Menú principal

domingo, 30 de noviembre de 2014

El CEO de StealthGenie multado con 500.000 dólares

En los Estados Unidos es un delito federal vender software espía. La compañía StealthGenie no ocultó a su público sus objetivos comerciales, y los usos que se podían hacer de la aplicación. El pasado martes se produjo una condena penal, por primera vez, en relación con la publicidad y la venta de una aplicación de software espía para dispositivos móviles en Estados Unidos. El Departamento de Justicia anunció que el creador de StealthGenie, el ciudadano Hammad Akbar, se había declarado culpable por la publicidad y la venta del software. Después de aceptar la declaración de culpabilidad, el tribunal condenó a Akbar a pagar una multa de 500.000 dólares.

Además, se le condenó a entregar el código fuente al gobierno de USA para su estudio y neutralización, suponemos.

Akbar ha sido acusado por el estado norteamericano de Virginia en Octubre por realizar escuchas telefónicas y crear y distribuir un sistema de interceptación conocido. StealthGenie ha sido utilizado para interceptar correos electrónicos, imágenes, video, llamadas telefónicas, textos y otras comunicaciones en dispositivos móviles. Akbar ha recaudado una gran cantidad de dinero, pero es curioso como se distribuyen las ventas. La mayoría de las ventas vienen de personas que sospechan de sus socios y que deciden espiarles. Acosadores y abusadores suelen utilizar este tipo de herramientas para el seguimiento de sus víctimas. StealthGenie se instalaba en un dispositivo iOS de haciendo jailbreak, una de las formas de meter un troyano en iPhone. El siguiente vídeo explica cómo funciona en iPhone.

Figura 1: Funcionamiento de StealthGenie en iPhone

El gobierno americano ha informado de que es cierto que los usuarios que compran esto y lo utilizan son los culpables de los espionajes, pero que el proveedor facilita esta invasión de la privacidad y son potencialmente responsables. No es fácil instalar este software, ya que se necesita acceso al terminal, generalmente, para llevar a cabo la instalación de la aplicación. Esto hace que su riesgo de propagación por Internet disminuya, pero es cierto que el tiempo necesario para instalar la aplicación es bastante bajo. ¿Cómo saber si está corriendo en mi dispostivo? Esto puede ser algo más complejo de lo que pensamos, ya que está bien oculto, y para un usuario no avanzado puede ser algo no trivial. Lo mejor es no dejar que nadie utilice el terminal sin tu supervisión.

sábado, 29 de noviembre de 2014

Parche critico de seguridad en Adobe Flash Player fuera de ciclo. ¡Actualiza tus navegadores ya!

Cuando una empresa como Adobe saca un parche de seguridad crítico para Adobe Flash Player fuera del ciclo habitual de actualizaciones, algo malo está pasando. En este caso, un bug supuestamente resuelto en la actualización de Octubre no quedó bien resuelto, por lo que los malos están explotándolo masivamente en Internet. Esto quiere decir que simplemente, con navegar por una web infectada puedes acabar con un malware en tu equipo. 

Figura 1: Boletín de seguridad crítico de Adobe Flash Player. Actualiza ya.

Recuerda que si usas Google Chrome en tu OS X el plugin de Adobe Flash Player se actualiza automáticamente, pero para el resto de los navegadores debes ir a descargar la última versión y actualizarlo desde la web de Adobe Flash Player.

viernes, 28 de noviembre de 2014

Spotlight Suggestions en OS X Yosemite y la privacidad

Hace ya algún tiempo en Security By Default alertaron de que la nueva versión de OS X Yosemite enviaba con Spotlight Suggestions todos los datos a Apple. Esto, como bien apuntaban en el artículo no era algo escondido y se podía leer directamente en las opciones de privacidad.

Figura 1: Nuevos Términos y Condiciones de OS X Yosemite sobre Spotlight Suggestions

Cada búsqueda que se hace es enviada a los servidores de Apple para aumentar los resultados y mejorar el servicio, pero puede que no te guste que esto pase, por lo que tal vez lo mejor es ir y deshabilitar estas Suggestions.

Figura 2: Spotlight Suggestions dentro de las opciones de Spotlight

Una de las cosas que también hace, además de enviar las búsquedas, es enviar la localización del dispositivo, para poder mostrar, como se ve en este ejemplo, restaurantes cerca de tu ubicación.

Figura 3: Recomendaciones de Spotlight Suggestions por ubicación

Esto, según dice Apple a The Verge, son datos anonimizados y sin precisión, pero si no te gusta que pase, puedes irte a las Opciones de Privacidad y deshabilitarlo.

Figura 4: Configuración de permisos de localización para Spotlight Suggestions

Además, esto se puede deshabilitar vía consola utilizando los siguientes comandos para descargase un script en Pyhton construido para deshabilitarlo, con lo que se puede automatizar este proceso en los equipos de una red.
$ curl -O https://fix-macosx.com/fix-macosx.py
$ /usr/bin/python fix-macosx.py
¿Tú qué prefieres? ¿Usabilidad o Privacidad?

jueves, 27 de noviembre de 2014

Los guardias de seguridad de Apple siguen luchando por mejorar sus condiciones

Apple Campus. One Infinite Loop
La noticia de hoy en nos lleva a la capa de seguridad física de la propia Apple. Hace unos meses hablamos de problemas con guardias de seguridad por protestas en la Apple Store. Existe una lucha para sindicalizar a los trabajadores con contratos de Silicon Valley, ya que una división del Service Employees International Union llamada United Service Workers West está pidiendo a Apple apoyar una iniciativa que busque mejorar el tratamiento de los guardias de seguridad, al fin y al cabo una defensa en profundidad empezaría porque ellos estén formados, concienciados y con buenas condiciones.

En el Campus de Apple, actualmente, se encuentran un grupo de guardias que son especialistas de la industria y forman parte de una empresa subcontratada que, supuestamente, trata mal a sus empleados, como ya vimos en las protestas de estos guardias. La primera preocupación que refleja esta unión es la de pagar a los trabajadores un sueldo con el que puedan lidiar con el aumento rápido del coste de vida en los alrededores de San Francisco

Figura 1: Trabajadores de seguridad en reivindicaciones

"Apple puede ser el líder", dijo Samuel Kehinde, vicepresidente de United Service Workers West. "Ellos pueden decidir como debería ser la vida para esta clase de trabajadores en el Campus y fuera de él". El líder de derechos civiles Jesse Jackson prestó su voz al movimiento en una carta al CEO de Apple, Tim Cook, el mes pasado pidiendo a la compañía que observara las operaciones del SIS, Security Industry Specialists. Jackson pidió una reunión con Cook para debatir el tema, pero aún no se ha recibido respuesta. 

Jesse Jackson añadió que "a medida que Apple crece a un ritmo vertiginoso, deberían tener unas condiciones de trabajo de clase mundial para sus trabajadores, desde abajo hacia arriba". Hemos querido saber exactamente cuanto cobra un guardia de seguridad en Silicon Valley, y según declaraciones de Tom Seltz, SIS CFO, en su empresa se obtuvo un promedio de 19,77 dólares por hora por miembro contratado o subcontratado. Este dato parece no ser suficiente para poder vivir en esa zona de la Bahía de San Francisco.

miércoles, 26 de noviembre de 2014

Cam Hacker: Conexión a cámaras de seguridad desde iOS

Shodan supuso una revolución por realizar búsquedas de dispositivos en vez de por contenido, como pueden hacer Google o Bing. Ojeando algunas de las apps más extrañas de la AppStore uno puede encontrarse con algunas aplicaciones que utilizan el concepto de Shodan para recolectar direcciones IP de cámaras que se encuentran conectadas a Internet. 

La aplicación se denomina Webcams HD, aunque cuando se abre se autodenomina como Cam Hacker y permite realizar búsquedas de cámaras, por ejemplo por países. Los usuarios pueden notificar algunas cámaras no protegidas descubiertas, además podemos categorizar y taggear algunas cámaras de seguridad desprotegidas.

Al abrir la aplicación podemos encontrar con un menú sencillo el cual nos proporciona las siguientes opciones:
  • Últimas webcams que han sido añadidas o que están disponibles en la aplicación. Hay que recordar que estas webcams están sin proteger, y son totalmente accesibles desde Internet. 
  • Ralizar búsquedas y descubrimientos de nuevos activos, en este caso cámaras, a través de palabras clave. 
  • Filtrar por categorías.
  • Filtrar por países, es decir, encontrar cámaras en función del país dónde se encuentre colocada.
Figura 1: Menú Cam Hacker
Al principio la aplicación me pareció extraña, pero al final no deja de ser un subconjunto de Shodan disponible desde nuestro dispositivo iOS. Al final, este tipo de aplicaciones no son más que una "queja" del creador para enseñar la inseguridad que existe en el mundo de las cámaras. A continuación podéis ver un ejemplo de lo fácil que es conectarse, en este ejemplo a una cámara situada en Kingston, Jamaica.

Figura 2: Conexión con Kingston

Algunas de las cámaras pueden estar abiertas a propósito, pero existe una gran cantidad que debido a una mala configuración o una configuración por defecto nos encontraremos expuestas en Internet. Nuestro compañero Chema Alonso habló sobre este tema en un programa de televisión. Como recomendaciones podemos definir: actualizar el software y utilizar contraseñas complejas si la cámara tiene que estar expuesta a Internet que si no los atacantes podrían acabar indexando la cámara en múltiples webs, como las que se han publicado la semana pasada.

Figura 3: Cámaras de seguridad en Madrid indexadas en insecam

Si la cámara es crítica, evitar que esté expuesta, por ejemplo disponerla en una red interna y que se acceda a ella a través de una VPN segura. Rechazar las configuraciones por defecto, y por supuesto evitar las contraseñas en blanco. También puede ser bastante útil disponer de elementos de seguridad, como un firewall, que permita el acceso desde determinadas direcciones. Además, es importante disponer de un log de accesos para ir monitorizando desde dónde, y quiénes están accediendo, cumpliendo con un mínimo de trazabilidad.

martes, 25 de noviembre de 2014

iMessage es de lo más privado en mensajería {o no}

Mucho se ha hablado estos días sobre el nuevo cifrado end-to-end que proporcionará WhatsApp, pero esto es algo que iMessage lleva proponiendo desde el principio. Esto es algo que llevó a que los cuerpos de seguridad de Estados Unidos se quejaran debido a la dificultad de interceptación de los mismos. La propia Apple, envuelta en el escándalo de las filtraciones de Edward Snowden, dijo que ellos nunca podrían dar esos mensajes a la NSA porque no tienen forma de capturarlos, pero lo cierto es que un grupo de hackers demostró que sí se podría hacer.

Con ese debate de cifrado reversible o no, los problemas de seguridad de iMessage llegaron por otros sitios, como los ataques de Denial of Service o Spam - resueltos de forma un tanto peculiar al inicio -, y sobre todo los problemas de privacidad derivados de la mala gestión del desregistro de dispositivos. Esta mala gestión llevó a que personas siguieran recibiendo los mensajes de un antiguo dueño solo por haber sido utilizado ese dispositivo anteriormente con iMessage

Figura 1: Herramienta para des

Para poder atajar este problema, Apple lanzó hace unos días una herramienta llamada "Deregister iMessage" que permite desregistrar cualquier cuenta de iMessage de cualquier dispositivo, pero a pesar de ella la FTC Americana ha multado a la compañía por estos fallos de privacidad.

Figura 2: Ranking de la EFF sobre apps de mensajería

A pesar de todo, en el ranking de seguridad de aplicaciones de mensajería en el mundo móvil realizado por la EFF, iMessage de Apple sigue obteniendo puntuaciones de lo más altas, debido a la arquitectura que propone, junto a otras como TextSecure, mientras que Skype, Wickr, Telegram o WhatsApp quedan muy atrás. ¿Podrá WhatsApp o Telegram igualar estos valores? ¿Estáis de acuerdo con ellas?

lunes, 24 de noviembre de 2014

Crash en Apple Safari 8 en OS X 10.10.X Yosemite

Cada día salen nuevas vulnerabilidades en OS X y los productos de la gente de Apple. Esto es debido en parte a la cuota de mercado que están alcanzando, y en el interés generado por estudiar e investigar sus sistemas y aplicaciones. No hay que irse muy lejos para recordar la vulnerabilidad rootpipe en la que se consigue elevar privilegios y obtener una shell como root. Se espera que Apple ponga solución a esto en Enero de 2015.

La última versión de Apple Safari en OS X trae un fallo que produce el crash de la aplicación produciendo el cierre inesperado del navegador. Un posible atacante puede provocar el cierre de Apple Safari utilizando un enlace que lleve a la víctima a ejecutar el contenido que el atacante ofrece. En la imagen se puede visualizar el código necesario para provocar la caída del proceso, el cual puede ser descargado de sitios como exploit-db.

Figura 1: Código que provoca el crash de Safari 8 en OS X 10.10

Cuando la víctima accede al recurso malicioso compartido por el atacante, se puede leer en el navegador que el contenido web de Apple Safari se cierra inesperadamente. Si se abre el recurso con otro navegador web, esta situación no ocurre, por lo que según se indica en exploit-db este fallo solo ocurre en Apple Safari.

Figura 2: Crash de Safari

Cuando Apple Safari se cierra pide al usuario informar a Apple del error y en opciones más avanzadas podremos visualizar el volcado que se hace, el cual es muy similar al que se puede ver en exploit-db o 1337day. Al final esta vulnerabilidad no deja de ser un DoS contra la aplicación, por lo que estaremos atentos a una actualización que solvente el problema. A día de hoy, no existe parche por lo que hemos podido probar. 

domingo, 23 de noviembre de 2014

Fue Noticia en Seguridad Apple: del 10 al 23 de Noviembre

Es domingo de volver a nuestra sección de Fue Noticia, así que como solemos hacer cada catorcer días, toca echar la vista atrás y repasar brevemente todo lo que hemos ido publicando relativo a la seguridad de productos Apple durante las últimas dos semanas, así como las publicaciones más interesantes de otros blogs y webs que no os debéis perder por nada del mundo. Vamos a ello.

El lunes 10 os contamos detalladamente una historia real de un intento de phishing de Apple mucho más cuidado de lo habitual, con una réplica de la página de verificación de cuenta que es casi idéntica a la original.

Al día siguiente os hablamos de cómo el Jailbreak de iOS 8 y iOS  8.1 desarrollado por Pangu ya dispone de soporte total para OS X, cosa que ya ocurría con Windows.

WireLurker ataca OSX & iOS
El molesto doble check azul de Whatsapp, que vulnera la privacidad de los usuarios revelando cuándo leen un mensaje, fue sin duda la noticia de la semana, y el miércoles os contamos cómo deshabilitarlo utilizando un tweak en Cydia.

El jueves volvimos a un tema conocido, WireLurker, un malware que afecta a iOS y OS X. Esta vez detallamos el ataque Masque, que una vez infectado el dispositivo, sustituye aplicaciones legítimas de banca y correo por otras fake apps.

Con motivo de la celebración del evento Pwn2Own Tokio 2014, el viernes 14 publicamos las maneras en las que varios equipos participantes consiguieron hackear terminales móviles: bien extrayendo información del dispositivo vía NFC, bien explotando vulnerabilidades del navegador web.

El sábado os aconsejamos, de nuevo, que actualicéis todo el software de vuestros dispositivos. Repasamos las actualizaciones más importantes para OS X, que ayudan a mantener al día la seguridad del sistema y evitar sorpresas desagradables.

Para terminar la semana, el domingo os contamos cómo apuntaros al evento CyberCamp, que tendrá lugar los días 5, 6 y 7 de diciembre en Madrid. El evento acogerá charlas de investigadores de seguridad mundialmente conocidos, con lo que supondrá una excelente oportunidad para aprender.

El lunes 17 volvimos a hablar de WireLurker, en concreto de la repercusión que está alcanzando en EEUU, donde el Departamento de Seguridad Nacional ha advertido  de los riesgos del ataque Masque a los usuarios de iOS.

Al día siguiente os contamos qué novedades traen y qué vulnerabilidades resuelven las dos nuevas actualizaciones para los sistemas operativos Apple: iOS 8.1.1 y OS X Yosemite 10.10.1.

A mitad de semana, otra polémica sobre Apple llamó nuestra atención. La Comisión Federal de Comercio de EEUU (FTC) ha cuestionado la idoneidad de la política de protección de datos de Apple sobre datos relativos a la salud.

Estado de los servicios de Apple
El jueves la noticia fue para la caída del servicio de iMessage para algunos usuarios que se quejaban de ello también en los nuevos sistemas operativos para terminales iOS 8.1.1 y para los equipos Mac, el nuevo OS X Yosemite 10.10.1.

Para el viernes una noticia sobre privacidad y WhtasApp, que aún no ha llegado a los usuarios de iPhone. Facebook ha llegado a un acuerdo con la empresa Whisper Systems del hacker Moxie Marlinspike para aplicar el sistema de TextSecure a WhatsApp y dotar al sistema de mensajes de cifrado end-to-end.

Por último, ayer la noticia fue para la detención de los creadores de WireLurker. Durante la semana pasada tres cibercriminales chinos fueron detenidos e imputados por la creación de este malware que ha llegado a más de 350.000 usuarios.

Además de estas noticias, ha habido otras de las que nos queremos hacer eco para que no se te escape nada de lo que ha pasado esta semana en otros blogs de seguridad. Esta es la lista que os hemos seleccionado:
- ¿Quién te está mirando por tu cámara de vigilancia?: Éste ha sido sin duda el escándalo de la semana. Una nueva web que colecciona cámaras de seguridad con usuarios y contraseñas por defecto y vulnerabilidades conocidas para catalogarlas por países. 
- Apple TV 7.0.2: Además de iOS y OS X, Apple ha actualizado Apple TV para solucionar 4 CVEs de seguridad. 
- MeterSSH: Para los amantes de Metasploit, en HackPlayer publicaron esta solución para tener Meterpreter sobre conexiones SSH. 
- Xapo, una nueva wallet de BitCoins: En este caso para iPhone y Android, que sobretodo en iOS venían siendo escasas. 
- Enumeración de recursos internos con JavaScript/AJAX: En el blog de Eleven Paths una serie de dos artículos con técnicas para atacar servidores no publicados a Internet usando un fichero JavaScript malicioso. La continuación explica cómo explotar ShellShock en servidores internos. 
- .NET para OS X: Microsoft anuncia que .NET será Open Source y que habrá distribución oficial para Linux y para OS X.  
- Publicadas conferencias del Security Innovation Day 2014: Puedes ver todas las sesiones, y además ver las demos de click-to-call que se hicieron con apps vulnerables de iPhone. 

Conferencia sobre "Nuevas Tendencias en Ciberataques"
- DarkHotel: Se publica información de ataques APT a directivos de empresas cuando están de viajes en hoteles. 
- MD5 ha muerto: Han publicado una técnica que permite generar ficheros con el mismo hash. Para ello se utiliza una técnica que al mismo tiempo puede ser detectada con esta herramienta. Si tienes un sistema de verificación de hashes merece la pena que lo leas. 
- LibCryptolog: En Security By Default hablaron de cómo cifrar los logs de un servidor web Apache para poder tener evidencias firmadas digitalmente para cualquier necesidad en el futuro. 
- Servicio Postal de Estados Unidos Hackeado: Información de más de 800.000 empleados ha sido robada y filtrada. Protege las identidades de todos tus empleados como si fueran las de tus clientes.
Y hasta aquí ha dado de sí esta sección. Esperamos veros dentro de dos semanas en el próximo repaso que hagamos y todos los días en los artículos de Seguridad Apple.

sábado, 22 de noviembre de 2014

Localizados y detenidos los creadores de WireLurker

WireLurker
Como se suponía, los creadores de WireLurker, la familia de malware para OS X e iOS que fue descubierta por Palo Alto, eran de procedencia China. Así, esta semana pasada los autores, fueron finalmente identificados y detenidos por las autoridades. Los cibercriminales, de apellidos Wang, Lee y Chen han sido acusados formalmente por las autoridades y tendrán que pasar por un juicio y - probablemente - una condena.

A partir de WireLurker, apareció el ataque Masque que puso en evidencia que tanto las apps de OS X como las apps de iOS se encuentran amenazadas contra este tipo de ataques por medio del uso de certificados de desarrolladores para hacer provisioning pofiles.

Figura 1: Los creados de WireLurker detenidos en China

Estos creadores de malware habían infectado 467 aplicaciones para OS X que habían sido descargadas por más de 350.000 usuarios desde un market alternativo llamado Maiyadi y Apple tuvo que tomar medidas para acabar con la red que habían creado y conseguir que los usuarios estuvieran protegidos contra esta amenaza.

viernes, 21 de noviembre de 2014

Facebook se alía con el hacker Moxie Marlinspike para cifrar WhatsApp

Whisper Systems, la empresa del famoso hacker Moxie Marlinspike, que tras su paso por Twitter volvió a tomar impulso con Signal - un sistema para hacer llamadas cifradas - ha hecho una alianza con WhatsApp para cifrar las comunicaciones del popular sistema de comunicaciones. El acuerdo está centrado en aplicar el protocolo de cifrado que TextSecure, la app de mensajería de Whisper Systems para Android utiliza, y conseguir así un cifrado end-to-end al estilo de lo que utiliza por defecto iMessage de Apple.

Figura 1: Anuncio del acuerdo entre Whisper Systems y WhatsApp

El despliegue de este sistema de cifrado se ha hecho solo en Android por ahora, y trata de evitar los problemas de cifrado en WhatsApp que tiene la implementación por defecto que hace/hacía la app para comunicarse, conocidos y explotados ya por muchas empresas grupos dedicados a espiar WhatsApp.

Figura 2: Confirmación del cifrado de mensajes en WhatsApp

De momento solo está disponible si los dos miembros de la comunicación utilizan la última versión de WhtasApp para Android, y no para imágenes, vídeos o comunicaciones grupales. Además, está por ver si cambian los protocolos de registro de números de teléfono que a día de hoy se envían en texto claro. Para iPhone, de momento hay que esperar, pero iMessage es una buena alternativa por ahora si los dos miembros tienen la iOS y la última versión del sistema.

jueves, 20 de noviembre de 2014

Caída en iMessage también en iOS 8.1.1 & OSX 10.10.1

A lo largo del último mes fueron muchos los usuarios de dispositivos Apple que se quejaron del mal funcionamiento del servicio de mensajería iMessage, alegando que les era imposible hacer un uso normal del mismo ya que los mensajes no se llegaban a enviar. Eventualmente estos problemas se solucionaron. Sin embargo esta misma semana, coincidiendo con la publicación de las nuevas versiones de los sistemas operativos de Apple (iOS 8.1.1 y OS X Yosemite 10.10.1), algunos usuarios han vuelto a reportar el mismo bug: los mensajes no se envían.

Ante el malestar creciente de esos usuarios, que se han visto obligados a volver a usar SMS, Apple ha investigado el problema y concluido que no tiene nada que ver con las actualizaciones. Parece que todo ha sido una infeliz casualidad, ya que muchos de los usuarios afectados ni siquiera llegaron a actualizar sus dispositivos.

Figura 1: A día de hoy iMessage y todos los servicios están up and running

En su página de System Status, Apple ha documentado el incidente, que aparentemente ha durado solo un par de horas, desde las 9.30 a las 11.30 hora del Pacífico. Sin embargo, una rápida búsqueda en Twitter revela que hay usuarios que siguen sin poder utilizar iMessage, con lo que habrá que estar al tanto de cómo evoluciona la situación.

miércoles, 19 de noviembre de 2014

La FTC se cuestiona las políticas de protección de datos de Apple sobre datos de salud

La Comisión Federal de Comercio, FTC, de Estados Unidos se ha reunido con representantes de Apple en varias ocasiones durante los últimos meses para discutir las prácticas de privacidad de Apple, respecto a temas de datos de salud. La FTC está buscando garantías de que Apple no utilizará de manera incorrecta los datos de salud recogidos por Apple a través de los dispositivos iOS con la aplicación health. Hay que tener en cuenta que esos datos son recogidos sin el consentimiento expreso del usuario, para que no se den casos como los que comentaba nuestro compañero sobre la fecha de tu muerte.

Ambas partes, tanto FTC como representantes de Apple, se han reunido varias veces en los últimos meses, con el fin de aclarar que Apple no va a vender datos sobre la salud de sus usuarios a terceros. Un portavoz de Apple comentó que la compañía trabaja en estrecha colaboración con los reguladores de todo el mundo para hacer que las leyes de protección de datos se cumplan. El representante añadió que la nueva iniciativa de Apple HealthKit había sido diseñada con la privacidad en la mente. 

Figura 1: Apple iOS health

Apple se ha preocupado de mostrar que todo está bien, pero la FTC no ha querido hacer comentarios, y eso al menos es sospechoso. Según parece la agencia gubernamental pondrá en marcha una investigación formal sobre las políticas de protección de datos de Apple. Quizá uno de los mayores intereses se encuentre en el reloj de Apple, el cual puede obtener datos como la frecuencia cardíaca. 

A pesar de que ni siquiera ha llegado al mercado, otros funcionarios del gobierno también se han interesado por el reloj de Apple. En Septiembre, el fiscal general de Connecticut, George Jepsen, envió una carta al CEO de Apple, Tim Cook, solicitando información sobre qué datos planeaba Apple recoger con el nuevo dispositivo, cómo se almacena la información y qué políticas son para aplicaciones que tienen acceso a la información de salud.

Figura 2: Apple Privacy Web Site

A principios de este año, Apple lanzó unas nuevas directrices para la API de HealthKit. En el documento, Apple explica que la información de HealthKit no será almacenada en iCloud y que las aplicaciones que intenten recopilar información relacionada con la salud serán rechazadas. En los últimos meses, Apple ha tratado de hacer que sus políticas de privacidad sean más transparentes. La creación de un nuevo sitio integral privacidad que detalla todas sus prácticas de privacidad.

martes, 18 de noviembre de 2014

iOS 8.1.1. & OS X Yosemite 10.10.1

Esta semana Apple ha publicado dos nuevas actualizaciones para sus sistemas operativos, que vienen repletas de novedades muy esperadas. En lo que respecta a los dispositivos móviles, la actualización de iOS 8.1.1 pone fin a los problemas de rendimiento que venían experimentando los usuarios de iPhone 4s y iPad 2. Además, como siempre, la actualización soluciona un gran número de bugs que ponían en peligro la información de los usuarios. La lista completa de CVEs cerrados se puede consultar aquí. Algunos ejemplos son:

  • CVE-2014-4460, que dejaba la caché del navegador sin borrar tras una sesión de navegación privada.
  • CVE-2014-4461, que permitía a una aplicación maliciosa ejecutar código arbitrario con ciertos privilegios.
  • CVE-2014-4463, que permitía a un atacante en posesión del dispositivo exceder el número de intentos máximo para introducir el passcode.
  • CVE-2014-4452 y CVE-2014-4462, que provocaba crashes y ejecuciones de código arbitrario en el navegador al visitar ciertos sitios web maliciosos.
Por otro lado, OS X Yosemite ha recibido su actualización 10.10.1, que ha solucionado el gran lunar que llevaba más de un mes arrastrando este sistema operativo: los problemas de conectividad Wi-Fi, que variaban desde conexiones intermitentes hasta la completa incapacidad de algunos usuarios para conectarse a cualquier red inalámbrica.

Figura 1: OS X Yosemite 10.10

Además, arregla otra serie de bugs, como el que impedía que ciertos emails se enviasen al utilizar determinados proveedores de correo, o el que impedía que ciertas actualizaciones se mostrasen en la Mac App Store. Y en lo relativo a seguridad, la actualización 10.10.1 cierra los siguientes CVEs, que comprometían la privacidad de los usuarios:
  • CVE-2014-4460, que dejaba la caché del navegador sin borrar tras una sesión de navegación privada.
  • CVE-2014-4453, por el que se incluía información de localización como parte de la conexión incial entre Spotlight o Safari y los servidores de Spotlight Suggestions.
  • CVE-2014-4458, que añadía cookies innecesarias al hacer una petición vía About This Mac.
  • CVE-2014-4459, que afectaba a WebKit, permitiendo la ejecución de código arbitrario visitando una web creada por el atacante.
Un informe detallado de los CVEs a los que afecta esta actualización, puede consultarse en la web de Apple.

lunes, 17 de noviembre de 2014

Seguridad Nacional de EEUU advierte a usuarios de iOS

El ataque Masque sigue dando que hablar estos días en el mundo de Apple. Esta vez la noticia es que el Departamento de Seguridad Nacional emitió el jueves una alerta advirtiendo a los usuarios de iOS sobre este, ya famoso, ataque Masque. En esta advertencia se indica que es un fallo de seguridad que puede llegar a afectar a los dispositivos iOS con Jailbreak y sin Jailbreak, por lo que es muy importante que los usuarios lo tomen en serio. el equipo de preparación para emergencias informáticas de Estados Unidos describe cómo funciona la técnica y cuales son las soluciones sobre las que los usuarios de iOS pueden protegerse. 

Apple se tomó muy en serio la amenaza, y fue bastante rápido en empezar a tomar medidas contra el malware WireLurker. El equipo de investigación tecnológica y de seguridad de la empresa FireEye afirmó la semana pasada que los ataques Masque permiten a un atacante reemplazar una aplicación legítima con una versión maliciosa bajo ciertas circunstancias. Para ser víctima de este ataque, el usuario de un dispositivos iOS debe ser atraído mediante algún engaño para instalar una aplicación fuera de AppStore.

Figura 1: Ejemplo de ataque Masque. New Flappy Bird reemplaza Gmail for iOS

El gobierno comenta que los usuarios de iOS pueden protegerse evitando la instalación de aplicaciones fuera de la AppStore. Si iOS te dice que la app no es confianza, el usuario debería hacer clic y no instalar la aplicación. El ataque Masque puede afectar a las últimas versiones de iOS, Apple tomará decisiones en un período corto de tiempo. Al final cuando un gobierno participa en aconsejar a los usuarios de una tecnología ciertas cosas, es porque el hecho tiene la importancia que parecía desde un primer momento. De momento seguiremos hablando de este ataque y parece que esto es solo el comienzo, ¿En qué dispositivos habrá corrido este malware antes de ser descubierto?

domingo, 16 de noviembre de 2014

Apúntate gratis al CyberCamp: 5, 6 y 7 de Diciembre en Madrid

Durante los días 5, 6 y 7 de Diciembre de 2014 va a tener en lugar en Madrid uno de los eventos más ambiciosos de seguridad informática y hacking para fomentar el talento y las habilidades de los asistentes: El CyberCamp 2014. Este evento ha supuesto un esfuerzo organizativo de gran nivel, consiguiendo una agenda de lujo tanto para las ponencias como para los talleres en los que podrás disfrutar, así que no dejes pasar ni un minuto más e inscríbite ya que es gratuito pero tiene plazas limitadas.

Figura 1: El CyberCamp 2014 en Madrid

Entre los ponentes principales se encuentran profesionales de reconocido prestigio, como Fermín J. Serna de Google y creador de EMET en Microsoft, Jeff Moss creador de DefCON y BlackHat, Richard Stallman padre del Software Libre, Stefano di Paola de OWASP que descubrió las técnicas HPP o nuestro compañero Chema Alonso.

Figura 2: Ponentes principales del CyberCamp
Figura 3: Ponentes principales del CyberCamp

Además, el evento está lleno de talleres de hacking y desarrollo de aplicaciones, como por ejemplo los dedicados a Metasploit, Sifonier o los de Latch - con los que podrás aprovechar para participar en el concurso de Plugins y ganar hasta 10.000 USD en premios.

Figura 4: Agenda del viernes. Haz clic en la imagen y elige tus actividades de cada día.

El evento tiene lugar viernes, sábado y domingo, con lo que puedes organizarte un buen fin de semana en Madrid para aprender, disfrutar y convertirte aún en un mejor profesional de la seguridad informática, profesión tan demandada hoy en día.

sábado, 15 de noviembre de 2014

Actualiza tu OS X: Impresoras, cámaras, firmware y Flash

Hoy sábado vamos a hacer un repaso a las últimas actualizaciones que debes instalar en tu sistema OS X para que lo mantengas totalmente al día. Ya sabes que tener un sistema actualizado ayuda a evitar cualquier problema, de seguridad o no, derivado de los bugs conocidos, así que es una buena política tener el equipo Up to Date. Las actualizaciones que tenemos disponibles y que se encuentran en la web de descargas son las siguientes:

Figura 1: iCloud for Windows

- iCloud for Windows: Actualización del 3 de Noviembre que renueva la antigua versión de iCloud Control Panel. Además, Apple ha dejado una nueva web de soporte para configurar iCloud en Windows.

- Nuevos paquetes de drivers para impresoras: Apple ha publicado nuevos conjuntos de drivers de impresoras actualizados desde la web de soporte para diferentes modelos. Los paquetes disponibles son:
- Epson Printer Drivers v2.19 for OS X
- Canon Laser Printer Drivers 3.0 for OS X
- Canon Printer Drivers 3.1 for OS X
- FujiXerox Printer Drivers v3.0 for OS X
- Drivers de cámaras digitales: Además de las impresoras, Apple ha puesto en circulación en nuevo paquete de drivers para cámaras digitales compatibles, en Digital Camera RAW Compatibility v6.01.

- Thunderbolt Display Firmware Update v1.2: Actualización del firmware de Thunderbolt que soluciona problemas de estabilidad. Algunas pantallas se quedaban en negro tras conectarse a Thunderbolt.

Figura 2: Adobe Security Bulletin de Noviembre

- Actualización de Adobe Flash: En el último Security Bulletin de Adobe, publicado el día 11 de Noviembre se ha lanzado una nueva actualización de Adobe Flash que corrige un total de 18 CVEs de seguridad, lo que convierte esta actualización en crítica. Ve desde Apple Safari o Mozilla Firefox a la web de descarga de Flash y actualiza a la última versión hoy mismo.

viernes, 14 de noviembre de 2014

Pwn2Own Tokio 2014: Terminales móviles hackeados

Ya se celebró el evento anual Pwn2Own en Tokio durante los días 11 y 12 de Noviembre. El propósito de este evento para los investigadores de seguridad, desarrolladores y hackers fue el de explotar varios dispositivos a través de algún bug previamente desconocido, para luego informar al fabricante de este dispositivo respecto a dicha vulnerabilidad. Este evento es muy conocido, ytodos los años hablamos de él por aquí. Por ejemplo, el año pasado Mobile Safari en iOS 7.1.3 e iOS 6.1.4 fue hackeado. En 2012, iOS 6 fue pwneado en Amsterdam por Daan Keuper y Joost Pol.

Esta vez se disponía de una bolsa de premios por valor de 425.000 dólares para cualquier persona  - en el concurso de móviles - capaz de hackear las entrañas del teléfono a través de una vulnerabilidad 0day. Muchos dispositivos fueron explotados con éxito, como por ejemplo iPhone 5S, Blackberry Z30, Google Nexus 7, Samsung Galaxy 5 o LG Nexus 5.  Según parece cinco equipos explotaron vulnerabilidades que habían encontrado para controlar cinco dispositivos. Tres de las cuales se basaban en tecnología NFC, pudiendo extraer datos de los terminales. Las otras dos vulnerabilidades surgen a través del uso del navegador web integrado en el sistema operativo.

Figura 1: Pwn2Own Tokio 2014

iPhone 5S cayó víctima de un ataque con dos bugs en Mobile Safari que tumbaron su sandbox y les permitió llegar al core del corazón. Solo Windows Phone se salvo - en alguna medida - al no conseguir romperse la sandboxNico Joly fue quién consiguió explotar un Windows Phone instalado en un terminal Lumia 1520, con un exploit que se aprovechaba de un fallo en el navegador web por defecto, es decir Internet Explorer. Desde el concurso se comentó lo siguiente:
"Consiguió tomar acceso a la base de datos de cookies del navegador, sin embargo, la sandbox le bloqueó, por lo que no fue capaz de hacer con el control total del sistema.
En definitiva, una nueva edición de Pwn2Own en el que expertos de todo el mundo participan de manera sana, con el fin de ayudar a los fabricantes de dispositivos en la seguridad de éstos. De este modo, dichos terminales serán más robustos en un futuro.

jueves, 13 de noviembre de 2014

WireLurker: El ataque Masque amenaza, ¿para quién?

El malware llegó bien a iOS
Ya hemos hablado por aquí sobre WireLurker. Sabemos que es un malware que ha destapado algunas carencias en temas de seguridad en el mundo iOS & OS X, y que ha evolucionado la forma de trabajar de los creadores de software malicioso para los dispositivos móviles de Apple. En los últimos días también hemos podido observar cómo se mueve Apple para evitar infecciones de WireLurker en sus usuarios. Las últimas noticias no paran de hablar del ataque Masque, que según han descrito investigadores de la empresa de seguridad FireEye, se basa en infectar el dispositivo y el poder de sustituir aplicaciones legítimas de banca, correo electrónico y otro tipo de aplicaciones instaladas en el dispositivo. 

En este instante el atacante puede utilizar la aplicación maliciosa para realizar envío de correos electrónicos, robo de credenciales u otros datos que se enecuentren en la aplicación legítima. Esto significa que el atacante puede robar credenciales bancarias de los usuarios mediante la sustitución de una aplicación de banca auténtica con un la interfaz idéntica. Sorprendemente, el malware puede acceder a los datos locales de la aplicación original, que no fue eliminada cuando se sustituyó la aplicación original. Estos datos pueden contener información en caché como emails, o incluso credenciales que, por supuesto, el malware puede utilizar para iniciar sesión en la cuenta del usuario. 

El ataque funciona con la utilización de un mismo certificado digital que las grandes empresas utilizan para instalar aplicaciones, denominado provisioning profile - también una de las técnicas ya conocidas para instalar troyanos en iOS -. Con esto las empresas pueden instalar aplicaciones personalizadas en iPhone o iPad de los empleados, siempre y cuando tanto la aplicación legítima y la aplicación maliciosa, es decir utilizar el mismo identificador de paquete. El ataque requiere algún tipo de señuelo para engañar a un objetivo en la instalación de la aplicación maliciosa. Hay que tener claro que esta técnica, según informan los investigadores, no funciona contra aplicaciones preinstaladas como  Safari Mobile. En el siguiente vídeo con el que podéis observar detalladamente el ataque y como funciona.

Figura 1: Vídeo demostrativo de funcionamiento de Masque

La vulnerabilidad parece que está en manos de Apple desde Julio, pero por el momento sigue siendo funcional. En la siguiente imagen se puede visualizar un ejemplo en el que aprovechando el ataque Masque, un atacante puede engañar a la víctima para instalar una aplicación con un nombre engañoso hecho a mano por el atacante, por ejemplo Nueva Flappy Bird, y el sistema operativo va a usarla para reemplazar una aplicación legítima con el mismo identificador de paquete. 

Figura 2: La aplicación de New Flappy Bird sustituye a la de Gmail

En la imagen se puede ver que al principio el usuario dispone de 22 correos electrónicos pendientes de leer a través de la aplicación legítima de Gmail. Después la víctima es atraída para instalar una aplicación denominada New Flappy Bird. En el apartado d se puede ver como al instalar la app maliciosa se sustituye realmente a la de Gmail. Al abrir, en el apartado f, la aplicación de Gmail se observa el mensaje "yes, you are pwned" y la app tiene acceso a los datos en el contexto de la aplicación.

Figura 3: Recolección de correos electrónicos por el malware
La sorpresa de lo que uno se puede encontrar en el contexto de una aplicación es ilimitada, y el malware lo aprovecha para recolectar información sobre ello. Los correos electrónicos almacenados en caché pueden ser accedidos por el malware, tal y como podemos ver en la siguiente imagen. Hay que tener en cuenta que este vector de ataque se realiza a través de la instalación de una aplicación maliciosa, a través de conectividad inalámbrica con Internet, y sin necesidad de utilizar el USB para infectar el dispositivo.

miércoles, 12 de noviembre de 2014

Tweak en Cydia para deshabilitar el doble check azul de WhatsApp

Sin duda estamos ante una de las noticias más controvertidas de las últimas semanas. El revuelo que está causando el ya célebre y famoso doble check azul de WhatsApp ha alcanzado una dimensión inesperada, y es que la gente no está nada contenta con una medida que vulnera la privacidad de los usuarios de la aplicación. Ahora bien, ¿existe alguna manera de evitar que nuestros contactos sepan si hemos leído o no nuestros mensajes? Si eres propietario de un iPhone con jailbreak, estás de suerte. En Cydia, la store alternativa de aplicaciones para iOS, está disponible desde hace poco un tweak llamado "Whatsapp Read Receipt Disabler".

Esta es una herramienta que da lo que promete, sin más: una vez instalada, de forma automática y sin ningún tipo de configuración, bloquea las notificaciones de lectura de mensajes. De esta manera, a tus contactos no les llegará el check azul, y nunca sabrán si has leído o no el mensaje. En su lugar, seguirán viendo el doble check gris, que únicamente indica que has recibido el mensaje en tu dispositivo.

Figura 1: Tweak pra iOS con jailbreak

Lo cierto es que se trata de una solución bastante más cómoda y efectiva que las planteadas hasta ahora (como poner el teléfono en modo avión, leer los mensajes desde la pantalla de previsualización, o eliminar los mensajes). Sin duda la inclusión de esta funcionalidad en WhatsApp  no ha sentado nada bien a una gran parte de los usuarios, lo que parece que ha llevado a la compañía a replantearse la decisión. De momento, tendremos que recurrir a técnicas alternativas para mantener a salvo nuestra privacidad.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares