Parche de ShellShock en OS X Mavericks, Mountain Lion & Lion

ShellShock

Como es lógico Apple no ha tardado en parchear esta vulnerabilidad mediante una actualización de sus sistemas operativos OS X Mavericks, OS X Mountain Lion y OS X Lion. Esto había sido prometido por la empresa de Cupertino durante el fin de semana, y desde ayer lunes ya tenemos disponible el parche bajo el nombre OS X Bash Update 1.0  para los sistemas operativos mencionados anteriormente. 

Tras el análisis exhaustivo al que ShellShock está siendo sometido, Apple comentó que la mayoría de los consumidores son afectados por la vulnerabilidad y que estaban trabajando para arreglar el problema. Esta solución se dio a conocer ayer. ShellShock lleva con nosotros muchos años, por lo que si alguien conociera dicha vulnerabilidad habría podido tomar control remoto de infinidad de sistemas durante todos estos años. Esta información también nos trae que toda versión de Bash es vulnerable desde el comienzo. En nuestro servicio de pentesting persistente Faast nosotros estamos avisando a nuestros clientes desde el día que se hizo pública.

Figura 1: Actualización de Bash

Según Apple, OS X no te expone directamente a exploits remotos a menos que los usuarios configuren los servicios avanzados de UNIX. Cuando esta sentencia fue enunciada por un portavoz de Apple, también comentó que la empresa trabaja en proporcionar la ansiada actualización. Los usuarios de OS X Mavericks pueden descargar el parche a través del sitio de soporte de Apple, al igual que los usuarios que trabajan con OS X Mountain Lion y OS X Lion. También se puede conseguir el parche a través de Actualización de Software.

Apple Touch ID "still hacked": La vida sigue igual

Hoy nos hacemos eco de una noticia publicada por los compañeros de Una al día, y es que el lector de huellas del iPhone 6 sigue siendo vulnerable. Como indican nuestros compañeros la historia parece repetirse y es que después del lanzamiento de un nuevo iPhone un investigador en materia de seguridad ha demostrado que el sensor de Touch ID puede ser saltado. El investigador ha mencionado que tenía pocas esperanzas en que este sensor hubiera sido mejorado y por lo que él mismo pudo comprobar quedo claro que no. 

El investigador relata en un artículo como hizo para llevar a cabo el hack siguiendo los pasos del hackeo anterior de Touch ID. Además, explica sus intenciones y su pensamiento sobre qué pensaba encontrar. El investigador creó algunas huellas dactilares falsas utilizando la misma técnica que se utilizó para hackear Touch ID en el iPhone 5S. Una vez que esas huellas estaban preparadas las evaluó con los dos dispositivos el 5S y el 6. 

Figura 1: Hackeo de Touch ID en iPhone 5S

¿Resultados?

Pues su pensamiento se hizo realidad al ver que existen pocos cambios en el sensor, ya que algunas huellas dactilares falsas creadas utilizando la técnica anterior fueron capaces de engañar fácilmente ambos dispositivos. Por otro lado no hay un ajuste adicional para ayudar a los usuarios a mejorar la seguridad, como la capacidad de establecer un tiempo de espera para el Touch ID después de que un código de acceso se debe introducir.

Figura 2: Creación de huellas dáctilares para la prueba

Parece que el cambio más grande en el sensor es que parece ser más sensible, lo que hace que un escaneo pueda tener más resolución. ¿Cómo sabe el investigador esto? Durante las pruebas que llevó a cabo, se dio cuenta de que tenía muchos menos falsos negativos con el iPhone 6. Un falso negativo, en este caso, es que el dispositivo rechaza su huella digital legítima. Sin embargo, es probable que también sea por el hecho de que el iPhone 6 puede escanear un área más amplia de la huella. El requisito necesario para engañar al iPhone 6 es que la huella digital debe ser clara y correctamente posicionada.

Fue Noticia en Seguridad Apple: 15 al 28 de Septiembre

Una vez más, coincidiendo con los últimos días de Septiembre, toca detenerse y recapitular para ofreceros el mejor resumen de todo lo publicado en Seguridad Apple a lo largo de las últimas dos semanas, además de recomendaciones s aparecidas en otros blogs.

Comenzamos con el vídeo de la conferencia de Joaquín Moreno Garijo en la última RootedCON, titulada "Análisis Forense a bajo nivel de Mac OS X", una charla interesante y muy instructiva.

Al día siguiente os presentamos una funda para iPhone que permite robar el PIN de una tarjeta de crédito utilizada en un cajero. Se trata de FLIR One, una carcasa capaz de escanear con infrarrojos el teclado del cajero y de esta manera detectar el calor de las pulsaciones.

El miércoles anunciamos un nuevo cambio de política de Apple. En esta ocasión, se trata de que las aplicaciones de terceros que accedan a datos de iCloud tengan una contraseña única para cada aplicación.

El jueves resumimos las novedades más importantes de la release de iOS 8. Entre ellas, cabe destacar el Touch ID, el Kill Switch, y la resolución de hasta 56 CVEs que comprometían gravemente la seguridad de los usuarios.

El último día laboral de la semana lo dedicamos a hablar de la nueva actualización de seguridad para OS X Mavericks, la 10.9.5, que aparte de solucionar varios bugs incluye soporte mejorado para VPN, USB y SMB. Además, se publicaron las actualizaciones de seguridad 6.2 y 7.1 de Safari.

Comenzamos el fin de semana con la noticia de que iOS 8 incluye  una nueva versión de Apple iCloud Control Panel para Windows, que permite activar la característica iCloud Drive para estos sistemas operativos.

El domingo comentamos una novedad de iOS 8, que fuerza la generación de MAC aleatorias a la hora de lanzar WiFi Probe Requests, haciendo mucho más complicado hacer tracking de dispositivos basándose en la MAC.

El lunes 22 hablamos del proyecto PATiA, (Privacy Analysis Tool for iOS Applications), desarrollado por la Universidad de León, que permite evaluar apps de iOS basándose en qué datos tratan y cómo gestionan la privacidad.

El martes desglosamos la nueva actualización de seguridad para Apple XCode, la 6.0.1, publicada en el Security Advisory APPLE-SA-2014-09-17-7 Xcode 6.0.1.

El miércoles comentamos cómo ya han ido apareciendo bugs en iOS 8 que ponen en riesgo la privacidad de los usuarios, razón por la cual se publicó la primera gran actualización, iOS 8.0.1.

Al día siguiente, por sorpresa, Apple retiró la actualización 8.0.1 de iOS, y pretendiendo hacer un downgrade a la 8.0 hasta que esté disponible la 8.0.2, debido a numerosos problemas derivados de la actualización que dejaban los terminales prácticamente inoperantes.

Bash version 3.2.51 en OS X 10.9.5

Para acabar de marear a los usuarios, un día más tarde, aparece iOS 8.0.2 para solucionar los problemas de iOS 8.0 y los generados por iOS 8.0.1 en poco tiempo, un verdadero quebradero de cabeza para todos los usuarios de iOS 8 durante estos días. Apple no hizo bien el QA de estos sistemas.

Para acabar este periodo, hablamos de ShellShock, la vulnerabilidad de Bash que afecta a sistemas UNIX, Linux y por supuesto OS X, plataforma que tiene afectada el 100% de los equipos Mac OS X 10.1 hasta OS X 10.9.5, por lo que hay que tomar ciertas precauciones y evitar accesos invitados y servidores web con aplicaciones CGI.

Hasta aquí todo lo que nos ha dado tiempo en este periodo, pero han pasado muchas más cosas. Esta es la selección de temas que te hemos hecho para que estés informado.

- Lanzado un plugin de Latch para OS X: Durante este periodo se ha lanzado desde Eleven Paths un plugin de Latch para sistemas UNIX, Linux y OS X. Para este último permite controlar el acceso, pero también el desbloqueo del protector de pantalla o el uso del comando "su" en el sistema. 

- Cómo crear mensajes falsos de WhatsApp en iPhone: Con un equipo pareado con un terminal iPhone se puede hacer prácticamente de todo. En este caso,  se ha desarrollado una herramienta que inserta mensajes falsos en la base de datos del sistema. Aquí puedes ver el vídeo de la demostración.

Demostración de WhatsApp Message Injector

- Apple deja de firmar iOS 7.1.2: Ya no hay vuelta atrás, a partir de ahora solo se puede instalar iOS 8 en los terminales iPhone e iPad. Ya no hay posibilidad de hacer un downgrade. 

- Cómo comprometer equipos en la red con solo conectarse por DHCP: Un servidor DHCP malicioso que explote ShellShock puede acabar con una infección de un equipo vulnerable, tal y como explican en HackPlayers. 

- Investigador acusa a Apple de ignorar el bug de iBrute: Según el investigador de seguridad, Apple tenía conocimiento de este bug desde hacía  6 meses, y lo ignoró. Solo cuando se produjo el escándalo Celebgate lo corrigió. 

- Se abren dos plazas para becarios Talentum en el laboratorio de Eleven Paths: Las becas serán en Málaga, así que si tienes ganas de entrar en el departamento de innovación de Eleven Paths, aplica a esta selección. 

- Apple vuelve a bloquear plugins de Flash antiguos: Ha vuelto a incrementar la versión necesaria para que Apple Safari permita que se ejecuten esos plugins.  

- Un fallo de CSRF en Twitter permitía robar cuentas: Descubierto por un investigador colombiano que lo reportó a Twitter a cambio solo de proteger a los clientes. El bug permitía asociar un número de teléfono cualquiera a la cuenta con solo pinchar en un enlace con la sesión abierta. 

- Eleven Paths en la 8.8: La conferencia 8.8 tendrá lugar los días 23 y 24 de Octubre en Chile, y habrá presencia de dos compañeros de Eleven Paths presentando trabajos de investigación. Más información en la web del congreso. 

- La nueva política de privacidad de Apple: "Nosotros vendemos grandes productos, no tus datos", así se podría resumir la nueva política de privacidad de Apple, que ha sido actualizada durante este periodo. Merece la pena la lectura.

Y hasta aquí todo lo que ha dado esta sección. Esperamos veros por aquí dentro de dos semanas y cada día en los artículos de Seguridad Apple. Os deseamos un feliz domingo de Septiembre.

ShellShock afecta a todas las versiones de OS X

Bash 3.2.51 en OSX 10.9.5

Seguramente has oído hablar del bug de ShellShock que afecta a todas las versiones Bash desde 1994 hasta la versión 4.3 que ha sido actualizada esta semana. Por supuesto, también afecta a las versiones de OS X, concretamente a todas desde Mac OS X 10.1 hasta OS X Mavericks 10.9.5. Este fallo permite que, en la definición de variables se pueda introducir comandos de consola después de que ha terminado la definición de la misma, lo que permitiría a un atacante remoto ejecutar lo que quiera si se inyecta dentro de esa definición.

Esto es algo tan sencillo como lo que puedes ver en la siguiente captura en la que después de la definición de la variable se ejecuta otra bash para que se haga un echo. Podría haberse lanzado cualquier aplicación o script que se hubiera querido.

Figura 1: Cuando acaba la definición, se ejecuta el comando

Esto abre las puertas a ataques remotos vía web, tal y como se ha podido ver en el blog de Eleven Paths donde se han explicado con detalle todas las formas de sacar partido de esta vulnerabilidad en un servidor web. En el sistema de pentesting persistente Faast se introdujo un plugin de detección de este bug en las primeras horas de vida para que nuestros clientes pudieran estar informados de qué servidores se veían afectados por este fallo.

Figura 2: Inyección de una shell en una web vulnerable vía USER-Agent usando ShellShock

En los sistemas OS X, se podría explotar o bien vía servidor web con aplicaciones cgi corriendo sobre un OS X Server, o bien sobre un cliente que tenga habilitado el acceso de invitado. Por eso os recomendamos que deshabilitéis ese usuario. Lo peor es que Apple no va a sacar parches para los sistemas OS X anteriores, así  que un bug tan grande obligaría a los usuarios de Snow Leopard o anteriores a erradicar esta shell de su sistema... o atenerse a las consecuencias.

iOS 8.0.2: Apple actualiza iOS [otra vez] después del caos

Apple ha liberado la versión 8.0.2 de su sistema operativo iOS. En esta nueva versión de su sistema operativo se solventan una serie de problemas que provocaban la pérdida de funcionalidad telefónica, es decir, pérdida de cobertura y el poder utilizar correctamente el Touch ID. iOS 8 solo lleva una semana en el mercado y ya tenemos dos actualizaciones. Muchos usuarios se preguntan si las cosas se están realizando correctamente desde Cupertino, ya que todo hace indicar que la nueva gama de iPhone y el nuevo sistema operativo no está encajando como debiera. 

Apple sabe que estos problemas dañarán su imagen, llevando a la marca a realizar el primer downgrade realizado por los chicos de la manzana, en lo que a su dispositivo móvil se refiere. Por Internet se ha filtrado cierta información sobre lo que ha pasado en Cupertino, todo hace indicar que algunas cabezas han rodado. En la siguiente captura podemos ver un intercambio de correos electrónicos dónde Ming Chow, un conocido hacker con amistad con personal de Apple habla sobre el tema.

Figura 1: Envío de correos electrónicos sobre el problema de iOS 8.0.1

Los usuarios que tienen su flamante iPhone 6 ya disponen de la posibilidad de solventar los problemas sin tener que hacer el downgrade. Apple ha tardado menos de 1 día en arreglar el problema, aunque el daño a la imagen está hecho. Las cabezas han rodado por las oficinas de Cupertino.

Apple liberará iOS 8.0.2 y retira iOS 8.0.1 con urgencia

Fallos en Touch ID con iOS 8.0.1

Después de haber liberado la actualización de iOS 8.0.1, ayer miércoles, los iPhone 6 y 6 Plus se han visto afectados en fallos en la telefenía, el Touch ID e irregularidades generales en el teléfono. Apple quiere hacer algo, que nunca antes ha realizado que sepamos, y es desinstalar iOS 8.0.1, o hacer un downgrade, de nuevo a la versión iOS 8.0, mientras se busca una solución al problema, ya que ha convertido muchos terminales iPhone en meros iPod, al dejarlos sin poder hacer llamadas.

Además del procedimiento de downgrade, Apple identificó los errores que causa la nueva versión para desactivar las funciones de conectividad del teléfono y el Touch ID para muchos iPhone 6 & iPhone 6 Plus propietarios.

Figura 1: Artículo en la knowledge base sobre los problemas con iOS 8.0.1

La compañía está planeando lanzar una nueva versión de iOS 8.0.2 con un parche en los próximos días, según parece indicar un documento de soporte de publicación en la red de la compañía. 

Desde Apple se comunica lo siguiente:

Tenemos una solución para los usuarios si tiene un iPhone 6 o iPhone 6 Plus, los cuales han perdido funcionalidad telefónica y Touch ID después de actualizar a iOS 8.0.1. Puede volver a instalar iOS 8.0 a través de iTunes siguiendo las instrucciones especificadas en el documento. También comunicar que estamos preparando iOS 8.0.2 con una solución para el problema, y se liberará tan pronto como esté listo en los próximos días.

Apple describe un proceso paso a paso para revertir de los iPhone que tienen problemas y volver a la versión anterior de iOS:

1. Asegúrate de que utilizar la última versión de iTunes. 
2. Conecta tu iPhone a iTunes.
3. Realiza una copia de seguridad del iPhone en iTunes. La copias de seguridad a través de iCloud no van a restaurar a las versiones anteriores. 
4. Descarga el archivo correspondiente con tu dispositivo: iPhone 6 o iPhone 6 Plus. Cuidado con este punto ya que seguramente haya ciberdelincuentes intentando aprovecharse de esta descarga para realizar algún tipo de phishing.
5. Selecciona el archivo que se acaba de descargar y a través de iTunes. Después desde Windows o Mac busca las actualizaciones y presione Update para instalar iOS 8 en tu iPhone.

Después de hacer el downgrade, un usuario afectado por los problemas debería ser capaz de realizar llamadas y operar con el Touch ID.  Algo que ya algunos usuarios se preguntan es si alguien podrá aprovechar el mecanismo que Apple implementa para hacer un downgrade para utilizarlo en su propio beneficio.

iOS 8.0.1 saldrá pronto: Ya hay bugs que solventar

Apenas una semana con nosotros y ya iOS 8 tiene una actualización para solucionar una buena lista de defectos. Es cierto que cada vez más son los usuarios que miran con lupa los sistemas operativos de Apple, y esto hace que los bugs sean más rápidamente detectados cuando se pone a disposición pública. La nueva versión iOS 8.0.1 corrige algunos bugs encontrados en el teléfono, teclado, la reproducción de video en Safari Mobile, etcétera. 

La versión de iOS 8 Golden Master liberada al público la semana pasada dispone de los siguientes bugs, que según MacRumors ha recibido:

• Teléfono. El reenvío de llamadas y el bloqueo al acceder al voicemail. 
• Teclado. Existe un problema con el teclado que no aparece para introducir códigos de verificación iCloud Keychain. 
• Safari. Se corrige un problema con los videos, los cuales en algunas condiciones no se ejecutaban. 
• Compartir. Problemas en la VPN con AirDrop. 
• VPN. Se soluciona probelmas con la instalación de perfiles VPN.

En nuestra experiencia personal y cercana, iOS 8 consume mucha más batería, es extremadamente lento en sistemas iPhone 4S y en algunos terminales se han podido constatar glitchs de pantalla que hacen cosas muy raras.

Figura 1: Glitch de iOS en un iPhone 5 usando WhatsApp

La versión 8.0.1 hace entrever que habrá más actualizaciones con detalles y pequeñas vulnerabilidades, antes de encontrarnos con las grandes. La fecha de lanzamiento de iOS 8.0.1 no se conoce, pero puede ser que nos llegue en horas o pocos días.

Actualización de Seguridad para Apple XCode 6.0.1

XCode 6.0.1

Esta semana, dentro de las actualizaciones de seguridad de sus productos, Apple ha publicado el Security Advisory APPLE-SA-2014-09-17-7 Xcode 6.0.1 en el que se lista un bug de seguridad en Apple Xcode, con CVE-2014-002 dentro del software de Subversión. El bug que se resuelve en esta actualización está en el uso de Subversión y permite a un atacante malintencionado causar un crash de la aplicación, provocando el cierre inesperado de ésta. El origen del problema se encontraba en SVNListParentPath, que cuando se encontraba habilitado exponía al usuario a un ataque de  denegación de servicio en la aplicación. Esta circunstancia fue resuelta en la versión 1.7.17 de Subversion. 

La vulnerabilidad está clasificada con el CVE-2014-0032, y ha sido solventada en la nueva actualización de XCode 6.0.1. La actualización se encuentra disponible para OS X Mavericks 10.9.4 o posterior.

Figura 1: Security Advisory de XCode 6.0.1

 La política de Apple es de no divulgar, debatir, ni confirmar problemas de seguridad antes de que una investigación se lleve a cabo y una actualización esté disponible, y ahora lo está, así que te recomendamos que actualices cuanto antes tu compilador.

PATiA - Privacy Analysis Tool for iOS Applications

El proyecto PATiA (Privacy Analysis Tool for iOS Applications) de la Universidad de Leon permite a los usuarios de sistemas operativos iOS conocer de un vistazo cuáles son las apps que son más respetuosas con su privacidad y qué datos son los que son consultados por esas apps. En la página web es posible ver en una tabla si una aplicación acceder a tu libreta de contactos, a tu información GPS, a tu dirección MAC real, a tus fotografías, tu calendario o tu id de publicidad. Todo de un simple vistazo, tal y como puede verse en la siguiente tabla.

Por cada una de esos accesos el proyecto da una puntuación, haciendo que las apps con menos accesos a datos confidenciales tengan un scoring de riesgo de privacidad menor y que las que más datos consultan tengan un scoring de riesgo mayor. Estas son algunas apps con un alto acceso a datos privados del dispositivo.

Figura 1: Tabla de análisis de apps en el proyecto PATiA

Hay que tener en mente que la privacidad en iOS se gestiona diferente a las apps en Android, y mientras que en el otro sistema operativo hay una lista completa de permisos que se concede o no durante la instalación, en iOS hay permisos que pueden ir siendo concedidos o no a lo largo del tiempo, y algunos aún no cuentan con permisos. Eso quiere decir que nada más instalar la app, ésta podrá acceder a muchas cosas.

Figura 2: Algunas apps con un scoring de riesgo alto en el proyecto PATiA

Como podéis ver, también han analizado los permisos a los que accede nuestra app cliente de Latch para iOS, donde se pude ver que la privacidad de nuestros usuarios para nosotros es también importante.

Figura 2: Resultados de análisis de la app Latch de Eleven Paths para iOS

Si quieres, puedes buscar una app en concreto o proponer una aplicación en el proyecto para que sea revisada desde la misma página web. Un buen proyecto español sobre la privacidad de las apps en iOS.

iOS 8: MAC Spoofeada en mensajes WiFi Probe Request

Como muchos ya sabréis, este no ha sido un buen mes para Apple en términos de seguridad: Apple ignorando el 2FA en iCloud, el bug por el cual se podía hacer fuerza bruta a la contraseña de iCloud o el sistema de aletas y recuperación de contraseñas fácilmente replicable para hacer phishing, todo ello culminado por el suceso más mediático sin duda: el leak de fotos de famosas de iCloud. Aun así, con la salida de iOS 8 Apple ha puesto un interés considerable en mejorar la seguridad de su sistema operativo móvil y sus partes, como el motor WebKit de Safari, el Bluetooth o el manejo de datos personales del usuario.

Por ejemplo el acceso a dichos datos por parte de la policía y autoridades es ahora imposible por parte de Apple, ya que según su página:

“En dispositivos con iOS8, tus datos personales como fotos, mensajes (incluyendo ficheros adjuntos), correo, contactos, historial de llamadas, contenido de iTunes, notas y recordatorios se encuentran protegidos por tu contraseña. Al contrario que nuestra competencia, Apple no puede saltarse tu contraseña y por lo tanto acceder a esta información. Por lo que no nos es técnicamente posible el responder a peticiones del gobierno sobre la extracción de datos de dispositivos en su posesión con iOS 8”

Aun así uno de los cambios más peculiares en términos de privacidad ha sido el que los dispositivos con iOS 8, a la hora de buscar redes inalámbricas, generan una Dirección MAC Aleatoria. El problema que se tenía hasta ahora es que muchas empresas, sobretodo de marketing y similares, usaban redes inalámbricas para seguir el movimiento de personas dentro de, por ejemplo, un centro comercial o una zona turística, sabiendo simplemente por la dirección MAC de la interfaz WiFi el fabricante del dispositivo y cuando éste cambiaba de posición.

Ocultar la dirección MAC

Todo esto se conseguía usando un paquete conocido como Probe Request, el cual se lanza cuando un dispositivo busca activamente un punto de acceso específico (por ejemplo un iPhone 5S buscando conectarse a la red de su casa) y podría poner en serio riesgo la privacidad de las personas.

Figura 1: Anuncio de que en iOS 8 los mensajes Probe Request llevarían Mac Spoofeada

¿Qué solución ha encontrado Apple? Lanzar todo Probe Request con una dirección MAC spoofeada. De esta forma ningún punto de acceso (o dispositivo que este escuchando) podrá saber a ciencia cierta si el dispositivo que manda la petición es el mismo que mandó una similar anteriormente. Finalmente, cuando inicia una conexión, la dirección MAC cambia de nuevo a la original del dispositivo. Este cambio proporciona un considerable incremento en la privacidad de usuarios de dispositivos son iOS 8, dificultando el seguimiento de estos dispositivos y haciéndole la vida más complicada a los profesionales del marketing.

iCloud for Windows ya viene con iCloud Drive

En la última actualización que Apple ha hecho de iOS 8 se ha lanzado una nueva versión de Apple iCloud Control Panel para Windows, que ahora se llama iCloud para Windows, donde se puede activar ya el uso de iCloud Drive para esta familia de sistemas operativos.

Figura 1: iCloud para Windows

Cuando se reinicie el equipo, aparecerá una nueva carpeta en el sistema que funciona como una carpeta en la nube donde se podrán copiar, pegar y borrar archivos como una carpeta del sistema. 

Figura 2: iCloud Drive en Windows

Ahora parece que sí que Apple va a por el negocio de servicios como Dropbox, ofreciendo masivamente almacenamiento de forma tan masiva. Si lo quieres usar, tienes la información en el servicio de iCloud for Windows en la página se soporte de Apple.

OS X Mavericks 10.9.5, Security Update 2014-004, OS X Server 2.2.3 & 3.2.1, Apple Safari 6.2 & 7.1 y OS X 10.10 Yosemite Preview 8

OS X Yosemite 10.10 Preview 8

La salida del nuevo sistema operativo de Apple está cerca, OS X Yosemite Preview 8 se encuentra en su recta final y ya está disponible la versión para desarrolladores. Así que, antes de que sea lanzada, y coincidiendo con el lanzamiento de iOS 8, Apple ha liberado una nueva remesa de actualizaciones de seguridad para todos los productos OSX, entre los que se encuentran la nueva versión de OS X 10.9.5 Mavericks, el Security Update 2014-004 para OS X Lion y Mountain Lion, OS X Server en las ramas 2.2.3 y 3.2.1, y por supuesto Apple Safari en sus ramas 6.2 y 7.1.

Una larga lista de fallos de seguridad que han sido resueltos. Vamos a repasar un poco.

OS X Mavericks 10.9.5 & Secuirty Update 2014-004

En las actualizaciones, además de los bugs de seguridad resueltos se incluye soporte mejorado para VPN, USB y SMB.  Esta actualización Mavericks proporciona soluciones para la fiabilidad de las conexiones con VPN que utilizan tarjetas Smart USB como identificadores. También se ha mejorado la fiabilidad de acceder a los archivos ubicados en un servidor SMB.

Figura 1: Actualización OS X Update 10.9.5

El número de bugs que han sido corregidos en estas actualizaciones está descrito en el Security Advisory y asciende a un total de 44 fallos de seguridad y está catalogada como una actualización crítica del sistema. Los usuarios de Apple pueden descargar estas actualizaciones a través de la herramienta Software Update y la Mac App Store y aquí están los enlaces de descarga directa:

- OS X Mavericks 10.9.5 Update
- OS X Mavericks 10.9.5 Combo
- Security Update 2014-004 Mountain Lion
- Security Update 2014-004 Lion
- Security Update 2014-004 Server Lion

OS X Server

Las actualizaciones de las ramas de OS X Server 3.X y 2.X cuentan con dos expedientes de seguridad con distintos número de bugs. Mientras que OS X Server 2.2.3 soluciona 1 bug crítico, OS X Server 3.2.1 arregla 9 CVEs de seguridad también críticos, por lo que debes aplicar las actualizaciones lo antes posibles.

Apple Safari 6.2 & Apple Safari 7.1

Por último, hay que destacar las actualizaciones de seguridad del navegador de Internet de Apple, ya que en el Secuirty Advisory se avisa de 9 CVE de seguridad críticos arreglados, por lo que se recomienda una actualización inmediata desde Software Update & Mac App Updates.

Apple saca iOS 8 con Touch ID para apps, Kill Switch y 56 CVEs pero sin soporte para iPhone 4

Ayer Apple puso en circulación la esperada y anunciada versión de iOS 8 para los terminales iPhone 4S, iPhone 5, iPhone 5S, iPhone 5C y los recientemente anunciados iPhone 6 y iPhone 6 Plus, además de iPad, iPad Air, iPad mini e iPod Touch - el número de dispositivos con iOS cada día es mayor -. Entre las novedades del sistema operativo se encuentra la ya conocida de que las apps podrán hacer uso de Touch ID, como ya han implementado algunos desarrolladores. Además de esa característica, atendiendo a las demandas de cada vez más estados, se configura Kill Switch por defecto, impulsando de manera mucho más robusta Activation Lock.

Además de estas novedades ya conocidas, el sistema viene con Apple Pay en los terminales iPhone 6 y iPhone 6 plus haciendo uso de NFC, aunque ya se ha anunciado que, siguiente la misma política que se hizo con Touch ID, su uso para los desarrolladores está restringido por ahora. Parece que Apple quiere afianzar Apple Pay antes de abrir a los desarrolladores NFC.

Figura 1: Security Advisory de Apple iOS 8

A esta lista de cosas hay que añadir la larga lista de bugs de seguridad, un total de 56 CVEs que están descritos en el Security Advisory APPLE-SA-2014-09-17-1 iOS 8 que, esta vez sí, ha sido sincronizado con el lanzamiento de OS X Yosemite, atendiendo a la demanda de los investigadores de seguridad para que no de información de parches en OS X que afecten a iOS y viceversa. También se ha lanzado el Security Advisory de Apple TV 7, que como es sabido está basado en iOS y por tanto comparten bugs y parches.

Apple requiere una contraseñas de aplicación para que herramientas de terceros accedan a datos de iCloud

Apple ha decido realizar algunos cambios en su política, y una de ellas es que ahora se solicita contraseñas específicas para que aplicaciones de terceros puedan tener acceso a iCloud. Esto permite que los usuarios generen contraseñas únicas, solamente para iniciar sesión en iCloud de forma segura. Existe un documento publicado por Apple que explica el uso de esta nueva funcionalidad, dónde también se puede encontrar la verificación en dos pasos. Esta nueva funcionalidad verá la luz el 1 de Octubre de 2014.  Por supuesto, esto viene motivado por el escándalo de las fotos de las famosas y las herramientas que permiten descargar fotos del backup de iCloud.

Todas las medidas que Apple va tomando, surgen de la necesidad de lavar la imagen frente al escándalo de las celebrities, por ejemplo. Según el documento, y como se puede ver en la imagen, los pasos a seguir para la generación de las contraseñas específicas son sencillos. 

Figura 1: Pasos a seguir para generar contraseñas específicas

El usuario que utilice iCloud con cualquier aplicación de terceros, como Microsoft Outlook, puede generar una contraseña específica para esta aplicación, lo cual permite autenticarse de forma segura, aunque la aplicación que esté utilizando iCloud no admita verficiación en dos pasos. El uso de una contraseña de este tipo también asegura que la contraseña original, la que el usuario utiliza en iCloud, no es recogida ni almacenada por ninguna aplicación de terceros que la pudiera poner en riesgo.

Figura 2: Histórico de contraseña específica

Como se indica en el documento de soporte, las contraseñas específicas de la aplicación se pueden generar mediante el acceso al Apple ID del usuario. En la opción de generar una contraseña de aplicación específica, la cual aparece en la pestaña 'Contraseña y Seguridad'. Para Apple, los usuarios pueden tener hasta 25 contraseñas específicas a la vez.

El CEO de Apple, Tim Cook, ha prometido mejorar la seguridad de iCloud para concienciar acerca de la verificación en dos pasos, así como el envío de mensajes de correo electrónico, aunque esto puede ser una mala práctica como se puede ver en el artículo sobre phishing de Apple.

FLIR One: Robar PIN de cajeros con funda de iPhone

La noticia de hoy es llamativa, pero real y útil para aquellos criminales que quieren robar los PIN de tarjetas de crédito. ¿A qué ladrón no le gustaría robar PIN de cajeros automáticos a través de un dispositivo móvil, como por ejemplo el iPhone? Existe un complemento para iPhone denominado FLIR One, el cual es un accesorio de infrarrojos que se ajusta al dispositivo en sus modelos iPhone 5 y 5S. El concepto que se esconde detrás de este uso es que la cámara de infrarrojos recoge el calor térmico y lo traduce en imágenes con colores dinámicos, lo que después de haber pulsado los botones de un cajero puede ser el camino de usar tu PIN de desbloqueo de la tarjeta.

El accesorio no fue ideado para realizar estas acciones, pero los ladrones han visto en este accesorio una vía sencilla de conseguir los PIN de tarjetas en los cajeros. Esta tecnología utilizada, generalmente, había sido reservada para operaciones militares, pero hoy en día puede ser adquirida por unos cientos de dólares.

Figura 1: Utilización de cámara de infrarrojos en un cajero

La cámara hace todo el trabajo capturando una imagen del calor que se dejó en el teclado del cajero al introducir el PIN. ¿Cómo podrían completar lo que necesitan, es decir la tarjeta? Pues ellos pueden utilizar un escáner para capturar los datos de la tarjeta, o utilizar otras técnicas de skimming. En el siguiente video se puede observar lo sencillo que es realizar un robo de PIN con este accesorio. El atacante pasa totalmente desapercibido, pero roba las pulsaciones térmicas del usuario en el dispositivo de compra.

Figura 2: Demostración de cómo robar el PIN de un cajero ATM con un funda de iPhone

¿Cómo protegerse? Esto es realmente sencillo, lo único que debemos hacer tras realizar la compra o tras sacar dinero de un cajero es reposar los dedos en otros botones. De esta forma estamos "contaminando" el escenario con el calor producido por nuestros dedos. En otras palabras, esta acción dejaría una "firma" sobre el teclado que el criminal no podrá detectar.

Fundamentos de Análisis Forense de Mac OS X

Con la llegada de RootedCON Valencia, la organización de RootedCON está acelerando la subida de las conferencias del pasada RootedCON 2014 a su canal Youtube. En la última remesa ha sido subida la presentación de Joaquín Moreno Garijo titulada "Análisis Forense a bajo nivel de Mac OS X", que puedes ver en el siguiente vídeo:

Figura 1: Análisis Forense a bajo nivel de Mac OS X

La charla, de poco menos de una hora, es un perfecto recorrido sobre los conceptos técnicos a bajo nivel necesarios para interpretar el Apple System Log, los ficheros de configuración Plist que se usan como log en tantas y tantas aplicaciones del sistema y cada uno de los servicios como UTMPX o el Basic Secure Module. Si te gusta el análisis forense de Mac OS X, no te puedes perder esta charla.

Fue Noticia en Seguridad Apple: del 1 al 14 de Septiembre

Como es tradición, ha llegado el momento de hacer un pequeño break y echar la vista atrás, para ver qué nos ha deparado durante las últimas dos semanas el mundo de la seguridad, especialmente centrado en los productos de Apple. Recopilamos lo publicado en Seguridad Apple y como es habitual en otros blogs que puedan ofreceros información relevante..

Septiembre comenzó muy movido, con una noticia que revolucionó las redes sociales y de la que por supuesto nos hicimos eco. Se trata del "Celebgate", la filtración masiva de fotos de famosas en situaciones comprometidas tras el robo de sus cuentas de iCloud.

El día 2 anunciamos el descubrimiento de dos vulnerabilidades que afectan a Air Transfer, una aplicación que permite el envío de ficheros entre PC/Mac y dispositivos iOS. Se trata de vulnerabilidades de tipo remote closing, que permite cerrar la aplicación de forma remota, y broken authentication, que permite el acceso al contenido.

El miércoles el leak de las famosas seguía causando revuelo, así que volvimos al tema e intentamos arrojar un poco de luz, analizando una de las teorías propuestas para el ataque, una vulnerabilidad en el servicio Find My iPhone. Este bug era aprovechado por un script en Python llamado iBrute. Apple cerró el bug.

El jueves explicamos cómo un nuevo bug en iOS 7.1.2 permite saltarse la protección que ofrece el passcode, de una forma similar a un ataque de clickjacking, pudiendo fusionar aplicaciones.

Un día después mostramos una forma de automatizar el robo de ficheros en iPhones. Se trata de iFile, una aplicación solo disponible para terminales con jailbreak, que supone una grave vulnerabilidad puesto que no proporciona por defecto ni cifrado ni autenticación.

El viernes nos centramos en el backdoor de OS X reportado por la empresa de seguridad FireEye. OSX.XSLCmd es un malware portado de Windows específicamente diseñado para ser usado para ciberespionaje.

Comenzamos el fin de semana con otra noticia relacionada con el "Celebgate". Esta vez Tim Cook, CEO de Apple, ha prometido que se tomarán medidas para evitar que se produzcan este tipo de leaks y proteger de esta manera a los usuarios.

Semana nueva, post nuevo. Esta vez, hablamos de Nuclear Exploit Kit, un kit que permite realizar ataques de distribución de malware, en este caso explotando la vulnerabilidad CVE-2014-0515, que se aprovecha de un desbordamiento de buffer en Flash.

El martes, de vuelta al escándalo de las famosas, anunciamos que a partir de ahora iCloud avisa de los accesos a través de navegadores web, y además permite cerrar todas las sesiones del usuario.

Tras el esperadísimo evento de Apple, el miércoles os presentamos una de las novedades de iPhone 6 que más ha llamado la atención: la posibilidad de realizar pagos mediante el sistema Apple Pay, que emplea un chip NFC del dispositivo.

El jueves 11 destacamos el lanzamiento de la última versión de iTunes, la 11.4 para OS X. Lo más relevante de esta versión es que cuenta con soporte para iOS 8, en pro de una mayor integración con los dispositivos

Este viernes expusimos los potenciales riesgos de seguridad que puede implicar un sistema de pagos como Apple Pay, tras analizar detalladamente su funcionamiento. Algo que ya hemos visto en el pasado en otros sistemas de pago usando NFC.

Por último, ayer sábado la entrada se la dedicamos al sistema anti-robo de Apple Pay que parece que lleva incorporado Apple Watch. Un detector de que el reloj ha sido quitado de la muñeca para proceder a pedir el PIN de Apple Pay en la siguiente transacción.

Y esto ha sido todo lo que ha dado de sí nuestro espacio de Seguridad Apple durante estas dos semanas, pero a continuación os dejamos la selección de artículos de otros blogs que no puedes dejar de leerte para estar informado de lo principal que ha sucedido en este periodo.

- Robar fotos de iCloud a un usuario de iPhone: Demostración de cómo un ataque dirigido de Phishing puede permitir robar una cuenta de Apple iCloud y cómo se puede descargar el backup de la nube con herramientas. El vídeo de la demostración que se hizo en la tele lo tienes aquí.

Demostración de cómo robar una cuenta de Apple iCloud con Phishing dirigido y descargar fotos

- Comiendo con Steve Wozniak: En Security By Default cuenta Lorenzo Martínez cómo fue la comida con uno de los hackers históricos más famosos, además de ser uno de los padres de Apple. Merece la pena la lectura. 

- Apple actualiza las guidelines de App Store: Y confirma que va a eliminar cualquier aplicación que no cumpla con los mínimos de calidad. Además, hace hincapié en la privacidad de los datos de los usuarios. 

- Mujer atascada en un desagüe cuando intentaba recuperar su iPhone: La foto no mo merece ningún comentario extra.  

- Sale a subasta un Apple I hecho por Steve Wozniak: El coste de este equipo puede rondar los 500.000 USD. ¿Te apetece tener uno de estos? 

- Mozilla Firefox anuncia el uso de Certificate Pinning: Pero a día de hoy no funciona haciendo certificate pinning como debería hacerlo. En el blog de Eleven Paths tienes la explicación. 

- Arrestan al creador de WhatsApp PC: Un español que infectaba a sus víctimas con un programa que ofrecía la falsa promesa de poder espiar WhatsApp a familiares. Una vieja estafa que sigue funcionando por desgracia.

Algunos de los diseños conceptuales de lo que la gente pensaba que podía ser Apple Watch

- Concepts de iPhone: Con el lanzamiento de Apple Watch la compañía ha vuelto a sorprender y dejar todos los concpets que aparecieron de iWatch sin sentido. en The Next Web recuerdan que pasó lo mismo con la especulación de iPhone. 

- 5 Millones de cuentas de Gmail publicadas: Realmente son cuentas robadas con malware o phishing, pero lo que debe es alertar a los usuarios para que tomen precaución de todas sus identidades digitales.

- Seguridad en el evento de Apple: No querían que se filtraran fotos de Apple Watch antes de que Tim Cook lo presentara, por eso el personal del evento tuvo que tapar las cámaras de sus smartphones con un celo especial que si se movía cambiaba de color. 

Y esto ha sido todo, os esperamos dentro de dos semanas en esta sección y cada día en los artículos que escribimos en Seguridad Apple. Que disfrutéis de un buen domingo.

Apple Watch lleva un antirobo para Apple Pay

Esta la industria de la seguridad revolucionada con el sistema Apple Pay y con el nuevo Apple Watch, y cada vez se van conociendo más detalles de cómo funciona o va funcionar todo en el futuro. En este caso, la pieza de información que se ha conocido tiene que ver con el bloqueo de seguridad de Apple Pay en Apple Watch cuando éste ha sido quitado de la muñeca. Es decir, que el sistema de pagos quedará bloqueado cuando el reloj haya sido desenganchado de la muñeca de su dueño, haciendo que para los ladrones sea imposible robar la tarjeta de crédito asociada al reloj. A si lo podemos explicar bien.

Paso 1: Nos ponemos Apple Watch en la muñeca

Nuestra sistema de Apple Pay tiene un código de desbloqueo en el reloj, así que para que podamos autorizar el pago deberemos desbloquear con el código su uso. Para evitar poner el código en las tiendas donde seguramente haya cámaras de seguridad, lo suyo es que se haga cuando se piense usar para pagar y su ponga en la muñeca.

Figura 1: Apple Pay en Apple Watch

Paso 2: El reloj detecta que está en la muñeca

Con los sensores que lleva el reloj en la parte trasera, se detecta que está en contacto con la muñeca de su dueño constantemente, de tal manera que si en algún momento se quita de la muñeca, se deberá volver a introducir el PIN de desbloqueo para poder usar los pagos.

Figura 2: Sensores traseros en Apple Watch

Paso 3: Se realiza el pago

Solo será necesario aprobar la operación con Apple Watch cuando se produzca el desafío del cobro, pero no será necesario desbloquear la tarjeta si ya se hizo antes y no se ha quitado de la muñeca en ningún momento. Además, llegará una alerta a Apple Passbook.

Aún así, tras conocer estos detalles, quedan muchas incógnitas que resolver para conocer mejor la seguridad del sistema, pero tendremos que esperar aún unos meses para poder jugar un poco con uno de estos Apple Watches que tantos comentarios y especulaciones está generando por todo el mundo.

Apple Pay: Comienza la carrera para hackear los pagos

Apple Pay Logo

Apple Pay fue presentado en al Keynote del 9 de Septiembre, una de las más importantes de los últimos años para Apple. Con el Apple Pay se abre un nuevo mundo de posibilidades pero también un tiempo en el que se va a poner al límite su seguridad para intentar manipularlo y que no actúe como se espera. Ayer pudimos leer en The Whasington Post un proyecto con algunos años en los que unos investigadores utilizaron la ingeniería inversa a un chip de NFC, cuya tecnología es el centro del sistema de pagos de Apple, para conseguir 'robar' dinero.

¿Cómo funciona realmente el pago con Apple Pay?

En el mundo de la seguridad siempre se mira con preocupación qué es lo que ocurre con los datos de los consumidores. Apple, como ya mencionamos, asegura que no almacenan ninguna información sobre la compra, cliente o localización.

Figura 1: Descripción de Apple Pay

Los números de tarjetas no pasan por Apple, se almacenan en un chip dedicado en el dispositivo llamado Secure Element. Esto ocurre en el iPhone 6 y en el nuevo reloj. Según la documentación los datos, al igual que los de Touch ID, solo residen en el dispositivo, y por lo visto seguirán contándolo ya que la gente sospecha antes el almacenamiento de estos datos tan críticos. 

Figura 2: Funcionamiento de Apple Pay

Después, se genera una clave de seguridad de forma dinámica para procesar el pago, no enviando el número de la tarjeta al terminal de venta. Esto es importante, ya que nos hace entrever que el número de tarjeta no sale en ningún momento del dispositivo, ni a Apple ni a la terminal. Hay muchos grupos preparados esperando a poder probar el sistema e intentar su hack. Seguramente aparezcan, como ocurrió con el Touch ID ofertas ofreciendo dinero por su hack, pero ¿Cuánto puede valer una vulnerabilidad en un sistema de pagos?

Figura 3: Reporte de phishing del Apple Pay en Google Chrome

Con la salida del Apple Pay al mercado se pudo observar un momento crítico en Internet, a la vez que curioso. Sabemos que Apple compite con Google, y éstos decidieron de clasificar de phishing la página del Apple Pay. Esto se solucionó rápidamente, lo cual quedo como un fail curioso.