Llega un nuevo Fue Noticia, y en Seguridad Apple nos tomamos un respiro para hacer una breve recapitulación de las noticias más relevantes del mundo de la seguridad informática ocurridas durante las últimas dos semanas. A continuación os ofrecemos un resumen de estos y algunos contenidos publicados en otros sitios de referencia, como solemos hacer en esta sección habitualmente.
Comenzamos el lunes 21 con la noticia de que la actualización iOS 9.3 incluirá un fix para el bug de cifrado de iMessage que tan popular se ha vuelto últimamente con el caso del FBI y Apple.
Al día siguiente, tras el Keynote, nos encontramos con un montón de actualizaciones para productos de Apple, incluyendo las nuevas versiones iOS 9.3, WatchOS 2.2, OS X 10.11.4, tvOS 9.2 y OS X Server 5.1.
El miércoles nos centramos en la polémica de la base de datos de Kinotopic, una aplicación descontinuada de la App Store , en la que se encuentran expuestos los datos de más de 190.000 usuarios.
El jueves os contamos el problema surgido a raíz de la actualización iOS 9.3, que aparentemente deja inservibles los dispositivos iPad más antiguos, ya que estos permiten la instalación pero no la activación de la actualización.
El caso del FBI volvió a ser noticia el viernes, tras las declaraciones de varios ingenieros de Apple que aseguraban su intención de dejar la compañía en caso de ser obligados a backdoorizar iOS.
Comenzamos el fin de semana con la noticia de que la app maliciosa InstaAgent -que robaba credenciales a los usuarios de Instagram- ha vuelto a aparecer en la AppStore bajo denominaciones alternativas.
El domingo os explicamos cómo la actualización iOS 9.3 no ha solucionado los problemas de Siri, que sigue suponiendo una amenaza para la privacidad de los usuarios al permitir su activación desde la pantalla de bloqueo.
El lunes 28 el post se centró en el bypass de la última protección incluida por Apple en OS X e iOS, el System Integrity Protection, realizado mediante la explotación de una vulnerabilidad de elevación de privilegios.
Un día después os trasladamos el fin de la guerra judicial entre Apple y el FBI, ya que estos últimos han sido capaces de evadir las medidas de seguridad del iPhone confiscado sin recurrir a los ingenieros de Apple.
El miércoles os advertimos de la creciente cantidad de usuarios que reportan estar sufriendo crasheos de Safari, Mail y Chrome al visitar ciertos enlaces en dispositivos iOS 9.3.
Google Zero Project fue el protagonista de nuestro post del jueves al liberar varios explotis que afectan a sistemas OS X, entre ellos algunos que permiten ejecución de código arbitrario.
El primer día de Abril os adelantamos una de las inocentadas de Abril que más gracia nos hizo - aunque hay quién cree que es aún posible que para la versión OS X 10.11.4 - según el cuál Apple estaría planeando volver a la denominación MacOS.
Por último, ayer os hablamos de iOS 9.3.1, actualización del sistema operativo iOS para solucionar un buen número de problemas que ha dado la versión 9.3, especialmente en los terminales más antiguos. Entre otros, un bug que permitía en los terminales antiguos saltarse Activation Lock.
Y como siempre, os hacemos una selección de otras noticias y artículos que han sido publicados en otros blogs pero que pueden ser de tú interés. Esta es la lista que hemos preparado para hoy:
Por último, ayer os hablamos de iOS 9.3.1, actualización del sistema operativo iOS para solucionar un buen número de problemas que ha dado la versión 9.3, especialmente en los terminales más antiguos. Entre otros, un bug que permitía en los terminales antiguos saltarse Activation Lock.
Y como siempre, os hacemos una selección de otras noticias y artículos que han sido publicados en otros blogs pero que pueden ser de tú interés. Esta es la lista que hemos preparado para hoy:
- Dorking & Pentesting en la AppStore: En el blog de nuestro compañero Chema Alonso se han publicado un par de artículos sobre cómo buscar fallos de seguridad en apps de iOS publicadas en AppStore. Algunas con ficheros de contraseñas y otras apps con las claves privadas de los certificados digitales de los desarrolladores. Dos fallos a evitar en la publicación de apps.
- Apple no arregla el bug SIP y publican un exploit: El bug es el que ya os hemos contado sobre el sistema de integridad y ahora el exploit ha sido publicado integro en un Tweet.
- Apple parchea iBooks Author: Por culpa de un CVE highly critical que podría llevar al compromiso del sistema por medio de un libro malicioso especialmente creado. Ha publicado un Security Advisory para el parche.
- Apple cumple 40 años: En blog Think Big han hecho un recorrido por cuáles han sido los grandes pilares de la compañía de la manzana mordida durante las cuatro décadas de vida que llevan. Un artículo para leer con calma.
- Hacker dice tener varios jailbreak para iOS 9.3.1: Pero al igual que el jailbreak para iOS 9.3 que también se anunció, no hay por ahora ningún jailbreak oficial. Eso sí, puede que este buscando comprador.
- Apple y Google han colaborado en más de 70 casos: Las empresas han compartido datos e información para ayudar a la justicia en más de 70 investigaciones en las que había involucrados terminales de Apple o de Google.
- El FBI ha sido llamado para desbloquear otro iPhone en un caso de asesinato: Y parece que después de haberlo hecho ya con el del tirador de San Bernardino, también va a hacerlo con esto. ¿Estará preocupada Apple de que haya un exploit que no tiene controlado? ¿Hará una nota de prensa preocupado por la privacidad de los clientes?
- Eleven Paths descubre un nuevo bug de XSS en Play Framework: Los detalles de la vulnerabilidad, que ya ha sido solucionada, están publicados en la comunidad de Eleven Paths.
- El derecho a la privacidad en mi lista de derechos: Sobre si Apple debería haber colaborado en el caso del tirador de San Bernardino, y cómo podría haberlo hecho, así sobre cómo debería comportarse Apple con la ley de cada país, ha escrito nuestro compañero Chema Alonso.
- Metodologías de testing de seguridad: Esta semana hay una nueva sesión gratuita de las Eleven Paths Talks. En este caso dedicada al testing de seguridad e impartida por Gabriel Bergel, CSA de Eleven Paths en Chile. El calendario completo y las sesiones ya impartidas las puedes ver en la web de Eleven Paths Talks.Y esto fue todo por hoy. Esperamos que os haya entretenido el repaso a estas dos semanas y volver a veros por aquí en esta misma sección dentro de dos semanas y cada día en los artículos que publicamos en Seguridad Apple.
No hay comentarios:
Publicar un comentario