En Seguridad Apple somos fieles a nuestras tradiciones, y por lo tanto, cada dos semanas os seguimos ofreciendo, con la mejor de nuestras voluntades, el resumen de la actualidad en seguridad informática relacionada con el mundo Apple. En esta nueva edición de la sección "Fue Noticia", os presentamos la lista completa de los post recientes publicados aquí durante estas dos últimas semanas y una pequeña selección de algunos escritos en otras webs de relevancia.
Comenzamos el 4 de Abril con la noticia de la existencia de un exploit descubierto por Stefan Esser que permite bypassear SIP y obtener una escalada de privilegios en las versiones OS X 10.11.4 e iOS 9.3.
El martes os presentamos la nueva actualización de Adobe Flash Player para OS X, y la decisión por parte de la compañía de bloquear algunos de los plugins más viejos a fin de evitar problemas de seguridad.
Un día después os hablamos de un nuevo bug en iOS 9.3.1, que permite saltarse el passcode y acceder a dispositivos iPhone 6S e iPhone 6S Plus, empleando Force Touch y Siri.
El jueves nos hicimos eco de la noticia de que tras la polémica el caso de San Bernardino, el FBI ha sido llamado de nuevo para desbloquear un terminal iPhone relacionado con un caso de asesinato
El día 8 nos centramos en el anuncio del investigador Luca Todesco, quien dice disponer de más de un Jailbreak para terminales iOS 9.3.1, aunque todavía no los ha hecho públicos.
Comenzamos el fin de semana explicando en qué consiste Sidestepper, una técnica de ataque que permite abusar del protocolo MDM y de esta manera distribuir malware en dispositivos iOS 9 o superiores.
Cerramos la semana con otra noticia polémica, en este caso la filtración de que el gobierno de EEUU ha hecho uso de la ley "All Writs" en más de 60 ocasiones para solicitar ayuda a Google y Apple en investigaciones policiales.
En el post del lunes 11 os enseñamos cómo deshabilitar el sistema Touch 3D para de esta manera prevenir ataques de bypass al passcode de vuestro dispositivo.
El día siguiente os explicamos en detalle las novedades del parche de iMessage publicado para sistemas operativos OS X, que pone fin a la vulnerabilidad de este sistema de mensajería que se había hecho pública y que permitía el robo de historiales de conversación de los usuarios sin su consentimiento.
El miércoles os presentamos un ataque de escalada de privilegios en OS X vulnerando el driver Apple Intel HD 3000 Graphics mediante un exploit.
El día 14 os enseñamos los pasos necesarios para brickear un dispositivo iPhone Pre-iOS 9.3.1 en una red WiFi, incluyendo la prueba de concepto diseñada por los investigadores de Krebs on Security.
El viernes publicamos la sorprendente - o la no nada sorprendente para muchos - noticia de que el FBI empleó los servicios de la firma israelí CelleBrite para acceder a la información del iPhone 5C del tirador de San Bernardino.
Para terminar, ayer sábado os dejamos el aviso de que si tienes Google Chrome instalado en un sistema operativo OS X antiguo, a partir de ya deja de tener soporte y no recibirá parches de seguridad, lo que lo convierte en un peligro. Migra tu OS X ya.
Y como es habitual, después del resumen de lo publicado, pasamos a dejaros una lista de algunos de artículos publicados en otros blogs que pueden ser de interés. Esta es la selección que hemos realizado para el día de hoy.
Figura: Windows XP Professional corriendo sobre un iPad
Para terminar, ayer sábado os dejamos el aviso de que si tienes Google Chrome instalado en un sistema operativo OS X antiguo, a partir de ya deja de tener soporte y no recibirá parches de seguridad, lo que lo convierte en un peligro. Migra tu OS X ya.
Y como es habitual, después del resumen de lo publicado, pasamos a dejaros una lista de algunos de artículos publicados en otros blogs que pueden ser de interés. Esta es la selección que hemos realizado para el día de hoy.
- Ganadores de Latch Plugin Contest & Sinfonier Community Contest: Ya se han hecho públicos los ganadores de los concursos de Latch y Sinfonier. Entre los ganadores hay un SDK para el lenguaje Go, un hack de Latch para Twitter y un gestor de Latches client-side basado en ubicaciones. Tienes info de los ganadores en el blog de Eleven Paths.
- Si tienes QuickTime, llego la hora de desinstalarlo: No solo Google Chrome abandona el soporte para versiones antiguas de OS X y Windows. También Apple abandona las versiones antiguas de QuickTime y... mejor desinstalarlo ya. Tienes dos bugs que no van a ser corregidos.
- WhatsApp evita la difusión del número de teléfono: Durante muchos años, WhatsApp estuvo enviando el número de teléfono en texto plano cuando se conectaba a la red WiFi. Si has actualizado, esto ya no es así y las herramientas como WhatsApp Discover ya no lo detectan.
- Explicación del ataque a HackingTeam: Se ha publicado en Pastebin un texto en español en el que se explica cómo se hizo el ataque a los sistemas de HackingTeam. No está confirmada su veracidad, pero parece bastante detallado y explicativo en sí mismo. Está en un perfecto español.
- Joven ruso fotografía a gente en el metro y las localiza en las redes sociales: Lo hace mediante un sistema que permite reconocer a las personas por su biometría facial. Utiliza la base de datos de la red social rusa por excelencia, pero esto también es posible hacer con Facebook. ¿Fin de la privacidad?
- Ingenieros de Apple dicen tener la más efectiva organización de seguridad: Dicen que su principal objetivo siguen siendo los hackers, que son los que más problemas de seguridad pueden causar a sus clientes.
- Liberado exploit de PS4 para poder correr Linux: Ya puedes tener tu Linux favorito en la PS4, y por tanto las herramientas que sobre él se basan para poder convertir en una plataforma multimedia abierta tu consola. ¿Cuándo un Hackintosh con la nueva PS4?
- Instalan Windows XP en un iPad: Va lento como él solo en el vídeo de demostración, pero no deja de impresionar ver el Windows XP Profesional funcionando. En el enlace tienes las instrucciones para sacar partido a tu viejo iPad con otras funciones.
Figura: Windows XP Professional corriendo sobre un iPad
- Intentan envenenar el agua de una planta depuradora en Reino Unido: Un ataque hacktivista intentó contaminar el agua que era procesada en un planta depuradora manipulando los productos químicos desde un sistema SCADA hackeado. Un ejemplo de cómo el ataque del mundo digital puede dañar la seguridad de las personas.
- Proteger Jenkins con Latch: Jenkins es una plataforma muy popular en el mundo del desarrollo para gestionar la integración continua en los equipos de desarrollo. Nosotros la utilizamos internamente en algunos proyectos y le integramos hace tiempo Latch para mejorar nuestras medidas de seguridad. Esta semana hemos liberado un primer plugin de Latch para Jenkins por si lo queréis utilizar en vuestra instalación.Y hasta aquí dio de sí esta sección. Esperamos que os haya entretenido a la par que informado, para volveros a ver por aquí dentro de dos semanas. Por supuesto, no olvides que todos los días estamos aquí para informar puntualmente de lo que sucede en el mundo de la seguridad relacionado con las tecnologías Apple. Feliz domingo.
No hay comentarios:
Publicar un comentario