Menú principal

martes, 31 de marzo de 2015

Las cookies secretas de Google le pueden salir caras en Reino Unido gracias a los Usuarios de Safari

Google será juzgado por
espiar a usuarios de Safari
Esto es un caso histórico en el que se podría dictaminar que Google puede es el responsable en el Reino Unido de haber realizado una acción en contra de la privacidad de los usuarios del navegador Safari de Apple. Los jueces han determinado que los daños contra los usuarios son claros ya que se hace un mal uso de la información privada por parte de Google. Un grupo conocido como los "Usuarios de Safari en lucha contra el seguimiento secreto de Google" quiere emprender acciones legales en los tribunales británicos, acusando a la compañía de Mountain View de eludir la configuración de privacidad del navegador para rastrear o trackear a los usuarios en línea y enviar anuncios de forma dirigida a los usuarios. 

En el pasado, Google ya fue multada con 22,5 millones de dólares por esta práctica tan impopular entre los usuarios después de que el Wall Street Journal destapara el escándalo de espionaje de Google a los usuarios de Apple Safari. Esta iniciativa en el Reino Unido es la primera a la que se enfrenta en este territorio. Lo curioso es que no ha sido una iniciativa por parte de ningún órgano gubernamental, por lo que llama aún más la atención. Un grupo de usuarios descontentos y que utilizan el dispositivo iOS, se han unido para luchar contra Google y llevarles ante los tribunales del país.

Figura 1: Privacidad en Apple Safari

Estas personas están animando a todo usuario de iOS y OS X ha unirse en la causa, ya que si utilizaron estos sistemas entre el verano de 2011 y la primavera de 2012 pueden denunciar a Google y hacer valer sus derechos en el Reino Unido. ¿Cuál ha sido la respuesta de Google? La respuesta ha sido intentar evitar en todo momento el juicio, asegurando que el caso no existe, ya que no se ha podido demostrar que ningún usuario hubiera sufrido perjuicio económico. El Tribunal de Apelación Británico no lo ha considerado así, por lo que la demanda irá hacia delante y Google tendrá que defenderse en un juicio en el Reino Unido. Estaremos atentos a este curioso caso, que podría convertirse en histórico en el Reino Unido.

lunes, 30 de marzo de 2015

Google Chrome es navegador que tuvo más bugs en 2014

La empresa Secunia ha publicado su informe anual de analisis vulnerabilidades con resultados relativos al año anterior realmente sorprendentes. Hace poco vimos que, de forma inesperada para muchos, el sistema operativo menos vulnerado del año pasado fue Microsoft Windows, y hoy vemos que uno de los navegadores con mayor popularidad es, además, uno de los más vulnerables. Secunia se ha basado en un KPI interesante y es el número de 0days encontrados en 2014 para este navegador.  Este informe se basa en todos los datos recogidos por la herramienta PSI de la compañía que reside en millones de equipos de clientes y la base de datos de bugs que atesora.

El primer puesto en vulnerabilidades fue para Google Chrome, mientras que Oracle Solaris, Gentoo Linux y Microsoft Internet Explorer copaban el resto de puestos. Estos datos tienen dos lecturas importantes, desde el punto de vista de Secunia la empresa informa del número de bugs anuales, pero los ingenieros de Google indican que muchas de ellas son vulnerabilidades parcheadas, por lo que no eran explotables. Por este hecho, también se ha comentado que un factor importante era la cuenta de 0days en los productos, ya que esto sí es un indicador válido. 

Google Chrome encabeza la lista de navegadores con 504 vulnerabilidades reportadas seguido por Internet Explorer con 289, mientras que Firefox tiene 171. Entre todos los navegadores se registraron 1035 vulnerabilidades, mientras que en el año de 2013 se registraron 728. Esto quiere decir que algo está cambiando, quizá los navegadores se encuentran cada vez más en el foco de los investigadores. Además, en el informe se refleja que ha existido un aumento de 14 a 25 en lo que a 0days se refiere.

Figura 1: Listado de productos y sus vulnerabilidades
En el informe, un dato muy interesante es la revelación de que Mozilla registró el mayor número de usuarios con el navegador no parcheado, seguido por Chrome e Internet Explorer. Este hecho podría deberse a que Mozilla es utilizado en muchas ocasiones como navegador secundario, y a menudo no se actualiza con la misma frecuencia.

En líneas generales, el informe indica que se registraron 15435 vulnerabilidades totales en relación con 3870 aplicaciones de 500 vendors. Eso es un aumento del 18 % de un año a otro, mientras que es un 55 % más desde el año 2009. De todas estas vulnerabilidades, 1698, es decir un 11% se consideran altamente críticas, y un 43, un 0,3%, son extremadamente críticas. El 83% de los vendors parchearon su producto antes de que las vulnerabilidades se dieran a conocer públicamente, mientras que en 2009 solo la mitad lo hicieron. Por último, y según indica el informe, los ataques remotos son más comunes, un 60%, que los vectores locales, un 33,4%.

Figura 2: Gráfica de vulnerabilidades anuales

Este tipo de informes hacen ver qué hay diferentes formas de evaluar el impacto de las vulnerabilidades, y aunque un software tenga más vulnerabilidades que otros, el impacto dependerá de la criticidad de la vulnerabilidad, y su ámbito de descubrimiento, es decir si fueron parcheadas antes de ser conocidas públicamente. Otro factor interesante es conocer el ciclo de vida de la vulnerabilidad, es decir, el tiempo entre que se publica el parche y la vulnerabilidad desaparece de los sistemas de los usuarios y, como no, la calidad de los parches. De nada vale parchear rápido si se introducen nuevos bugs de funcionalidad y/o seguridad.

domingo, 29 de marzo de 2015

Fue Noticia en Seguridad Apple: del 16 al 29 de Marzo

Se termina Marzo, llega la primavera y con ella llega el momento de hacer una breve retrospectiva y repasar las noticias más relevantes que han ocurrido en el mundo de la seguridad informática, prestando especial atención a aquellas que tienen un impacto directo sobre los productos de Apple. Además, como es costumbre en Seguridad Apple, comentaremos los contenidos más interesantes publicados en otros sitios de referencia.

Comenzamos el lunes 16 anunciando la segunda edición del evento Sinfonier MeetUp, donde se impartieron tres charlas en las que se explicaron diferentes aplicaciones de esta herramienta.

El martes os contamos cómo es posible hacer un ataque de fuerza bruta al passcode de un iPhone empleando la herramienta Box IP, que es capaz de romper un código de cuatro dígitos en pocas horas.

El miércoles nos centramos en las actualizaciones de Safari 8.0.4, 7.1.4 y 6.2.4 para Mountain Lion, Mavericks y Yosemite, que solucionan hasta diecisiete vulnerabilidades que permitían entre otras cosas la ejecución de código arbitrario.

Él día 19 os enseñamos cómo es posible saltarse el sistema de protección Gatekeeper de OS X, que puede ser bypasseado haciendo uso de un JAR malicioso.

El post del viernes se centró en un grave bug de Facebook que afecta a la privacidad de los usuarios, haciendo posible el robo de fotos privadas a través de cualquier app a la que se hayan proporcionado los permisos adecuados. 

Empezamos el fin de semana con un nuevo Security Update para Yosemite publicado por Apple, el 2015-003, que da carpetazo a dos CVE que afectaban a iCloud KeyChain y iOSurface, permitiendo la ejecución de código arbitrario.

El domingo os contamos cómo el concurso de exploiting Pwn2Own ha revelado dos bugs de seguridad que afectan al navegador Apple Safari.

Arrancamos el lunes 23 con una noticia muy curiosa: es posible crashear Google Chrome en OSX visitando cualquier página que contenga una cadena de caracteres específica en árabe.

El martes presentamos la conferencia que Chema Alonso dió en la Universidad de Salamanca (USAL), centrada en un tema de seguridad tan crítico como es el robo de identidad en Internet.

A mitad de semana os explicamos cómo es posible combinar la tecnología Tether, que permite bloquear y desbloquear dispositivos OS X, y Latch, añadiendo una segunda capa de seguridad en el proceso de bloqueo de nuestro equipo.

El jueves os mostramos una prueba de concepto sobre cómo explotar código javascript arbitrario aprovechándose de un bug que afecta a Firefox en sistemas operativos OS X. El exploit en cuestión ha sido desarrollado por el equipo de seguridad de Rapid 7.

Una nueva característica de la aplicación WeChat para iOS ocupó nuestro post del viernes. Esta nueva feature, denominada voiceprint, permite autenticarse utilizando biometría de la voz, lo que supone un nivel extra de seguridad.

Por último, ayer sábado la noticia fue para la decisión de Apple respecto de las apps para iOS que se definían como Antivirus o Antimalware, ya que la compañía ha decidido eliminarlas de AppStore, dejando a clientes sin ellas, como ha sido el caso de Virus Barrier para iOS.

Hasta aquí lo publicado en nuestro blog, pero a continuación os dejamos los posts de otros sitios que no debéis dejar de leer. Esta es la lista de los seleccionados:
- JSSMSers: Grupo de apps dedicadas a ganar dinero suscribiendo a usuarios a servicios SMS Premiums, descubiertas en Google Play. 
- El Ministro Montoro y los metadatos en el informe de Hacienda: Nueva polémica surgida por culpa de los metadatos que aparecen en el informe enviada desde Hacienda al Juez Ruz que lleva el caso Gurtel y la supuesta financiación ilegal del Partido Popular. 
- Malcom, un analizador gráfico de las comunicaciones del malware: Desde HackPlayers nos hablan de esta herramienta que puede ayudar a entender mucho mejor cómo se comporta una determinada muestra de software malicioso. 
- Apple diseña nuevo sistema para teclados: El objetivo es poder conseguir un teclado aún mucho más delgado en los nuevos dispositivos, pero manteniendo un funcionamiento mecánico. 
- Hasta la cocina en las gasolineras españolas: Trabajo de investigación de Amador Aparicio que muestra cómo los sistemas de gestión de gasolineras españolas conectados a Internet no están correctamente fortificados. 
- 4º Curso de Ciberdefensa: Desde el 4 de Mayo tendrá lugar la cuarta edición de este curso de Ciberdefensa organizado desde Criptored con una duración de 40 horas y que se imparte a través de una plataforma online. 
- Twitch ha sido hackeado: La red social para gamers ha sido hackeada, y sus cuentas de usuario así como los datos personales de las mismas han sido robados. En términos de proteger los datos de tus clientes, una empresa no tiene segundas oportunidades, pues una vez perdidos, se han perdido para siempre. 
- Presentados los 8 proyectos finalistas de Talentum Startups: Los jóvenes seleccionados del proyecto Talentum Startups han presentado sus proyectos. Merece la pena que veáis qué han hecho estos jóvenes universitarios. 
- Un nuevo orden mundial: Entrevista a nuestro compañeros en El Plural sobre la seguridad y la privacidad en en el nuevo orden mundial. 
- Las 10 mejores técnicas de hacking en el 2014: Entre ellas, como no, están HeartBleed, ShellShock, Poodle, Rosetta Flash o el hackeo de Google Authenticator.
Y esto ha sido todo por hoy, que como veis no es poco. Esperamos que tengáis un buen domingo y veros dentro de dos semanas en esta misma sección y cada día en los artículos de Seguridad Apple.

sábado, 28 de marzo de 2015

Apple elimina AntiVirus y Antimalware de AppStore

La arquitectura de seguridad de iOS no permite a las herramientas Antivirus o Antimalware funcionar como lo hacen habitualmente en el resto de los sistemas operativos, al ejecutarlos dentro de una sandbox y no permitir que de forma residente escanéen el resto del sistema operativo. Aún así, las casas de seguridad, como Intego, crearon otro tipo de soluciones AntiVirus o AntiMalware para iOS, funcionando de otro forma. Por ejemplo, la solución VirusBarrier para iOS funciona como un escaner de documentos que se puede invocar desde otras aplicaciones, como por ejemplo el correo electrónico. 

Días atrás Apple ha decidido que este tipo de herramientas no deben estar en AppStore y ha eliminado todas ellas, incluidas el citado VirusBarrier, tal y como lo han explicado los creadores en su blog. Los que tengan la herramienta instalada en su iOS seguirán recibiendo las actualizaciones de virus, pero no podrán actualizar el software ni nuevos usuarios podrán instalársela.

Figura 1: VirusBarrier para iOS

Al final, para los que quieran tener un antivirus en su iOS les quedan dos opciones ahora mismo. La opción primera sería hacer jailbreak e instalar una solución antivirus desde otros markets de apps. La segunda opción, optar por soluciones de antimalware basadas en escanear el backup de iOS una vez hecho en un equipo.

viernes, 27 de marzo de 2015

WeChat deja que hagas login con la biometría de tu voz

La aplicación WeChat para iOS ha liberado una nueva característica o feature llamada voiceprint. Esta característica permite a un usuario que utilice la aplicación iniciar sesión en su cuenta sin tener que utilizar para ello su contraseña. ¿Cómo hace el login? El usuario debe decir en voz alta un conjunto de números, por lo que la aplicación reconocerá su voz y dará acceso al uso de su cuenta.  Esta característica ha sido publicada por los desarrolladores de WeChat el pasado miércoles y no existe ningún anuncio oficial por parte de la empresa propietaria de la aplicación en relación a la nueva función de seguridad. 

La nueva funcionalidad proporciona una serie de opciones, las cuales se indican a continuación:
  • Posibilidad de login en tu cuenta de WeChat.
  • Posibilidad de resetear tu password con voiceprint
  • Verificación de contraseña con voiceprint
Figura 1: Voiceprint habilitado

Este método de autenticación es sólo para la app de WeChat. A primera vista dicen que se asemeja al botón biométrico de Touch ID, aunque habría que realizar un análisis exhaustivo sobre ello. Voiceprint no se encuentra integrado en iOS. La última versión de WeChat es la 6.1.2 para iOS y se puede descargar desde la App Store.

jueves, 26 de marzo de 2015

[PoC] Proxy Prototype Privileged Javascript Injection con Metasploit: Ownear un OS X explotando un bug de Firefox

Hace unos días los investigadores de seguridad de Rapid 7 anunciaron un nuevo módulo que permite aprovecharse de una vulnerabilidad, catalogada con el código CVE-2014-8636, que afecta desde la versión 31 a la version 34 del popular navegador de Internet Mozilla Firefox. Esta vulnerabilidad es independiente de la plataforma, por lo que puede ser explotada en OS X. Visto esto, es más que recomendable consultar en la ayuda de Mozilla Firefox la versión que tienes instalada. 

Desde Exploit-DB se puede descargar el módulo de Metasploit que aprovecha esta vulnerabilidad. Al final la inserción del módulo al framework no es más que un copy and paste dentro de una carpeta, en este caso exploit/multi/browser. La vulnerabilidad se encuentra en una implementación de XrayWrapper la cual no interactúa correctamente con el objeto DOM, pudiendo permitir a un usuario ejecutar código Javascript arbitrario.

Figura 1: Cabecera del módulo Proxy Prototype Privileged JS Injection para Firefox

El ataque es de tipo Client-Side, por lo que cualquier usuario que utilice una versión de Mozilla Firefox vulnerable corre el riesgo de acceder a un sitio web malicioso que se encuentra preparado para lanzar el exploit. La configuración del módulo en Metasploit es sencilla, simplemente debemos indicar el valor del atributo URIPATH y configurar el payload. Una vez configurado esto con ejecutar el comando exploit estaríamos creando un sitio web malicioso con el que al recibir una petición enviaremos el exploit.

Figura 2: Acceso al sitio web malicioso con Firefox

Algo a tener en cuenta es que por defecto el módulo trae configurado un target cuyo payload será una shell, pero si ejecutamos la instrucción show targets podemos ver que se podrán ejecutar otro tipo de payloads nativos, es decir, en función del sistema operativo. Aquí es dónde podremos configurar un payload para OS X, por ejemplo osx/x86/isight/reverse_tcp, y poder espiar al usuario. Recuerda ponerte sexy ante iSight.

Figura 3: Targets en Metasploit

Como se comentó anteriormente, es altamente recomendable actualizar el navegador, ya que podemos ser víctimas de diferentes tipos de ataques a través de este tipo de vulnerabilidades. Si quieres aprender más sobre el framework de Metasploit puedes consultar el libro de nuestro compañero Pablo González.

miércoles, 25 de marzo de 2015

Tether y Latch: Usabilidad y seguridad en el acceso a OSX

Ya hemos hablado de Tether  como una solución para bloquear y desbloquear tu equipo OS X por proximidad, es decir, en cuanto nos alejemos del equipo éste quedará bloqueado por Tether. Al contrario ocurrirá cuando nos acerquemos al equipo, éste se desbloqueará automáticamente. El funcionamiento de esto es sencillo, tenemos que instalar una aplicación en nuestro OS X y otra en nuestro iPhone y parear ambos dispositivos, ya que al final se utiliza Bluetooth como tecnología para esta solución.

Las credenciales que utiliza Tether son almacenadas en el keychain del equipo evitando en todo momento que éstas sean enviadas desde el dispositivo iOS o utilizadas a través de Internet. Nosotros queríamos proteger el uso de Tether con nuestra tecnología Latch. De este modo cuando cerremos el Latch de usuario en OS X quedará protegido. Por ejemplo, si alguien cogiera el dispositivo y se acercase a nuestro OS X, si nosotros tenemos el Latch cerrado el equipo no se desbloquearía, pero además, de esta forma evitamos que nuestro equipo se abra simplemente porque estemos cerca de él.  Es un mecanismo en el que protegemos el uso de nuestro dispositivo y nuestro equipo al tiempo que ganamos la usabilidad de que las sesiones se abren y se cierran si nos acercamos o alejamos.

Configuración del entorno en OS X

Tras instalar la aplicación de Tether en el OSX hay que habilitar el Bluetooth, si éste no lo está, y después parear el dispositivo iOS con el equipo. Una vez realizado esto, ya estaremos en disponibilidad de utilizar Tether para bloquear/desbloquear el equipo por proximida y tecnología Bluetooth 4.0. Hay que tener muy en cuenta que el requisito es tener como mínimo un OS X 10.9, es decir, al menos Mavericks, y que el Mac tenga Bluetooth 4.0, si no Tether no podrá ser utilizado. 

Figura 1: Habilitar Bluetooth con Tether en OS X

Ahora debemos configurar Latch en nuestro OS X, si no lo tenemos ya configurado. Para entrar en detalle de cómo llevar a cabo la instalación del plugin de Latch para OS X se puede consultar el artículo "Instalar y configurar Latch para proteger tu OS X". Una vez instalado y comprobado que todo funciona correctamente, se recomienda habilitar Tether y probar la combinación de ambos. Cuando activemos Latch en nuestro OS X no podremos entrar al sistema, aunque hay que recordar que se puede habilitar Latch para el uso del SSH, de las claves de SSH o el uso, por ejemplo, del comando su. Cuando nos acerquemos con nuestro iPhone al OSX no podremos entrar a la sesión si Latch está activo, podríamos ver algo como lo que se muesta a continuación.

Figura 2: Bloqueo de inicio de sesión en OS X

En resumen se puede bloquear el uso de este tipo de herramientas como Sésame o Tether utilizando Latch. Hay algunos escenarios en los que puede ser útil el uso de esta combinación, por lo que si quieres proteger más tu inicio de sesión en OS X instala el plugin de Latch.

martes, 24 de marzo de 2015

Conferencia en la USAL: El robo de identidad en Internet

Mañana Miércoles 25 de Marzo de 2015 tendrá lugar un evento presencial en la Universidad de Salamanca, USAL que tratará sobre casos y ejemplos hoy en día referentes al robo de identidad en Internet. La charla, que tiene una duración de hora y media, empezará a las 10.00 de la mañana y será impartida por nuestro compañero Chema Alonso que entre otras cosas contará muchas de las peticiones que recibe sobre cómo espiar las cuentas de WhatsApp o Facebook de amigos, familiares y parejas, para que la gente sea consciente de la importancia que tiene hoy en día estos asuntos.

El acto se llevará a cabo en el salón de actos de la Facultad de Ciencias de la Universidad, siendo una jornada de puertas abiertas, pero en la que tendrás que registrarte si quieres asistir. Los robos de identidad de forma masiva están a la orden del día, y en esta sesión nuestro compañero Chema Alonso hablará de ellos y presentará soluciones para ayudar al usuario a proteger su identidad en Internet. La utilización de Latch en iOS es una de las soluciones de las que se tratarán con la que los usuarios de Apple podrán protegerse.

Figura 1: Cartel promocional del uso de Latch en la Universidad de Salamanca

La Universidad de Salamanca fue una de las primeras instituciones en integrar Latch, siendo un claro ejemplo de institución que se preocupa por la seguridad de sus empleados y usuarios. No dudes en pasarte por el evento y recuerda que no debes fiarte ni de tu sombra, echa el pestillo y protégete con Latch.

lunes, 23 de marzo de 2015

Con 13 caracteres crashea Google Chrome en OS X

Hay un bug abierto en Google Chrome para OS X que hace crashear al navegador con solo visitar cualquier página web en la que se haya incorporado esta cadena de 13 caracteres en lenguaje Sirio. El bug está disponible en el proyecto, pero si visitas la web con tu Google Chrome en OS X verás que se cae el programa.

Figura 1: Cadena de caracteres en Sirio que crashea Google Chrome en OS X

El bug aún no está resuelto, pero se espera que el equipo de desarrollo del proyecto Chromium lo corrija en breve, ya que han empezado muchos a jugar con este exploit y situar esta cadena de caracteres en foros y sitios web para molestar a los usuarios de esta combinación de navegador y sistema operativo.

Figura 2: Expediente del bug en el proyecto Chromium

No parece que se pueda ejecutar código arbitrario con este fallo, pero siempre que hay un bug puede aparecer una nueva derivada de explotación no conocida previamente, por lo que hay que extremar las precauciones en el seguimiento de enlaces llegados por correo electrónico o mensajes privados.

domingo, 22 de marzo de 2015

2 bugs en Apple Safari le hacen caer en el Pwn2Own junto al resto de los navegadores

Este fin de semana ha tenido lugar el popular concurso de exploiting Pwn2Own 2015. Este concurso inicialmente premiaba a los concursantes con el dispositivo que habían sido capaces de explotar, pero a día de hoy cuenta con cuantiosos premios. Entre los navegadores, Apple Safari cayó el segundo día gracias a una vulnerabilidad de Use-After-Free y una evasión de la Sandbox. Dicho ataque fue hecho por un investigador en solitario y se llevó la cantidad de 50.000 USD por la proeza, tal y como se explica en el vídeo de HP Security Research


Figura 1: Resumen del segundo día de Pwn2Own 2015

Las vulnerabilidades de Use-After-Free han hecho daño en el pasado a Apple Safari, y el investigador de seguridad argentino Nico Waisman - que dio una charla en BlackHat explicando en qué consisten estas vulnerabilidades - nos escribió en un artículo explotando un 0day de Use-After-Free en Apple Safari.


Figura 2: Aleatory Persistent Threat by Nico Waisman

En total han sido 2 CVEs que Apple Safari deberá parchear en breve, así que hemos de esperar a que pronto tengamos actulizaciones de seguridad. No hay que olvidar que estas vulnerabilidades, una vez conocidas es probable que pasen a formar parte de arsenales de pentesters, APTs y crimeware en general, así que habrá que tener cuidado. Recordad que cambiar de navegador no es una opción ya que han caído todos.

sábado, 21 de marzo de 2015

Apple publica Security Update 2015-003 para Yosemite

Apple ha lanzado de emergencia ayer mismo Apple Security Update 2015-003 para sistemas operativos OS X Yosemite. Esta actualización de seguridad es un parche acumulativo sobre Apple Security Update 2015-002 - de hecho todo el contenido de seguridad de éste está incluido en este nuevo paquete -. Los CVE arreglados en esta ocasión son 2 y están publicados en el Advisory de Seguridad.

Figura 1: Apple Security Update 2015-003

Como se puede ver, los bugs afectan a iCloud KeyChain, y a IOSurface, permitiendo ambos bugs la ejecución de código arbitrario en el sistema. Esto hace que la actualización de seguridad haya sido marcada como Highly Critical y sea muy importante que actualices cuanto antes. Está disponible vía Mac App Store en tu equipo OS X Yosemite.

viernes, 20 de marzo de 2015

Bug en Facebook permite que te roben tus fotos privadas

Un investigador ha publicado un vídeo en el que muestra cómo un bug en la plataforma de Facebook permite que sea posible llevarse las fotos privadas de una persona a través de cualquier app a la que se le haya concedido el acceso a las fotografías del usuario. En teoría, los permisos de acceso a las fotos deberían ser para una carpeta, pero utilizando graph a través del token de seguridad concedido a la aplicación, es posible llevarse todas las fotografías privadas que tenga la persona en su perfil de Facebook.

Es decir, que si has dado permisos a muchas aplicaciones, podrías tener un problema serio de privacidad si alguna de esas aplicaciones se volviera maliciosa. Este vídeo muestra cómo funciona el ataque y como en pocos segundos se llevan las fotografías privadas de la víctima.


Figura 1: Vídeo demostrativo de cómo robar las fotos privadas de una cuenta Facebook.

Te recomendamos que revises a ver qué apps tienen acceso a tus datos en Facebook. Esto se puede hacer desde la opción de Settings -> Apps. Retira el acceso desde ahí a cualquier app que no utilices habitualmente.

Figura 2: Opciones de seguridad de apps en Facebook

Ten cuidado a qué app de Facebook le das acceso, ya que cada vez que das acceso a una aplicación, la seguridad de tu cuenta se pone más en riesgo al extender la superficie de exposición de tus datos.

jueves, 19 de marzo de 2015

Cómo saltarse la protección de Gatekeeper de OS X

Revisando un poco como se encuentran los exploits públicos de ámbito local de los sistemas OS X queríamos hacer hincapié en este que fue publicado a finales del mes de Enero, aunque Apple fue notificado mucho antes. El CVE-2014-8826 detalla la posibilidad de bypassear el mecanismo de protección Gatekeeper vía un JAR malicioso. Esta vulnerabilidad ha sido reportada a Apple a mediados del año pasado por la empresa Amplia Security. 

Cómo funciona GateKeeper en OS X

Gatekeeper es una característica que se encuentra disponible desde la versión OS X Lion 10.7.5 y versiones posteriores. Gatekeeper realiza chequeos sobre archivos y aplicaciones descargados desde Internet para prevenir la ejecución de código malicioso o no firmado. Por defecto, Gatekeeper solo se pueden ejecutar aplicaciones que provienene de la Mac App Store y desarrolladas por desarrolladores identificados. La vulnerabilidad que la empresa Amplia Security descubrió sobre Gatekeeper afecta a los siguientes sistemas operativos, aunque de acuerdo con la propia Apple OS X Mountain Lion 10.8.5 también sería vulnerable:
  • OS X Lion. 
  • OS X Mavericks.
  • OS X Yosemite.
Si un usuario descarga una aplicación desde una fuente no segura y la ejecuta, Gatekeeper evitará su ejecución mostrando un mensaje de alerta, como el siguiente:

Figura 1: Alerta de protección de Gatekeeper para OSX

Un atacante puede hacer un bypass de esta característica y ejecutar código malicioso no firmado por un desarrollador, incluso si Gatekeeper está configurado para ejecutar sólo aplicaciones que vengan de la Mac App Store. La técnica no es difícil y tiene como condición que Java se encuentre instalado en el equipo de la víctima.

¿Cómo realizar el bypass

Lo primero de todo es crear un fichero JAR que contenga el código que se quiere ejecutar. La gente de Amplia Security nos proporciona un código de ejemplo para esta PoC.

Figura 2: Código clase AmpliaTest

Hay que asegurarse de que el código está compilado con una versión menor o igual a la que se encuentra en el equipo de la víctima. Una vez realizado esto hay que crear una imagen de disco en formato DMG, ejecutando la siguiente instrucción:
 hdiutil create -size 5m -fs HFS+ -volname PoC PoC.dmg.
Ahora hay que montar la imagen DMG y renombrar el UnsignedCode.jar a UnsignedCode, es decir, eliminar la extensión. Copiar el fichero UnsignedCode a PoC, y desmontamos la imagen. Una vez hecho esto, debemos subir el fichero DMG a un servidor web y probar a descargarlo con Apple Safari y abrirlo. Si todo ha ido bien se habrá realizado el bypass de Gatekeeper.

miércoles, 18 de marzo de 2015

Actualización de Apple Safari 8.0.4, 7.1.4 y 6.2.4 arregla 17 bugs

Apple ha liberado las nuevas versiones del navegador Apple Safari. Las versiones son la 8.0.4, 7.1.4 y 6.2.4 para Mountain Lion, Mavericks y Yosemite. Estas actualizaciones parchean diversas vulnerabilidades que habían sido descubiertas en el Webkit. En total se dispone de 17 CVEs. El nuevo navegador web de Safari está disponible para OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 y OS X Yosemite 10.10.2. A continuación os dejamos listados los distintos CVEs, aunque como se puede ver la mayoría provocaba que la aplicación se cierre o se pueda ejecutar código arbitrario, lo que le da a la actualización un nivel Highly Critical:
Figura 1: Contenido de Seguridad en Apple Safari

Los usuarios de OS X pueden instalar el navegador web de Safari actualizado desde el menú de Apple en actualización de software o utilizando la Mac App Store

martes, 17 de marzo de 2015

Hacer fuerza bruta al passcode del iPhone con Box IP

IP Box craquea tu passcode
En muchas ocasiones ya se ha comentado lo importante que es cambiar el passcode y dejar de utilizar una versión de 4 dígitos por una versión más compleja, como puede ser la que incluya letras y números. La herramienta Box IP permite realizar ataque de fuerza bruta al passcode del iPhone. El equipo de MDSec propone esta herramienta que pone de manifiesto la facilidad de crackear el passcode del iPhone. Esto significa que en un período corto de plazo se podría sacar el passcode correcto. La caja es muy sencilla de utilizar, con solo conectar el dispositivo se puede obtener el código de 4 dígitos en un tiempo de 6 segundos a 17 horas.

Después de lograr crackear el passcode se tendrá acceso completo al dispositivo. Es importante entender que opciones de seguridad como el borrado del dispositivo tras 10 intentos fallidos, ayudan a proteger dispositivos críticos, aunque según indican los propietarios de esta caja, ésta funciona incluso si esa opción está marcada, ya que corta directamente la alimentación del dispositivo. Además, en un dispositivo crítico es recomendable, y casi totalmente necesario, tener un passcode complejo que mezcle letras, números y caracteres especiales y un tamaño superior a 8 caracteres. 

La caja automatiza el tedioso proceso manual de introducir secuencialmente cada código de acceso, del 0000 al 9999. Para ello, se utiliza una conexión USB y un sensor de luz que indica cuando el dispositivo ha sido desbloqueado con éxito. La caja implementa la vulnerabilidad CVE-2014-4451 con la que se puede intentar múltiples contraseñas diferentes. Esta vulnerabilidad fue encontrada el año pasado por Stuart Ryan, y significó que iOS no se diera cuenta de que habían introducido un passcode incorrecto si el botón de inicio era pulsado casi al mismo instante de fallar al meter el passcode. De este modo el dispositivo no recordaba dicho fallo.

Figura 1: Demo de IP Box crackeando el passcode de un iPhone 6

En el vídeo se puede visualizar un crackeo que dura unos 30 segundos con el que se demuestra que el ataque de fuerza bruta al hardware funciona. Hay que tener en cuenta aspectos como los comentados anteriormente, sobretodo la posibilidad de utilizar un passcode complejo y con más de 8 caracteres.

Otro ejemplo similar en el pasado de ataque de fuerza bruta al passcode de iOS es el que se usó con Rubber Ducky con el fin de simular la interacción humana. Los sistemas operativos ofrecen demasiada confianza en las pulsaciones de teclado, por lo que dispositivos que abusan de la interfaz HID no pueden ser detectados.

lunes, 16 de marzo de 2015

2º Sinfonier MeetUp: Mañana por la tarde en Madrid

Mañana se realiza el segundo MeetUp de Sinfonier con una agenda cargada de charlas y casos de uso de la herramienta. En la RootedCON de 2015 desarrollamos topologías para Sinfonier con las que generar CiberINT a partir de apps sospechosas, las cuales son detectadas por Tacyt, nuestro querido Codename Path 5. Os recomendamos que si queréis sacarle todo el jugo a Sinfonier os animéis a pasaros el Martes 17 de Marzo a las 18.30 por la Flag-Ship de Telefónica

Figura 1: Agenda del 2º Sinfonier MeetUP en Madrid

La agenda de la que podréis disfrutar mañana consta de tres charlas. La primera trata sobre el front-end de Sinfonier y será impartida por José Miguel Diez. La segunda será una charla muy interesante sobre programación eficiente en Storm llevada a cabo por Gaspar Muñoz, una de las tecnologías del momento y que construye el core de Sinfonier. Por último, nuestro compañero de Eleven Paths Alberto Sánchez, detallará un caso de uso de Sinfonier con su charla "Volar en tiempos de crisis".

Figura 2: Conferencia de Presentación de Sinfonier en RootedCON 2014


Si quieres asistir al evento es necesario que te registres al MeetUp y es totalmente gratuito. Además, si quieres comenzar a trabajar con Sinfonier puedes solicitar tu cuenta gratuita para la versión community a través del sitio web de Sinfonier Project. También puedes seguir la actualidad de Sinfonier a través de su cuenta de Twitter, @e_sinfonier o su blog.

domingo, 15 de marzo de 2015

Fue Noticia en Seguridad Apple: Del 1 al 15 de Marzo

Este año el mes de Marzo ha sido bastante movido en el mundo de la seguridad, y como siempre, en Seguridad Apple os hemos ofrecido las noticias de más candente actualidad. Es momento ahora de parar por un segundo y repasar rápidamente todo lo publicado en este blog durante las últimas dos semanas. Además, como es costumbre, os ofrecemos el resumen de los mejores contenidos publicados en otros sitios de interés.

El lunes 2 os hablamos del gravísimo fallo de seguridad encontrado en Tinychat para iOS, una de las aplicaciones más descargadas de la App Store, que envía las credenciales del usuario en texto plano.

Al día siguiente os mostramos los resultados de un estudio que revela que la vulnerabilidad FREAK, que permite hacer un Man In The Middle impersonando a un servidor web, afecta a Safari.

El miércoles hablamos de la nueva técnica de phishing que utilizan los ladrones de iPhones para conseguir que las víctimas deshabiliten el Activation Lock, la efectiva medida anti-robo implementada recientemente por Apple.

El tema del post del jueves fueron los nuevos bugs encontrados en la versión de FortiClient para iOS, que hacen factible la realización de ataques Man In The Middle suplantando al servidor.

El viernes os contamos la divertida historia del ladrón de iPhones que, por error, publicó un selfie en el muro de Facebook de una de sus víctimas, que terminó recuperando el terminal.

Comenzamos el fin de semana con los resultados de la investigación sobre malware de Motive Security Labs, el grupo de seguridad de Alcatel, que revelan que iOS es la plataforma con menor tasa de infección en 2014.

El día 8 una nueva noticia de contrabando de iPhones llamó nuestra atención. Esta vez, la de un adolescente chino que fue detenido por tartar de cruzar la frontera entre Hong Kong y China con casi un centenar de terminales.

Comenzamos una nueva semana explicando cómo evitar que al instalar Java en OS X, la instalación venga acompañada de la siempre molesta barra de herramientas de Ask.com y otros problemas de Adware.

El martes 10 os contamos los problemas de fraude que sufren algunos usuarios de Apple Pay, debido a una vulnerabilidad en el proceso de registro de nuevas tarjetas.

El miércoles, Apple anunció un nuevo Security Update en el que se resolvían varios bugs de seguridad, entre ellos los relacionados con la vulnerabilidad FREAK en iOS, OS X y Apple TV. Con ellos llegó iOS 8.2 para solucionar un buen número de bugs en él.

Al día siguiente nos hicimos eco de la noticia de los documentos filtrados de la CIA, que revelan la existencia de versiones hackeadas de XCode que permiten espiar dispositivos iOS.

La caída de iTunes y AppStore a raíz del lanzamiento de Apple Watch protagonizó nuestro post del viernes 13. Estos y otros servicios de Apple estuvieron fuera de servicio durante más de 8 horas.

Por último, ayer sábado os dejamos una referencia a Tether, otra solución que sirve para bloquear o desbloquear el sistema cuando nos aproximemos a él. Por supuesto, esta solución se puede integrar con Latch para OS X con el objeto de conseguir el equilibrio entre seguridad y usabilidad deseado.

Y esto fue todo durante este periodo, pero como es costumbre en esta sección os dejamos a continuación una lista de artículos que no debéis dejar de leer este domingo de Marzo. Estos son los seleccionados:
- Eleven Paths abre becas Talentum y puestos de trabajo para ingenieros: Se han abierto una serie de vacantes para jóvenes universitarios y para profesionales senior que quieran venir a trabajar a nuestra compañía. En el blog de Eleven Paths tienes los detalles. 
- The Art Of deception: Cómo Apple intenta mantener en secreto sus proyectos secretos. 
- WhtasApp como fuente de información OSINT: Cómo conseguir información táctica de una empresa monitorizando los estados y fotografías de los empleados de la misma. Cómo elegir un buen día para hacer una ataque de ingeniería social a la empresa. 
- El cliente μTorrent instala de forma silenciosa software de minería de bitcoins: Esto lo hace sin avisar a los usuarios y se ha generado gran polémica sobre ello. Ya hablamos de empresas que sostenían que esta podía ser una buena fuente de financiación de apps si el usuario lo aceptaba. 
- Apple Security Updates: Con la llegada de los nuevos parches Apple emitió los Security Updates para XCode 6.2, para Apple TV 7.1 y para el OS X Security Update 2015-002. 
- Adobe soluciona bug en Flash Player: Toca actualizar otra vez por riesgo de un ataque masivo. Hazlo hoy mismo. 
- Estafadores se crean cuentas de Apple Pay con tarjetas de crédito robadas: En un intento de encontrar una forma más de sacar dinero de las cuentas robadas.

- Entrevista a nuestro compañero Chema Alonso en Apple 5x1 realizada durante la RootedCON 2015.


Y esto ha sido todo por hoy, que como podéis ver no ha sido poco. Nos vemos en esta sección dentro de dos semanas y cada día en los artículos de Seguridad Apple.

sábado, 14 de marzo de 2015

Tether: {Des} Bloquea tu Mac OS X cuando te aproximes

En Seguridad Apple hemos publicado algunas aplicaciones que permiten desbloquer el Mac a través de tecnología Bluetooth o WiFi, como por ejemplo con Sesame. En el presente artículo hablaremos de Tether, la cual es una nueva aplicación gratuita con la que podemos desbloquear el Mac sin hacer ninguna acción. Tether es un par de aplicaciones, una para nuestro dispositivo iOS y otra para el Mac, a modo de cliente-servidor. Automáticamente, se bloquea cuando estemos más allá de unos pocos metros de distancia. 

Tether utiliza Bluetooth 4.0 para realizar la comunicación entre el iPhone y el equipo. Al final el procedimiento es realmente sencillo, teniendo pareado el dispositivo con el equipo y la aplicación instalada en el Mac.

Figura 1: Tether para proteger y desproteger tu Mac

¿Con qué sistemas es compatible? A continuación se muestra un listado según el tipo de equipo de Apple que el usuario puede tener:
  • iMac 2012 en adelante.
  • MacBook Pro 2012 en adelante.
  • MacBook Air 2011 en adelante.
  • Mac Mini 2011 en adelante.
  • Mac Pro 2013 en adelante.
Por supuesto analizando al solución propuesta, como se comentó anteriormente similar a Sesame, queda claro que es una buena forma de protegerse. En muchas ocasiones debemos despegarnos de nuestro equipo y dejamos el OSX sin proteger. Y si quieres tener doble protección, puedes poner Latch para OS X. Con el uso de este tipo de aplicaciones evitaremos el típico ataque David Hasselhoff o que alguien robe las cookies de Facebook.

viernes, 13 de marzo de 2015

La manzana se cayó: iTunes, AppStore y otros servicios se caen después del lanzamiento de Apple Watch

Apple sacó el pasado lunes el esperado reloj inteligente, al que ya se llamaba Apple Watch. El esperado dispositivo generó gran revuelo en el mundo de la manzana y de sus ya famosos fanboys. La gente de Cupertino empleó parte del tiempo de la mañana del día 11 en recuperar a iTunes, la cual se ha caído. Algunos servicios de Apple, aparte de iTunes, como la Mac App Store, iBooks Store o la propia AppStore, cayeron y estuvieron fuera de servicio por más de 8 horas.

¿Qué respondió Apple sobre esto? Pues han dicho que la causa o lo que provocó el fallo ha sido un error interno con el DNS. Un portavoz de la empresa ha comunicado que están trabajando para que todos los servicios vuelvan a la normalidad y estén disponibles para los clientes lo antes posible.

En las redes sociales no se han hecho esperar las quejas ante esta situación, sobretodo en Twitter, dónde muchos usuarios han expresado su frustración utilizando los tags #itunesdown y #appstoredown. Apple sabe que los clientes pueden no ser capaces de hacer compras a través de los diferentes servicios, por lo que es una situación crítica para la empresa que ha dejado de generar ingreso en el mercado digital durante 8 horas

Figura 1: Comprobación del estado de los servicios de Apple

Una de las cosas curiosas que ha ocurrido con estas caídas de los servicios de Apple es el típico mensaje mostrado por la empresa. El típico Status_Code_Error se podía leer desde los servicios cuando se accedía a ellos. A principios de Septiembre de 2014 ocurrió un fallo similar que provocó un efecto parecido sobre los servicios de Apple. Apple tiene un sitio web en el que se puede visualizar el estado de sus servicios. Apple no ha respondido de forma inmediata a las solicitud para comentar las causas de la caída.

jueves, 12 de marzo de 2015

Documentos filtrados de la CIA hablan de versiones hackeadas de XCode para espiar iPhone

Investigadores de los Estados  Unidos de la CIA, Agencia Central de Inteligencia, han estado trabajando durante años para conseguir romper la seguridad de los dispositivos de Apple iPhone y iPad. Pueden haber logrado esto a través de la creación de una versión modificada de la herramienta de desarrollo de software de Apple, denominada XCode. Según documentos obtenidos en la campaña de interceptación de la CIA denominada Jamboree que se centró en fallos de seguridad que se encuentran en diversos productos electrónicos, los investigadores de la CIA describen tanto una versión hackeada de XCode, como un actualizador de OS X modificado que podría ser utilizado para instalar software malicioso. La versión modificada de XCode permitía a los espías robar contraseñas y mensajes en los dispositivos infectados.

Los investigadores también afirmaron que XCode podría obligar a todas las aplicaciones de iOS enviar datos a un servidor dónde se recibiría la información. Hay algo que no queda claro, y es cómo las agencias de inteligencia obtienen el XCode. La versión maliciosa de XCode podría utilizarse para extrar los datos privados de los dispositivos dónde se instalan las aplicaciones construidas con dicho entorno. Algunas conclusiones a las que han llegado los investigadores son que XCode incluye en la instalación backdoors en aplicaciones de Mac OS X, la incorporación de una clave privada de un desarrollador de aplicaciones de iOS, obligando a las aplicaciones de iOS enviar los datos del iPhone o iPad a un servidor y desactivar las características de seguridad básicas en iOS.

Figura 1: Introducción documento Xcode malicioso

Ninguno de los documentos detallan cómo XCode y el instalador de OS X han sido utilizados por la CIA, ni el éxito que han tenido en esta campaña. Aunque se supone que si el esfuerzo es visible, se presupone cierto éxito en esta operativa por parte de la CIA. Apple y el gobierno de los Estados Unidos han estado en desacuerdo sobre privacidad y seguridad en los últimos años. Una fuga de un documento en 2013, sugiere que Apple y otras empresas de tecnología están trabajando con el gobierno en el proyecto PRISM. Este proyecto, supuestamente, da acceso al gobierno a datos de clientes en servidores de la compañía. 

Apple y otras empresas tecnológicas, como Google, han negado siempre su participación en dicho programa y desde entonces han hecho todo lo posible para asegurar al público que no están involucrados en este intento de espionaje del gobierno. Apple, Google, Facebook o Microsoft se unieron para pedir mayor transparencia, vigilancia y capacidad para compartir más inormación sobre las solicitudes de datos por parte del gobienro sobre los consumidores.

Apple lanzó un sitio dónde mostrar la política de privacidad en Septiembre de 2014, con el fin de que sus consumidores entiendan y conozcan información sobre las peticiones del gobierno. Por otro lado, el FBI se ha opuesto a los esfuerzos de Apple para aumentar la seguridad de sus dispositivos iOS. La guerra parece continuar y desde Seguridad Apple seguiremos trabajando para enseñaros las noticias relacionadas.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares