Fue Noticia en Seguridad Apple: 27 de Abril a 10 de Mayo

Tras dos semanas más que interesantes en lo que respecta al mundo de la seguridad informática, toca hacer un alto en el camino y como es tradición en Seguridad Apple, ofreceros un breve pero completo resumen de las noticias publicadas en este blog en los últimos quince días. Además, completaremos este resumen con un rápido vistazo a los contenidos más interesantes publicados en otras webs.

Para empezar, el lunes 27 de abril os explicamos un truco muy útil para localizar aplicaciones compatibles con esos dispositivos iOS antiguos que tenemos algo olvidados, pero que de vez en cuando queremos usar.

Al día siguiente os contamos la curiosa historia de un policía que se hizo un selfie para que el propietario de un iPhone robado pudiese localizarlo, una vez recuperado. 

Un nuevo caso de phishing de Apple ocupó nuestra atención el miércoles. Esta vez analizamos un sitio web malicioso  y no demasiado sofisticado en el que se invitaba al usuario a introducir sus credenciales de Apple ID para robar la cuenta. Preparado para atacar usuarios.

Un día después os anunciamos la nueva actualización de seguridad para OS X Server, la versión 4.1, que entre otras novedades incluye el cierre de tres CVEs de seguridad, uno de ellos relacionado con Poodle.

El día después de que alertáramos, Chrome ya detectaba y alertaba al usuario sobre casos el phishing de Apple a través de su Anti-Phishing SafeBrowsing.

Una noticia más que interesante para desarrolladores ocupó nuestra atención el sábado 2: el anuncio por parte de Microsoft de la primera versión de Visual Studio Code para Mac y Linux. Una herramienta que sin duda abre la puerta a una versión de la FOCA para OS X.

Un caso de trampas en el mundo del deporte sirvió para cerrar la semana. En este caso se trataba de un ajedrecista de Georgia que tras cada movimiento, utilizaba su iPhone para analizar posibles jugadas mediante un juego de ajedrez.

Comenzamos una nueva semana con la noticia de varios CVEs que afectan a OS X Yosemite, entre ellos algunos que permiten la ejecución de código arbitrario y la obtención de privilegios de root,

El martes os enseñamos una prueba de concepto sobre cómo explotar un bug de Command Injection a través del cliente de correo por defecto de iOS, Mail. Vulnerabilidades como esta pueden tener consecuencias devastadoras para empresas.

A mitad de semana os contamos una nueva vulnerabilidad que afecta a iOS. En este caso, un bug de Local File Inclusion en la aplicación PhotoWebsite 3.1, que permitiría a un atacante leer información interna de la aplicación.

Amanecimos el jueves con la noticia del cierre de Secret, la aplicación que permitía publicar comentarios de forma anónima, tras varios meses envuelta en polémicas varias.

El viernes os hablamos de las nuevas actualizaciones de Safari  8.0.6, 7.1.6 y 6.2.6, que ponen punto y final a varios CVEs críticos que permitían, entre otras cosas, crashear la aplicación y realizar spoofing de la interfaz de usuario y lograr con éxito ataques de phishing.

Por último, ayer sábado, la entrada fue para un ex-NSA que explica cómo el mecanismo de protección de Gatekeeper que viene en OS X no es nada difícil de ser saltado. Un explicación junto con demostraciones técnicas de cómo hacerlo.

Como siempre, os dejamos además de estas noticias una lista de otros artículos que no debes dejar de leer este domingo. Han sido publicados durante estas dos semanas en otros blogs y creemos que son más que interesantes. Aquí van:

- Protege tu cartera de BitCoins: En el blog de Eleven Paths se ha publicado un artículo que explica cuáles son los riesgos y los ataques a las carteras de BitCoin así como recomendaciones de seguridad. 

- OSQuery y Get-Mobility-Info: En SecurityByDefault han publicado un par de entradas sobre herramientas que pueden ayudar en un análisis forense a un sistemas OSX. Si te gusta esta disciplina, merece la pena que le des un vistazo. 

- Mobile Connect - Autenticación fuerte con tu SIM: Una forma sencilla de autenticarte con identidad de forma fácil es usar Mobile Connect. Una tecnología de la GSMA que permite autenticarse en cualquier sitio por medio mensajes a la SIM. 

 - Graudit: En Hackplayers hablan de esta utilidad que permite buscar buscar fallos en repositorios de código fuente usando búsqueda de patrones con grep. Una idea similar a OSB-Rastreator de nuestro compañero Pablo González. 

- Cómo grabar fotos y vídeos de SnapChat y Telegram: Una explicación sencilla de cómo usando un iPhone, OS X, QuickTime Player y Reflector se pueden grabar fotos y vídeos con autodestrucción en todas las apps de mensajería sin que se entere el emisor del mensaje. 

- Mobile Security Wiki: En Cyberhades nos han hablado de esta Wiki especializada en tutoriales, herramientas y explicaciones sobre la seguridad móvil en iOS, Android y Windows Phone. Métetela en favoritos. 

- Cómo sería tu vida si Sir fuera tu madre: Divertido vídeo que compara a Siri con tu madre llevándolo a curiosas situaciones. Está en inglés, pero merece la pena verlo. 

- Find My Phone con Google: En Spamloco nos han hablado de este servicio - disponible solo en inglés - que permite buscar el teléfono Android directamente desde Google Maps poniendo "find my phone". Google sabe dónde está y podrás emitir un pitido. 

- Las tarjetas de visita de Steve Jobs a subasta: Por unos 3.000 USD puedes comprar las tarjetas de visita de Steve Jobs de Apple, Pixar o NExT.  

- DrupalCamp en Jerez de la Frontera: Los próximos días 22, 23 y 24 de Mayo tendrá lugar el Drupal Camp Spain 2015 en el que nuestro compañero Ricardo dará una sesión. Se ha organizado un fin de semana fantástico para los amantes de estas tecnologías.

Y esto ha sido todo por hoy, que como podéis ver no es poco. Esperamos veros dentro de dos semanas en esta sección y todos los días en los artículos que publicamos en Seguridad Apple. Que tengáis un buen domingo de Mayo.