplemente, el trabajo de otros desarrolladores de apps en Cydia y otros repositorios para terminales con Jailbreak.

Figura 2: Lista de proveedores de ads que roba el malware iOS/Thief

Al final, el tener el terminal con Jailbreak permite este tipo de cosas, ya que como las apps no tienen que estar firmadas digitalmente de forma correcta, alguien podría manipular las que ya tienes instaladas aunque rompa la firma, ya que se van a seguir ejecutando en el sistema.

martes, 12 de agosto de 2014

Campaña de spam con Phishing para Apple ID en Agosto

Con el dominio de AppleManage.com está llegando a los buzones de mucha gente una nueva campaña de spam que se ha lanzado este día 11 de Agosto de 2014 con un mensaje de que hay que verificar la cuenta de Apple ID. Los enlaces llevan también al dominio AppleManage.com, que evidentemente no es de Apple.

Figura 1: Campaña de spam enviada ayer con el mensaje de phishing

En ese sitio se puede encontrar una web - actualmente activa - de phishing de Apple que está pidiendo los datos de las cuentas de las víctimas, y que a día de hoy no es detectado por ningún filtro automático anti-phishing en Google Chrome, Apple Safari o Firefox, por lo que hay que tener cuidado.

Figura 2: Sitio web de phishing de Apple ID

Una vez más, os recomendamos que no atendáis a este tipo de mensajes, que aviséis a vuestros amigos y familiares y a ser posible que activéis la Verificación en 2 Pasos de vuestra cuenta Apple ID. Recordad que con una campaña de Phishing como esta se hizo la estafa de Oleg Pliss que bloqueo los terminales Apple de muchos usuarios. 

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares