Continuamos hoy con este pequeño repaso al año 2014 a través de los artículos que os hemos seleccionado de Seguridad Apple para que no se os pierdan las cosas más interesantes de estos doce meses. En esta parte vamos con el repaso de los meses de Julio a Diciembre que los meses de Enero a Junio ya los tenéis publicados. Disfrutad del domingo y cuidado con las inocentadas de hoy.
Figura 1: Artículos seleccionados de Seguridad Apple de Julio a Diciembre de 2014 |
Julio de 2014
La historia del escándalo de los backdoors de iOS: En las conferencias HOPE X (Hackers On Planet Earth) saltó el escándalo de ciertos servicios en el sistema operativo iOS que parecían puertas traseras puestas por Apple. Las respuestas no se hicieron esperar y aunque la justificación fue dada, los servicios siguen actuando como explicó el investigador en su presentación.
También en ese mes saltó un bug en Instagram que permitía secuestrar cuentas en redes WiFi inseguras, además de que Apple activó Verificación en 2 pasos en los servicios de Apple iCloud.
Agosto de 2014
Elevación de privilegios en Windows por software de Apple: En la lista Full-Disclosure se debate sobre los bugs que permiten, a través de Apple iTunes y Software Updates para Windows, hacer elevación de privilegios. El asunto llegaría mucho más lejos después, con un buen montón de programas vulnerables a los mismos problemas.
Durante ese mes también Apple sufrió una prohibición de vender en la administración china, se detuvo una banda de trabajadores de Apple que reciclaban iPhone robados, Rusia solicitó el código fuente de iOS y en la conferencia BlackHat USA 2014 Apple ganó el Pwnie Award al Most EPIC Fail por su fallo de Goto Fail. Cabe destacar que este mes se presentaron en las conference B-SIDES las técnicas Click-to-Call en iOS.
Septiembre de 2014
Sin duda, el tema del mes fue el Celebgate, con la publicación de fotos de famosas desnudas que llevaron a especular sobre diversos bugs y a Tim Cook a salir a la palestra para prometer mejores medidas de seguridad, entre las que se encuentra un mayor aviso de accesos y control remoto de sesiones.
También ese mes fue el mes de ShellShock, y esta vez pilló a Apple de lleno, obligándole a actualizar todos sus productos de forma rápida.
Octubre de 2014
Este fue el mes en Apple presentó Apple Pay y Apple Watch, pero también fue el mes de Poodle, y el mes en que Apple desplegó las contraseñas de aplicación para evitar accesos no autorizados al backup de iCloud como se vio en el Celebgate.
Por nuestra parte, este mes fue importante debido al lanzamiento de Latch para OSX y a que todas las PYMES españolas podrán tener la licencia Latch Silver gratis gracias a un acuerdo con Incibe.
Noviembre de 2014
Durante este mes el tema más impactante fue sin duda la aparición de Wirelurker y el ataque Masque en dispositivos iOS & OS X, que terminó con la localización y detención de sus creadores. Este ataque reemplaza apps legítimas haciendo uso de apps firmadas con certificados digitales de desarrolladores.
También durante este mes fue noticia la detención y cierre del servicio de troyanos para dispositivos móviles de StealthGenie, y el mes en que WhatsApp puso el doble check azul para confirmar que el mensaje había sido leído. En el mundo de OS X, además de los problemas de privacidad con las Spotlight Suggestions, un grave bug - llamado Rootpipe - obligo a Apple a tomar medidas rápidas.
Diciembre de 2014
Este mes os destacamos el artículo de "El jefe explota ShellShock en los servidores de tu DMZ usando un iPhone", que explica cómo se puede realizar un ataque de ShellShock a un servidor vulnerable no publicado a Internet, haciendo navegar a una víctima con su iPhone a una página web maliciosa.
Además, este mes Apple ha tenido que parchear un bug crítico en el servicio NTP y ha salido a la luz pública una herramienta para hacer ataques man in the middle a iPhone & OS X con ataques ICMP redirect tanto en IPv4 como en IPv6. Por último, cabe destacar que estos días tendrá lugar en el Chaos Computer Congress una presentación sobre cómo meter bootkits en OS X usando Thunderbolt, así que habrá que estar atentos.
Estos han sido los doce meses, resumidos someramente para que no te pierdas lo esencial. Hay que destacar que este año hemos tenido muchos ataques de phishing, ha aparecido mucho malware multiplataforma para OS X y que en los dispositivos iOS con jailbreak - especialmente - se ha visto también eclosionar malware. Habrá que ver que nos depara el año que viene.
No hay comentarios:
Publicar un comentario