Fue Noticia en Seguridad Apple: del 8 al 21 de Diciembre

A las puertas de la Navidad, toca detenernos por un momento, echar la vista atrás, y resumir todas las noticias acontecidas en el mundo de la seguridad de los productos de Apple, en el último Fue Noticia del año. Os presentamos pues los post publicados en este blog durante las últimas dos semanas, así como en otros sitios web y blogs de referencia.

Comenzamos este repaso en el lunes 8 de Diciembre, con el anuncio de Sinfonier Meetup, un evento dirigido a analistas de seguridad informática en el que se presentaron casos de aplicación de diferentes tecnologías de este sector, como la de investigar el cibercrimen en Android.

Al día siguiente volvimos a las rencillas entre China y Apple, concretamente al recordatorio que el gobierno chino ha dirigido hacia la compañía en relación a la necesidad de proteger la privacidad de los usuarios y de la información que pueda afectar a la seguridad nacional.

El miércoles os presentamos la actualización 8.1.2 para el sistema operativo iOS, cuyo contenido de seguridad es el mismo que el de la 8.1.1, pero que corrige ciertos errores que causaban la pérdida de los ringtones adquiridos en iTunes.

Verificación en dos pasos

El jueves detallamos el trabajo publicado por Raúl Siles donde recopila todos los bugs que permiten bypassear el passcode en las diferentes versiones de iOS. Destaca el gran número de posibilidades y la aparente incapacidad de Apple para solventar este problema.

El viernes 12 volvimos sobre la política de second factor authentication presentada por Apple en marzo de 2013, y su estricta aplicación, que ha llevado a usuarios a perder potencialmente su cuenta por haber olvidado la clave de recuperación. Eso sí, nadie te robará la cuenta.

Arrancamos el fin de semana con un nuevo Security Advisory, en el que actualiza la política de bloqueos de plugins desactualizados de Adobe en Apple Safari, para ayudar al usuario a mantener actualizados a la última versión dicho software y evitar el mayor número de problemas posibles.

Flextivity

El domingo comentamos los detalles de las actualizaciones 8.0.2, 7.1.2 y 6.2.2 de Safari para el sistema operativo OSX. Se corrigen un total de 13 CVEs de seguridad, así como el fix para Adobe Flash Player.

El 15 de diciembre hablamos de Flextivity, una herramienta de Intego que pretende facilitar la gestión de la seguridad a las PyMES en los equipos con OSX.

El martes hablamos de CloudAtlas, un malware para dispositivos iOS que tengan realizado el jailbreak y que aparentemente está siendo usado por ciertos gobiernos para labores de espionaje de altos cargos políticos y de directivos de empresas.

A mitad de semana os explicamos un truco para evitar la previsualización de mensajes en la pantalla de bloqueo de OSX, característica que no siempre es deseable ya que puede suponer una fuga de información que podría incluso causar el robo de identidades.

El jueves nos ocupó de nuevo el malware Xsser mRAT, un troyano que permite otorgar el control de un dispositivo a un atacante remoto y que afecta principalmente a dispositivos Android y dispositivos iOS con jailbreak.

El viernes la noticia fue para la patente que Apple ha solicitado para mezclar el desbloqueo de terminales con iOS utilizando un movimiento de dedo sobre la pantalla unido con Touch ID. Esta patente proviene del equipo de biometría de Apple y parece que pronto estará en el mercado.

Para termina, ayer os hablamos de las técnicas de Rogue AV que algunos desarrolladores de apps para iOS están utilizando para promocionar con BlackSEO su descarga y posicionamiento en App Store, lo que se conoce como Black ASO (App Store Optimization).

Y hasta aquí todo lo que publicamos en este periodo de tiempo, pero como siempre, os traemos una selección de otras noticias y artículos que merece la pena que os leáis este domingo. Estos son los escogidos:

- SealSign y SmartID ya están disponibles: Los productos de Eleven Paths para la firma digital y para la autenticación biométrica utilizando dispositivos móviles ya están disponibles para el mercado. Toda la información está ahora en la web. 

- Proyecto Thoth: Recopilación de todos los vídeos formativos en modo píldora (no más de 5 minutos) sobre esta iniciativa de formación en seguridad de la información, con explicaciones sobre la criptografía, el criptoanálisis, la esteganografía y el estegonanálisis. 

- Ingeniero de Apple confirma que la compañía quería acabar con los "otros" iTunes: No querían bajo ningún concepto que hubiera otros clientes similares a iTunes, para lo que se tomaron muchas medidas. 

- Un Apple I de Steve Jobs & Steve Wozniak vale más de 600.000 K: Es lo que se está pagando en todas las subastas, así que ponte a ahorrar o sé muy bueno para que te lo traigan los Reyes Magos.

Un Apple I original subastado recientemente

- Grinch - Escalado de privilegios en GNU/Linux a través del usuario wheel: En HackPlayers recogen información de esta vulnerabilidad que afecta a los servidores Linux y que pone en jaque a muchos entornos de producción. 

-¿Qué es una VPN y por qué deberías usarla?: Explicación en Blog Think Big del concepto de red privada virtual y sus aplicaciones al mundo de la seguridad informática. 

- El FBI utilizó Metasploit para desenmascarar a los usuarios de TOR: Utilizó el popular framework de explotación para localizar la ubicación real de los usuarios marcando las conexiones de los clientes. 

- Cómo montar un sistema de ficheros no nativos en OS X con FUSE: Necesario para poder controlar las instalaciones de unidades cifradas con soluciones de terceros o para gestionar volúmenes NTFS. 

- 100.000 sitios de WordPress afectados por SoakSoak: Una gran cantidad de dominios con WordPress están infectados con malware que hace redirecciones al dominio SoakSoak.ru. Fortifica tu WordPress.

Y esto fue todo. Esperamos veros dentro de dos semanas en esta sección y cada día aguardamos vuestra visita en los artículos diarios de Seguridad Apple. Buen domingo.