Como es tradición, ha llegado el momento de hacer un pequeño break y echar la vista atrás, para ver qué nos ha deparado durante las últimas dos semanas el mundo de la seguridad, especialmente centrado en los productos de Apple. Recopilamos lo publicado en Seguridad Apple y como es habitual en otros blogs que puedan ofreceros información relevante..
Septiembre comenzó muy movido, con una noticia que revolucionó las redes sociales y de la que por supuesto nos hicimos eco. Se trata del "Celebgate", la filtración masiva de fotos de famosas en situaciones comprometidas tras el robo de sus cuentas de iCloud.
El día 2 anunciamos el descubrimiento de dos vulnerabilidades que afectan a Air Transfer, una aplicación que permite el envío de ficheros entre PC/Mac y dispositivos iOS. Se trata de vulnerabilidades de tipo remote closing, que permite cerrar la aplicación de forma remota, y broken authentication, que permite el acceso al contenido.
El miércoles el leak de las famosas seguía causando revuelo, así que volvimos al tema e intentamos arrojar un poco de luz, analizando una de las teorías propuestas para el ataque, una vulnerabilidad en el servicio Find My iPhone. Este bug era aprovechado por un script en Python llamado iBrute. Apple cerró el bug.
El jueves explicamos cómo un nuevo bug en iOS 7.1.2 permite saltarse la protección que ofrece el passcode, de una forma similar a un ataque de clickjacking, pudiendo fusionar aplicaciones.
Un día después mostramos una forma de automatizar el robo de ficheros en iPhones. Se trata de iFile, una aplicación solo disponible para terminales con jailbreak, que supone una grave vulnerabilidad puesto que no proporciona por defecto ni cifrado ni autenticación.
El viernes nos centramos en el backdoor de OS X reportado por la empresa de seguridad FireEye. OSX.XSLCmd es un malware portado de Windows específicamente diseñado para ser usado para ciberespionaje.
Comenzamos el fin de semana con otra noticia relacionada con el "Celebgate". Esta vez Tim Cook, CEO de Apple, ha prometido que se tomarán medidas para evitar que se produzcan este tipo de leaks y proteger de esta manera a los usuarios.
Semana nueva, post nuevo. Esta vez, hablamos de Nuclear Exploit Kit, un kit que permite realizar ataques de distribución de malware, en este caso explotando la vulnerabilidad CVE-2014-0515, que se aprovecha de un desbordamiento de buffer en Flash.
El martes, de vuelta al escándalo de las famosas, anunciamos que a partir de ahora iCloud avisa de los accesos a través de navegadores web, y además permite cerrar todas las sesiones del usuario.
Tras el esperadísimo evento de Apple, el miércoles os presentamos una de las novedades de iPhone 6 que más ha llamado la atención: la posibilidad de realizar pagos mediante el sistema Apple Pay, que emplea un chip NFC del dispositivo.
El jueves 11 destacamos el lanzamiento de la última versión de iTunes, la 11.4 para OS X. Lo más relevante de esta versión es que cuenta con soporte para iOS 8, en pro de una mayor integración con los dispositivos
Este viernes expusimos los potenciales riesgos de seguridad que puede implicar un sistema de pagos como Apple Pay, tras analizar detalladamente su funcionamiento. Algo que ya hemos visto en el pasado en otros sistemas de pago usando NFC.
Por último, ayer sábado la entrada se la dedicamos al sistema anti-robo de Apple Pay que parece que lleva incorporado Apple Watch. Un detector de que el reloj ha sido quitado de la muñeca para proceder a pedir el PIN de Apple Pay en la siguiente transacción.
Y esto ha sido todo lo que ha dado de sí nuestro espacio de Seguridad Apple durante estas dos semanas, pero a continuación os dejamos la selección de artículos de otros blogs que no puedes dejar de leerte para estar informado de lo principal que ha sucedido en este periodo.
- Robar fotos de iCloud a un usuario de iPhone: Demostración de cómo un ataque dirigido de Phishing puede permitir robar una cuenta de Apple iCloud y cómo se puede descargar el backup de la nube con herramientas. El vídeo de la demostración que se hizo en la tele lo tienes aquí.
Demostración de cómo robar una cuenta de Apple iCloud con Phishing dirigido y descargar fotos
- Comiendo con Steve Wozniak: En Security By Default cuenta Lorenzo Martínez cómo fue la comida con uno de los hackers históricos más famosos, además de ser uno de los padres de Apple. Merece la pena la lectura.
- Apple actualiza las guidelines de App Store: Y confirma que va a eliminar cualquier aplicación que no cumpla con los mínimos de calidad. Además, hace hincapié en la privacidad de los datos de los usuarios.
- Mujer atascada en un desagüe cuando intentaba recuperar su iPhone: La foto no mo merece ningún comentario extra.
- Sale a subasta un Apple I hecho por Steve Wozniak: El coste de este equipo puede rondar los 500.000 USD. ¿Te apetece tener uno de estos?
- Mozilla Firefox anuncia el uso de Certificate Pinning: Pero a día de hoy no funciona haciendo certificate pinning como debería hacerlo. En el blog de Eleven Paths tienes la explicación.
- Arrestan al creador de WhatsApp PC: Un español que infectaba a sus víctimas con un programa que ofrecía la falsa promesa de poder espiar WhatsApp a familiares. Una vieja estafa que sigue funcionando por desgracia.
Algunos de los diseños conceptuales de lo que la gente pensaba que podía ser Apple Watch |
- Concepts de iPhone: Con el lanzamiento de Apple Watch la compañía ha vuelto a sorprender y dejar todos los concpets que aparecieron de iWatch sin sentido. en The Next Web recuerdan que pasó lo mismo con la especulación de iPhone.
- 5 Millones de cuentas de Gmail publicadas: Realmente son cuentas robadas con malware o phishing, pero lo que debe es alertar a los usuarios para que tomen precaución de todas sus identidades digitales.
- Seguridad en el evento de Apple: No querían que se filtraran fotos de Apple Watch antes de que Tim Cook lo presentara, por eso el personal del evento tuvo que tapar las cámaras de sus smartphones con un celo especial que si se movía cambiaba de color.Y esto ha sido todo, os esperamos dentro de dos semanas en esta sección y cada día en los artículos que escribimos en Seguridad Apple. Que disfrutéis de un buen domingo.
No hay comentarios:
Publicar un comentario