Una semana más, es la hora de detenerse por un momento y recapitular. Como es tradición, es domingo de "Fue Noticia", así que os ofrecemos el nuestros personal resumen de los contenidos publicados en éste y otros blogs dedicados a la seguridad y a los productos de Apple. Comenzamos desde los últimos días del mes de Octubre:
El lunes 27 os hablamos de la polémica que rodea al jailbreak de iOS 8, que desde que fue anunciado ha sembrado muchas dudas. Hay quienes dicen que incluye malware, por lo que se recomienda precaución a la hora de hacer jailbreake al terminal, aunque hoy por hoy parece que es seguro.
Las actualizaciones 12.0.1 de iTunes y 7.7.6 de QuickTime para Windows centraron nuestra atención el martes. Aparentemente, el uso de librerías de terceros hace que estas versiones sigan siendo altamente vulnerables a los problemas de rutas en servicios sin entrecomillar.
El miércoles amanecimos con una buena noticia: en iOS 8 ya es posible compatibilizar el uso de Touch ID y los gestores de contraseñas más habituales, como 1Password y LastPass. Por supuesto, nuestra app de Latch para iOS también soporta Touch ID.
El jueves 30 nos centramos en una herramienta presentada por el investigador Patrick Wardle, conocida como Knock Knock, que permite conocer qué aplicaciones se ejecutan automáticamente al arrancar OS X. De esta forma, detectar malware se vuelve más sencillo.
Al día siguiente anunciamos que CurrentC, el principal competidor de Apple Pay, el sistema de pago inalámbrico de Apple, fue hackeado. Esto ha causado bastante revuelo por las posibles brechas de seguridad que pueda presentar la plataforma de Apple.
El 1 Noviembre conocimos que en el estado de Virginia (EEUU), la policía tiene potestad para obligar a cualquiera a desbloquear su terminal vía TouchID, lo cual es una ventaja en el marco de las investigaciones forenses.
El domingo 2 os mostramos los resultados del Premio Bitácoras 2014, en la categoría de Mejor Blog de Seguridad Informática. En la última clasificación parcial publicada El Lado del Mal va en 1ª posición, mientras que Seguridad Apple va en el puesto 19 y el blog de Eleven Paths en el vigésimo octavo. Aún puedes votar si lo deseas.
El lunes un accidente captó nuestra atención: un iPhone 6 explotó en el bolsillo de su propietario, causándole quemaduras en la pierna, tras doblarse. Sin duda una noticia muy negativa que afecta a la imagen del dispositivo.
Comenzamos el martes con un grave bug en OS X Yosemite, Rootpipe. Aunque aún no se conocen demasiados detalles, la vulnerabilidad permite realizar una elevación de privilegios en la máquina de la víctima, que queda completamente bajo el control del atacante.
El día 3 os explicamos cómo el cliente de FTP tnftp fue parcheado debido a una vulnerabilidad explotable que permitía la ejecución de código remoto en sistemas operativos OS X, Debian, RedHat, NetBSD y FreeBSD.
El jueves nos centramos en un nuevo malware, WireLurker, que afecta a los sistemas operativos de Apple. Entre las capacidades del malware está instalar aplicaciones de terceros en dispositivos iOS con jailbreak y en OS X.
El viernes volvimos a hablar de WireLurker, en este caso de las medidas que estaba tomando Apple para mitigar su impacto y evitar que pueda reproducirse un ataque similar a este en el futuro. Para ello, ha eliminado las apps, revocado los certificados y se está endureciendo la política de ejecución de apps.
Por último, ayer sábado, la entrada se la dedicamos a evitar el famoso y popular doble-check azul de WhatsApp que tanta polémica ha suscitado. En este caso a pequeños trucos para evitar la propagación de la confirmación de lectura sin que el usuario lo quiera hacer.
Y hasta aquí todo lo publicado, peor como siempre hacemos, os dejamos aquí una selección de artículos publicados en otros medios pero que pueden ser de vuestro interés.
El día 3 os explicamos cómo el cliente de FTP tnftp fue parcheado debido a una vulnerabilidad explotable que permitía la ejecución de código remoto en sistemas operativos OS X, Debian, RedHat, NetBSD y FreeBSD.
El jueves nos centramos en un nuevo malware, WireLurker, que afecta a los sistemas operativos de Apple. Entre las capacidades del malware está instalar aplicaciones de terceros en dispositivos iOS con jailbreak y en OS X.
El viernes volvimos a hablar de WireLurker, en este caso de las medidas que estaba tomando Apple para mitigar su impacto y evitar que pueda reproducirse un ataque similar a este en el futuro. Para ello, ha eliminado las apps, revocado los certificados y se está endureciendo la política de ejecución de apps.
Por último, ayer sábado, la entrada se la dedicamos a evitar el famoso y popular doble-check azul de WhatsApp que tanta polémica ha suscitado. En este caso a pequeños trucos para evitar la propagación de la confirmación de lectura sin que el usuario lo quiera hacer.
Y hasta aquí todo lo publicado, peor como siempre hacemos, os dejamos aquí una selección de artículos publicados en otros medios pero que pueden ser de vuestro interés.
- 6 herramientas para la identificación de redes Wireless en OS X: En SecurityBydefault analizan las herramientas aircrack-ng, Wireless Diagnostic, iStumbler, KisMac2, NetSpot y WiFi Explorer, para la identificación y descubrimiento de redes WiFi. Muy Recomendable.
- Integración de Latch con OpenWRT: En el lado del mal se ha publicado una interesante prueba de concepto para integrar la tecnología Latch en los dispositivos de red que utilicen OpenWRT. Un paso a paso con los códigos a utilizar en cada caso. Si tienes cualquier idea de integración, recuerda que hay un concurso de plugins de Latch con el que puedes ganar 10.000 USD.
- Ejecutar código JavaScript en ficheros GIF polimórficos: La idea es tan sencilla como inyectar código JavaScript en lo que parece un aparente fichero GIF, y que es interpretado por los dos motores. Un artículo genial en HackPlayers.
- Un nuevo Apple I funcionando se subasta: El precio se estima que superará los 600.000 USD, así que si lo quieres ves rompiendo el cerdito de la hucha.
- Evidencias muestran que Apple está trabajando en un crawler: No se sabe para qué, pero parece que Apple está usando bots para recolectar información pública. ¿Querrá hacer un buscador?
- Cómo funcionan los ataques de MongoDB Injection: En el blog de Eleven Paths se ha publicado un pequeño tutorial que muestra cómo hacer ataques de inyección de código en bases de datos no relacionales.
- Controlar conexiones en OS X con Little Snitch: Un post de Alejandro Ramos en el que explica cómo utilizar el cortafuegos Little Snitch y su motor de reglas para configurar perfiles de conexión entre aplicaciones en OS X.
- Descifrando bases de datos WhatsApp con Crypt7: En Flu-Project explican cómo hacerlo y sacar la base de datos. Una vez descifrada la base de datos, se podrían recuperar incluso los mensajes borrados con Recover Messages.
- Policía imputado por robar fotos intimas del iphone de un detenido: Por lo visto tenía material erótico/pornográfico personal que el policía copió.
- Apple ha publicado iOS 8.1.1 para los desarrolladores: Ya está disponible para descarga y prueba de funcionalidades.Y esto ha sido todo. Esperamos que este domingo la lectura haya sido reconfortante y que nos volvamos a ver dentro de dos semanas en esta sección y cada día en los posts de Seguridad Apple.
No hay comentarios:
Publicar un comentario