Y sin darnos casi cuenta, han pasado ya otras dos semanas completas y estamos otra vez en el resumen de lo que Fue Noticia durante todo este periodo. Como ya sabéis, en este artículo recogemos todo lo que hemos publicado en nuestro blog, además de artículos y noticias relevantes de otros sitios que pensamos que no debes perderte. Esto es todo lo que tenemos para ti hoy.
Empezamos comentando a los usuarios que poseen un terminal con Jailbreak que gracias al creador de Cydia Saurik ahora existe una herramienta que permite revertir el proceso de Jailbreak y dejar el terminal en su estado anterior.
El martes nos encontramos con un grupo de hackers con amor por la retro-informática que rescatan del pasado el sistema operativo System 6.0.1 creado originalmente para el Apple II, para darle una actualización a 6.0.2 y pronto 6.0.3.
El miércoles hablábamos de un curioso bug en los calendarios de iOS al navegar hasta el calendario de 1900 el cual mostraba meses duplicados y en ocasiones los omitía, este curioso bug podía estar ocasionado por el especial formato de fecha que usa Apple. Si llevas tu calendario a una de esas fechas, verás como se pierden meses y empieza a hacer cosas muy raras con las citas.
Al día siguiente nos encontramos con una vulnerabilidad de ejecución de código en la aplicación UDID+, la cual aunque aporte una sencilla funcionalidad como es la de ver el identificador UDID por pantalla, también es susceptible a ataques de ejecución de código, en este caso a través de la funcionalidad de "send by email", respecto al CVSS al ser una explotación local, asciende solo a un valor de 5.7. La recomendación prudente es: No instales cosas que no sean imprescindibles.
A punto de llegar el fin de semana se publica un pequeño exploit para iOS X Yosemite para ser root provocada por la variable de entorno DYLD_PRINT_TO_FILE, curiosamente el exploit es tan pequeño que incluso cabe en un tweet. Como es habitual Apple tomará medidas y liberará un parche para que esta vulnerabilidad no este presente en la versión OS X 10.11 El Capitan.
Un día más tarde de la publicación del exploit que permite ser root en iOS X Yosemite llega rápidamente el modulo de Metasploit para simplificar aun más la explotación de este, dando la posibilidad de comprobar y explotar la vulnerabilidad.
El domingo Apple libera una actualización de firmware para el Mac mini solucionando múltiples problemas en dispositivos de 2012.
Comenzamos la semana con un informe de HP comentando las pobres medidas de seguridad aplicadas en los SmartWatches, comentando vulnerabilidades como autenticación y autorización insuficiente, malas políticas de contraseñas, enumeración de usuarios, recolección de cuentas, etcétera.
Avanzamos hasta el martes para recibir la sorpresa de que Apple no ha parcheado (aún) el bug de DYLD_PRINT_TO_FILE, a pesar de que en la versión beta OS X 10.11 si se ha liberado un parche. En la versión OS X 10.10 sigue considerado un 0day.
El miércoles, nueva vulnerabilidad sobre la AppStore, la cual permite que se inyecte de forma persistente código malicioso a través del nombre del dispositivo en la AppStore. El investigador fue Benjamin Kunz Mejri.
Empezamos comentando a los usuarios que poseen un terminal con Jailbreak que gracias al creador de Cydia Saurik ahora existe una herramienta que permite revertir el proceso de Jailbreak y dejar el terminal en su estado anterior.
El martes nos encontramos con un grupo de hackers con amor por la retro-informática que rescatan del pasado el sistema operativo System 6.0.1 creado originalmente para el Apple II, para darle una actualización a 6.0.2 y pronto 6.0.3.
El miércoles hablábamos de un curioso bug en los calendarios de iOS al navegar hasta el calendario de 1900 el cual mostraba meses duplicados y en ocasiones los omitía, este curioso bug podía estar ocasionado por el especial formato de fecha que usa Apple. Si llevas tu calendario a una de esas fechas, verás como se pierden meses y empieza a hacer cosas muy raras con las citas.
Al día siguiente nos encontramos con una vulnerabilidad de ejecución de código en la aplicación UDID+, la cual aunque aporte una sencilla funcionalidad como es la de ver el identificador UDID por pantalla, también es susceptible a ataques de ejecución de código, en este caso a través de la funcionalidad de "send by email", respecto al CVSS al ser una explotación local, asciende solo a un valor de 5.7. La recomendación prudente es: No instales cosas que no sean imprescindibles.
A punto de llegar el fin de semana se publica un pequeño exploit para iOS X Yosemite para ser root provocada por la variable de entorno DYLD_PRINT_TO_FILE, curiosamente el exploit es tan pequeño que incluso cabe en un tweet. Como es habitual Apple tomará medidas y liberará un parche para que esta vulnerabilidad no este presente en la versión OS X 10.11 El Capitan.
Un día más tarde de la publicación del exploit que permite ser root en iOS X Yosemite llega rápidamente el modulo de Metasploit para simplificar aun más la explotación de este, dando la posibilidad de comprobar y explotar la vulnerabilidad.
El domingo Apple libera una actualización de firmware para el Mac mini solucionando múltiples problemas en dispositivos de 2012.
Comenzamos la semana con un informe de HP comentando las pobres medidas de seguridad aplicadas en los SmartWatches, comentando vulnerabilidades como autenticación y autorización insuficiente, malas políticas de contraseñas, enumeración de usuarios, recolección de cuentas, etcétera.
Avanzamos hasta el martes para recibir la sorpresa de que Apple no ha parcheado (aún) el bug de DYLD_PRINT_TO_FILE, a pesar de que en la versión beta OS X 10.11 si se ha liberado un parche. En la versión OS X 10.10 sigue considerado un 0day.
¿Acabará la IA con el Hombre? |
El jueves la entrada se la dedicamos a las declaraciones de Steve Wozniak y otros científicos preocupados por la aplicación de la Inteligencia Artificial al mundo de las armas. Un futuro apocalíptico que muchos temen.
Por último, la entrada de este sábado se la dedicamos a un tema curioso, por el cual la propia Apple podría ser acusada de terrorismo en USA por tener sistemas de cifrado que ayuden a los criminales a estar protegidos frente a la justicia.
Hasta aquí todo lo publicado por nosotros, pero como siempre, os hemos hecho una selección de noticias de este periodo que han sido publicadas en otros blogs y sitios de referencia. Esta es la lista de hoy.
- Más Badware en Google Play para hacer Click-Fraud: De nuevo a través de Tacyt fue posible localizar nuevas apps haciendo Click-Fraud desde Turquía.
- Fondos de pantalla para iPhone 6: Colección de fotografías adaptadas al tamaño del fondo de pantalla de iPhone 6, para que decores tu dispositivo con una gran imagen.
- Colección de ezines de Hacking: En Cyberhades han publicado un artículo refiriéndose a un Git en el que hay una recopilación de los populares ezines del mundo del hacking, en los que se explican técnicas y se detallan pruebas de concepto.
- Recopilación de aplicaciones y retos para aprender a hackear: En Hackplayers han hecho una recopilación digna de tener anotada para aprender con retos, sistemas y aplicaciones vulnerables que hackear.
- La nueva película de Steve Jobs estrella en el festival de New York: Pronto estará en los cines de todo el mundo y parece que la crítica está siendo muy positiva.
- Cómo proteger WhatsApp a prueba de balas: Guía en tres partes de más de 20 páginas y 30 medidas de seguridad que debes aplicar a tu cuenta de WhatsApp.
- Informe de tendencias en Ransomware [Eng]: El mundo del ransonware se ha convertido en un mercado activo, en este informe lanzado desde Eleven Paths podéis ver cómo están siendo las tendencias en esta industria del cibercrimen.
- Nuevos Leaks de piezas del supuesto iPhone 6S: Se han vuelto a filtrar piezas de lo que parece que va a ser el nuevo iPhone 6 S que saldrá en Septiembre u Octubre, como viene siendo habitual.
- Cómo Hacking Team se saltaba los controles de Google Play: Mucho se ha dicho ya del hackeo a Hacking Team, pero aún se puede aprender más. En este caso, cómo metían sus troyanos en Google Play.
Y esto fue todo. Esperamos veros dentro de dos semanas, a mediados de Agosto más o menos, por esta misma sección y cada día en los artículos que publicamos en Seguridad Apple. Tened un feliz domingo.
No hay comentarios:
Publicar un comentario