Se acaba el año 2014, así que desde Seguridad Apple hemos querido seleccionarte artículos de los doce meses del año que ya se nos va, para que si no los leíste en su momento no se te quede en el tintero nada de lo que ha pasado durante este tiempo. Estos son los que hemos seleccionado para ti.
Figura 1: Artículos seleccionados de Seguridad Apple de Enero a Junio de 2014 |
Enero de 2014
Dos formas de saltarse el filtro Anti-XSS en Apple Safari: En el mes de Enero publicamos desde Eleven Paths una forma de saltarse el filtro de seguridad Anti-XSS en Webkit, y otro investigador lo evolucionó para que al final se descubrieran dos formas de saltarse el filtro en Apple Safari.
También ese mes el grupo "1775 Sec" publica un dump de una BD de Apple, supuestamente robada a miembros del FBI que podrían utilizarla para realizar ataques dirigidos a dispositivos por todo el mundo por medio de malware dirigido. Las sospechas de espionaje llegarían hasta el popular Angy Birds que fue acusado de colaborar con la NSA en el robo de la información.Febrero de 2014
Un "goto fail" provoca el caos SSL/TLS en iOS y OSX: Sin duda, la noticia en el mes de febrero de este año fue para el bug de Goto FAIL que rompía las validaciones de los certificados digitales en iOS y en OS X. ¿Sería un fallo en el módulo criptográfico inducido?
También durante ese mes vimos el malware para OS X centrado en robar BitCoins ocultándose en billeteras, pero también en copias piratas del popular Angy Birds que llevaba OSX/CoinTheft, que volvió a verse implicado.
Configurar Verificación en 2 Pasos en Apple ID: En el mes de marzo Apple puso por fin en España (y en muchos otros países), la posibilidad de utilizar un segundo factor de autenticación para evitar el robo de cuentas Apple ID. Eso sí, no lo puso en todos los servicios como veríamos después en el Celebgate.
También durante este mes volvimos a ver problemas criptográficos. Tras solucionar el bug de Goto Fail, el sistema operativo iOS re-introdujo un problema de seguridad del pasado en el generador de números aleatorios. Las especulaciones hablaban de una reintrodución de esta puerta trasera tras el cierre de la "puerta principal" en el bug de Go to Fail.Abril de 2014
Hacking de iOS (iPhone & iPad) con SSLStrip: En el mes de abril os dejamos un tutorial para que pudierais probar cómo funcionan los ataques de SSLtrip con el sistema operativo iOS. Hay algunos detalles interesantes en este entorno de hacking, pero funcionan perfectamente.
Mayo de 2014Las noticias de ese mes hablaban de HeartBleed, el bug de OpenSSL que permitía a cualquier atacante volcar los 64 k de la memoria del proceso en el servidor, accediendo a datos sensibles. Apple no parecía muy afectado por Heartbleed, pero al final tendría que actualizar el software de algunos de sus productos que sí se vieron afectados.
El "ransomware" de Oleg Pliss bloquea iPhone & iPad con Find My iPhone: En el mes de Mayo la noticia fue que muchos usuarios denunciaron que sus equipos habían sido bloqueados con un ransomware. Al final, el ataque se hizo contra cuentas Apple ID que habían sido robadas con una campaña de phishing y que no tenían configurada la verificación en 2 pasos.
Junio de 2014También ese mes nos dimos un paseo por la Deep Web y encontramos un montón de tiendas Apple Store fraudulentas. Por último, nos gustaría destacar que Apple anunció tras los escándalos de las filtraciones sobre colaboración con la NSA, que Apple confirmó que avisaría a los usuarios cuando el gobierno pidiera datos de una de sus cuentas.
WebPG: Firmar y cifrar correos de Gmail en Mac OS X: Google sacó un plugin para utilizar PGP en Gmail desde Google Chrome, así que lo probamos para ver qué tal funcionaba en sistemas OS X y os hicimos un tutorial paso a paso para que lo configuréis.
En la segunda parte os tenéis la selección de los meses que van de Julio a Diciembre, esperamos que con ellos os llevéis lo principal del año resumido en un par de artículos.Ese mismo mes apareció información del primer malware para iOS que desde un equipo pareado se encargaba de realizar un jailbreak del dispositivo de forma silenciosa para después infectarlo. También ese mes hubo un estudio de cómo los cargadores no oficiales queman los iPhone y el CCN-CERT publicó una guía de seguridad para iPhone & iPad que te puede ayudar a mejorar la seguridad de tu dispositivo.
No hay comentarios:
Publicar un comentario