Menú principal

sábado, 30 de septiembre de 2017

Esta es posiblemente la primera página web de Apple

La primera prueba tangible de la incursión en la World Wide Web por parte de Apple la tenemos en la página del Internet Archive, en concreto en su WayBack Machine y tiene fecha de 1997. El CERN presentó de forma pública la World Wide Web el 30 de abril de 1993, cuatro años antes de la supuesta primera web de Apple ... pero ¿seguro que esta fue la primera? 

Pues parece que no. Apple ya tenía página web justo en el nacimiento de la www, durante el año 1993 y 1994. Kevin Fox es un usuario y "arqueólogo" de la informática que además es un usuario de Apple desde sus comienzos. Cada cuatro o cinco años tiene la costumbre de migrar y hacer un backup de toda su información y almacenarla para la posteridad. En uno de esos backups realizados en CDROM durante 1995, ha encontrado ficheros de Scrapbook (aplicación de los Mac clásicos que permitía almacenar imágenes, texto, sonido, etc, algo parecido al portapapeles actual) con algunas imágenes con las pruebas de la existencia de esta web

Figura 1. La versión más antigua de Apple.com almacenada hasta ahora, con fecha de 1997. Fuente.

Una vez volcó todos los ficheros en su equipo actual, intentó recuperarlos sin éxito con Photoshop. Tuvo que recurrir a la aplicación GraphicConverter para poder visualizarlos correctamente. Y entonces, en uno de esos ficheros apareció la imagen de que posiblemente sea la primera página web de Apple y que os mostramos a continuación tal y como se vería utilizando el único navegador posible, NCSA Mosaic, en un ordenador Mac Classic:

Figura 2. Recreación del aspecto de la web usando el navegador NCSA Mosaic en un Mac Classic II. Fuente.

Algunos de los detalles más llamativos de la página web (recordemos que data de 1993, justo cuando se creo la WWW) son los siguientes:
  • El tamaño, sólo 512x342 pixeles
  • No incluía texto real, sólo imagenes
  • Tenía sólo 256 colores
  • Ya incluía biseles y sombras
Pero vamos a pararnos en detalles más técnicos como la navegación web y en la búsqueda. Como hemos indicado antes, sólo incluía imágenes por lo tanto al hacer click en una de ellas, el navegador enviaría las coordenadas X e Y al servidor el cual decidiría a qué URL se tendría que redireccionar. Recordemos que hasta la versión HTML 3.2 no se podían incluir mapas de imágenes del lado del cliente. La búsqueda por otro lado no estaba definida como un campo de texto en el código HTML entre otras cosas porque no existían buscadores en la época. Por lo tanto esta se ejecutaría en otros entornos como Gopher o Usenet.

Así que parece que la primera página web de Apple tiene 24 años y tuvo que ser una de las primeras en estar online durante el amanecer de la WWW. Pero nosotros, después de ver el menu de opciones de la página web, nos preguntamos ¿Qué era la opción Smorgasbord?

viernes, 29 de septiembre de 2017

El reconocimiento facial es el futuro en la seguridad de los Smartphones

Nuestra cara es el futuro de la seguridad en los Smartphones. Esto es algo que Apple dejó claro hace dos semanas cuando presentó el iPhone X, un dispositivo que sustituye el familiar botón frontal y el sensor Touch ID por un nuevo sistema de escáner de reconocimiento facial. La compañía ha mostrado repetidamente su habilidad para impulsar tecnologías emergentes para que sean de uso cotidiano. Con Face ID Apple asegura haber superado todas las barreras que la biometría facial ponía para funcionar correctamente y en distintas condiciones de luminosidad, posición y cambios físicos en una persona creando un nuevo sistema capaz de desbloquear un dispositivo.

La nueva tecnología de Apple suena prometedora. La compañía dice que Face ID crea un “mapa exacto” del rostro por medio de 30.000 puntos de infrarrojos proyectados sobre la cara de la persona que son captados por la TueDepth Camera y procesados por su potente microchip. A la hora de escanear el rostro de los usuarios el dispositivo solicita que giremos la cabeza con el fin de que el algoritmo de machine-learning usado por Face ID pueda captar todos los detalles de nuestro rostro desde varios ángulos para realizar un mapa exacto en 3-D. Una vez el mapa ha sido creado se almacena en el dispositivo y se utiliza como referencia para desbloquearlo. El iPhone X utiliza luz infrarroja para poder escanear la cara de una persona incluso en la oscuridad.

Figura 1: Apple apuesta por el reconocimiento facial.

Con los avances en el reconocimiento facial de los últimos años muchas agencias de inteligencia, incluido el FBI, usan métodos similares para identificar sospechosos almacenado sus caras en una base de datos para poder identificarlos más rápidamente en un futuro. Hace unos meses unos jóvenes lograron hacer bypass del reconocimiento facial del Samsung Galaxy S8 a escasos días de su lanzamiento, fue tan sencillo como enseñarle al dispositivo una foto del dueño, algo que ha hecho que muchos cuestionen nuevo sistema de Apple. Sin embargo la compañía de la manzana garantiza que con el nuevo sensor de infrarrojos es prácticamente imposible engañar a Face ID.

Apple confía tanto en su nueva herramienta que la usará para verificar la identidad de los usuarios en la aplicación de Apple Pay, una aplicación con la que realizar compras y vinculada directamente a nuestra cuenta bancaria. Según la compañía californiana las posibilidades de que Face ID fallase son de una entre un millón (muchas menos que con Touch ID) pero aun así esta tecnología sigue planteando algunas dudas. ¿Realmente Face ID es tan seguro como dicen?

jueves, 28 de septiembre de 2017

Vulnerabilidad crítica en macOS High Sierra: Cualquiera puede acceder a tu Keychain

El nuevo sistema operativo de Apple, el flamante macOS High Sierra, ya tiene una grave vulnerabilidad que permite a un atacante robar las contraseñas del keychain del sistema. El nuevo sistema trae algunas mejoras de seguridad, por ejemplo el SKEL, del cual hablamos en el blog, pero también ha traido un nuevo y grave fallo de seguridad que permite a cualquier aplicación robar las contraseñas del keychain sin el conocimiento o interacción del usuario. Las versiones anteriores al nuevo sistema operativo de Apple también son vulnerables, por lo que hay que actualizar, sin duda, a la nueva versión.

El investigador Patrick Wardle ha sido el que ha encontrado este grave fallo de seguridad. El experto en seguridad ha comunicado que no revelará el funcionamiento del fallo hasta que Apple lo corrija. Wardle indicó que las aplicaciones que se ejecutan en un sistema pueden acceder a toda la información del llavero sin ninguna interacción del usuario, haciendo un bypass de cualquier componente de seguridad. Apple indicó que Gatekeeper evita que se instalen aplicaciones sin firmar, y que el usuario no debe instalar aplicaciones que no tengan un origen de confianza o no se encuentren firmadas.

Figura 1: Mensaje de Patrick Wardle con la evidencia

Hasta que no exista una solución, se debe evitar la instalación de cualquier aplicación sin firmar y que venga de fuentes de no confianza, según ha comentada la propia Apple. Si tienes algún tipo de software instalado que cumpla con estas características, debes revisarlo y, en el peor de los casos, tener que cambiar las contraseñas almacenadas en el keychain, siempre que necesites eliminar la aplicación que no genera confianza.


Seguiremos atentos a la posible y necesaria actualización de macOS High Sierra a una nueva versión. Seguramente en poco tiempo veamos la actualización de macOS High Sierra y una nueva actualización de iOS solventando el problema de la batería. Sea como sea, seguiremos contándolo desde Seguridad Apple.

miércoles, 27 de septiembre de 2017

Apple libera iOS 11.0.1 de forma urgente

Ayer hablábamos del problema de la batería en iOS 11. Apple ha liberado de forma urgente una actualización de iOS 11, llegando a la versión iOS 11.0.1. Lo sorprendente es que no se ha hecho un anuncio dónde se indique que los problemas con la batería quedan resueltos o se intentan resolver, por lo que no está claro que esta actualización proporcione una solución. Lo que si hemos podido ver es que la nueva actualización proporciona soluciones de seguridad, por lo que se debe actualizar lo antes posible. 

En Seclists podemos ver en qué consiste la actualización de iOS 11.0.1. En este caso, existía una vulnerabilidad que permitía a un potencial atacante tomar el control remoto del dispositivo. Esto es una vulnerabilidad crítica que afectaba a los dispositivos con iOS. Por otro lado, la página de Apple destinada a explicar lo nuevo de la nueva versión indica que ha sido debido a vulnerabilidades que han sido solucionadas y que se darán los CVE cuando sea posible, por lo que aún el CVE de las vulnerabilidades solucionadas no está disponible. 

Figura 1: Apple e iOS 11.0.1

Sin duda, es importante que los usuarios actualicen a la nueva versión de iOS 11.0.1 y seguiremos esperando para ver si los problemas de la batería son solucionados en esta o en posteriores versiones de iOS. Sin duda, es un gran problema de usabilidad, por lo que se debería tomar medidas pronto si no se ha hecho ya.

martes, 26 de septiembre de 2017

iOS 11 tiene problemas con la batería de los iPhone & iPad

Hace apenas una semana que iOS 11 llegó a nuestros dispositivos móviles y vino con algunos problemas. iOS 11 está lleno de nuevas características, pero después de varios usuarios y alertas de errores parece que tendremos que o esperar a una nueva actualización o convivir con los problemas. Al parecer el nuevo sistema operativo de Apple está causando problemas, por lo que es muy probable que tengamos una nueva actualización muy pronto. Uno de los problemas reflejados en los informes es la duración de la batería y como el nuevo sistema se "fulmina" el tiempo de duración. 

La empresa Wandera ha publicado pruebas concretas de la degradación grave que sufe la batería de los iPhone & iPad debido a la actualización del sistema operativo a iOS 11. Las pruebas se realizando sobre un conjunto de 50.000 usuarios de iPhone, unos ejecutando iOS 11 y otros con iOS 10. El resultado fue concluyente: la duración de la batería para los dispositivos con el nuevo sistema operativo se está deteriorando más de dos veces más rápido que los que ejecutan iOS 10. Según parece iOS 10 se puede utilizar durante 240 minutos de promedio, mientas que iOS 11 solo 96 minutos de promedio. Esto hace indicar que la caida es del 60%.

Figura 1: Comparación iOS 10 e iOS 11 en el tema de la batería

Estaremos muy atentos a las posibles actualizaciones que salgan de iOS 11. Este es un problema que afecta directamente a muchos usuarios, por lo que entendemos que Apple estará buscando soluciones y que pronto tendremos noticias. Parece que iOS 11 ha salido y no tiene todo de su lado, estaremos atentos.

lunes, 25 de septiembre de 2017

Craig Federighi nos cuenta algunas de las novedades que incorpora el Face ID

Face ID es la nueva función de reconocimiento facial del iPhone X. Desde su presentación muchos usuarios han lanzado preguntas sobre su funcionamiento. A pesar de que Apple continúe ofreciendo respuestas a algunas de ellas las preguntas sobre el nuevo sistema de reconocimiento biométrico no cesan. Para contestar a estas preguntas el ingeniero jefe de software  de Apple Craig Federighi hizo una entrevista donde acabó con los tópicos de privacidad, seguridad y funcionalidad aclarando muchísimas dudas.

Matthew Panzarino fue el encargado de llevar a cabo la entrevista con Federighi, el cual dijo que Face ID es “Increíble, de confianza y muy rápido”, un dato importante ya que muchas personas quieren saber lo rápido que funciona. Panzariono le pidió a Federighi que explicara cómo funciona este nuevo método de desbloqueo con las gafas de sol, si la polarización es un problema, o si llevar la cara parcialmente tapada influiría. Federighi confirmó que la polarización no es un problema, pero hay algunas lentes que tienen un recubrimiento que bloquea la IR, y si ese es el caso, un cliente tendrá que usar un código de acceso o desactivar la función.

“Face ID funcionará desde múltiples ángulos y distancias, siempre que el dispositivo este sujeto en un ángulo natural en el que pueda detectar tu cara se desbloqueara. Es muy similar a cando enciendes la cámara delantera de tu móvil para hacerte una foto, una vez que el dispositivo sea capaz de detectar la distancia entre tus ojos y la boca, algo que puede hacer incluso en ángulos críticos, se desbloqueará”

Figura 1:Sensores de Face ID

En cuanto a seguridad, Apple dice que todo el procesamiento de Face ID se hace en el dispositivo, sin subir nada a la nube o a los servidores de Apple, un punto que Federighi reiteró en la entrevista. Apple no recoge datos cuando la cámara TrueDepth escanea tu cara en el iPhone X y la función que le permite adaptarse a los cambios de apariencia, en el dispositivo. “Nosotros no reunimos datos de los clientes cuando estos usan Face ID, los datos se quedan en vuestros dispositivos, no los enviamos a la nube para obtener datos de formación". Cuando las autoridades soliciten información sobre los datos de Face ID, Apple no tendrá datos que proporcionarles. Tu Face ID scanner se convertirá en un modelo matemático seguro en el iPhone X. Además los datos no podrán ser extraídos por vía de ingeniería inversa convirtiéndolos en una cara. Como con Touch ID , ninguna información es enviada a Apple. Los desarrolladores de terceros tampoco podrán acceder a ella.

Federighi también quiso hablar sobre el método implementado por Apple para desactivar discretamente Face ID en una situación en la que alguien intente robarte el dispositivo e intente desbloquearlo con tu cara. En el iPhone X, manteniendo pulsados los botones de los dos lados del dispositivo se accederá a la pantalla de inicio, lo que también desactivará el reconocimiento facial. "Si alguien te intenta quitar tu teléfono haz esto", recomendaba Federighi. En la entrevista también se habló sobre algunos casos en los que Face ID se deactivará automáticamente, esto sucede tras realizar 5 intentos fallidos de desbloqueo, al igual que con el Touch ID de anteriores versiones. Cuando el iPhone se reinicie o no se haya utilizado el reconocimiento facial durante 48 horas también se requerirá una contraseña para acceder al dispositivo.

domingo, 24 de septiembre de 2017

Fue noticia en Seguridad Apple: del 11 al 23 de septiembre

Comienza el otoño y desde Seguridad Apple nos disponemos a traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 11 hablandoos del comienzo de una nueva serie de Talks llamada Code Talks for Devs. En ellas se hablarán de muchos temas interesantes como la programación, las intergaciones técnicas o APIS. Podreis seguir la serie en nuestro canal de YouTube y consultar vuestras dudas en la Comunity.

El martes día 12 os contamos como la filtración y el ataque a Equifax podría afectar a algunos de los posibles compradores del iPhone 8 a la hora de realizar la compra a través de un crédito, una práctica muy común en EEUU.

El miércoles 13 os hablamos de la quinta edición del security Innovation Day, la cual se celebrará el próximo 5 de octubre. El lema de este año es Security Rocks y contaremos con la presencia de Mikko Hypponen, CRO de F-Secure.

El jueves 14 os presentamos XNSPY, un nuevo Spyware para iOS que funciona tanto en dispositivos con jailbreak como en dispositivos sin el. Gracias a este Spyware podrás monitorear cuentas de Whatsapp, Instagram, Facebook y de muchas otras redes sociales además de poder activar el microfono de tu victima.

El viernes 15 os hablamos del impacto que podría causar el lanzamiento del nuevo Apple Homepod, en su segunda versión podría ofrecer unas prestaciones superiores a las de su competencia en el mercado.

El sábado 16 os informamos de que se esta llevando a cabo una nueva oleada de estafas con os usuarios de Apple como objetivo y os daremos una serie de útiles consejos para evitar caer en la trampa.

El domingo finalizamos la semana hablándoos de las ofertas de trabajo de Apple que se encuentran ocultas en la red y os contamos como un joven estadounidense logró encontrar una de estas ofertas.

El lunes 18 os avisamos de la posible llegada de un nuevo jailbreak para iOS 10.3.2 de la mano del equipo XigTeam además de recordaros el riesgo de hacer jailbreak antes de comprobar que esa versión es estable.

El martes 19 os informamos de que Apple publicará un informe detallado sobre el funcionamiento del nuevo Face ID antes de que el nuevo iPhone X salga a la venta.

El miércoles 20 os avisamos de la llegada de iOS 11 y hacemos un pequeño repaso sobre cuales han sido las actualizaciones de seguridad.

El jueves 21 os hablamos de como Apple ha publicado actualizaciones y boletines para 6 de sus productos y de la problemática real que suponían algunos de los fallos de seguridad ya arreglados.

El viernes 22 os contamos que Apple está eliminando algunas aplicaciones de la App Store por ofrecer algunos servicios que luego no realizan, como es el caso de algunas aplicaciones de análisis de antivirus.

Finalmente, el sábado hablamos del Face ID y su incidente en la presentación en el evento de Apple. Se ha hablado mucho sobre las teorías del fallo, pero tendremos que esperar a tenerlo en las manos para poder ver qué es lo que realmente ocurrió.

sábado, 23 de septiembre de 2017

Algunas teorías que explican el fallo del Face ID durante la demo del iPhone X

Durante la keynote de presentación de los nuevos productos Apple celebrada hace unos días, se presentó el nuevo y flamante iPhone X. La característica estrella de este dispositivo, dejando a parte sus increíbles prestaciones técnicas (así como su alto precio),  es su nueva función de reconocimiento facial. Face ID es capaz de desbloquear el dispositivo simplemente colocándolo delante del usuario. Pero las cosas no salieron del todo bien durante la presentación.

Hubo un momento de tensión (que podéis ver en el video de abajo) justo cuando Craig Federighi comenzó a probar el Face ID. "Desbloquearlo es tan fácil como simplemente mirarlo" pero no se desbloqueó. Entonces lo intentó por segunda vez pero ahora el iPhone X le preguntó por su código para poder desbloquearlo, tampoco funcionó esta vez. Finalmente Craig tuvo que hacer uso de otro terminal de backup y esta vez sí que funcionó.




La primera teoría indica que no fue un error, ya que el dispositivo hizo exactamente lo que tenía que hacer, es decir, bloquearse. Al parecer, después de comprobar los logs del iPhone X que falló, llegaron a la conclusión que el fallo pudo ser debido a la manipulación previa al evento realizada por los técnicos de Apple durante la preparación del evento. Estos técnicos no se dieron cuenta que Face ID estaba intentando reconocer al usuario propietario, Craig Federighi, pero al no identificarlo este se bloqueó solicitando teclear el código de desbloqueo. Face ID sólo permite dos fallos durante la fase de reconocimiento antes de solicitar el desbloqueo por código.


Figura 1. Momento del bloqueo del iPhone X durante la presentación de Face ID

La segunda teoría dice que el problema era que el dispositivo que estaba utilizando Craig acababa de ser reiniciado. Todos sabemos que al reiniciar el iPhone, el dispositivo siempre solicita introducir el código de desbloqueo antes de activar Touch ID o Face ID. Al parecer en el vídeo se puede ver un mensaje en el iPhone indicando que el código de desbloqueo es necesario para activar Face ID, confirmando la teoría de que el dispositivo acababa de ser reiniciado.

Y la última teoría simplemente indica que Face ID falló a la hora de reconocer la cara de Craig, dando a entender que Apple aún está trabajando en afinar esta nueva tecnología (no sería la primera vez que Apple muestra un dispositivo que no funciona). De hecho, después de la keynote, varios periodistas que tuvieron la oportunidad de probarlo, reportaron muchos fallos de desbloqueo e incluso problemas para activar Face ID que sólo se resolvían después de apagar y encender la pantalla varias veces.




¿Qué crees que ocurrió realmente?, dejando aparte el problema durante la demo, la tecnología Face ID es realmente espectacular, ya que tiene detrás un complejo funcionamiento potenciado gracias a redes neuronales y al nuevo flamante chip A11 Bionic.

viernes, 22 de septiembre de 2017

Aplicaciones oscuras eliminadas de la AppStore

Apple está eliminando un gran número de aplicaciones de la AppStore que no tienen declaradas todas las funcionalidades que ofrecen o que no son todo lo transparente que las políticas de la empresa requieren. Muchas aplicaciones que se encuentran en el store pueden ser potencialmente un spyware u otro tipo de software nefasto. Apple está eliminando aplicaciones que podrían ser oscuras o cuyas funcionalidades no son las que se venden. Apple ha actualizado recientemente las pautas para los desarrolladores con el objetivo de incluir que las aplicaciones no puedan estar en la App Store si son engañosas.

Este hecho incluye la prohibición de aplicaciones que afirman que están ejecutando un análisis de antivirus o que realizan otras acciones contra el malware. Este tipo de malas aplicaciones de malware han gestionado y conseguido millones de descargas entre ellos.  Apple prohibe este tipo de aplicaciones que ofrecen lo que en realidad no ofrecer, es decir, servicios de antivirus y escaneos. Las aplicaciones de escaneo de malware están siendo apuntadas por Apple. ¿Son importantes estas aplicaciones? ¿Afectan a los usuarios? La verdad es que sí. El mayor problema es que engañan a los usuarios y pueden darles una falsa sensación de seguridad o, incluso, obtener beneficios o ejecutar cierto código no ético.

Figura 1: Aplicaciones Shady

No es la primera vez que Apple ha eliminado algunas aplicaciones que son algún tipo de malware de la App Store. En el año 2015, Apple eliminó a VirusBarrier. La prohibición era algo de lo que Apple no hablaba, pero era una prohibición implícita. Ahora, Apple ha hecho pública la prohibición sobre este tipo de aplicaciones. Sin duda, interesante reflexión y ejecución por parte de Apple para intentar lograr tener más limpia la AppStore.

jueves, 21 de septiembre de 2017

La puesta en marcha de las nuevas generaciones: Apple renueva todo

Ayer comentábamos la esperada salida de iOS 11 y hoy hablaremos de todo lo demás. Apple no solo ha liberado a iOS 11, si no que ha liberado todo. Todo lo que hemos estado esperando en los últimos meses. Las betas que hemos ido viendo a lo largo de los meses en el Apple Watch, Apple TV, Mac, etcétera, ya son una realidad. Además, como cada nueva liberación de sistema operativo, éste viene acompañado de la necesidad de actualizar por fallos de seguridad conocidos y puestos en conocimiento a Apple.

Apple ha publicado actualizaciones de seguridad y boletines para 6 productos como son: XCode 9, tvOS 11, watchOS 4, Safari 11, iOS 11 e iTunes 12.7 para MacOS como Windows. A continuación vamos a ver la problemática real y el número de parches que se aplicaban en cada producto.
Figura 1: Actualización a iOS 11

Los detalles aún no publicados lo serán pronto, por lo que en poco tiempo se podrá consultar en el sitio web de Apple estos detalles. Respecto a macOS, tendremos que esperar. Apple lanzará macOS High Sierra 10.13, el próximo 25 de septiembre, y se espera que la compañía reúna todos los parches de seguridad con la versión principal de 10.13. Visto lo visto, los equipos de IT tienen un gran trabajo para tener todo actualizado y al día. No dejes para mañana lo que puedas hacer hoy.

miércoles, 20 de septiembre de 2017

iOS 11 liberado: Viendo el contenido de seguridad

Apple ha lanzado oficialmente iOS 11. Es la última generación del sistema operativo móvil de la empresa de Cupertino. Es una actualización importante en funcionalidades y varias características, incluyendo soluciones y parches de seguridad. Lo que ha llamado la atención han sido las actualizaciones de seguridad. Es una actualización obligatoria para los dispositivos, por lo que no dejemos para mañana lo que tenemos que hacer hoy. El boletín de seguridad de iOS 11 no es muy grande, y este hecho ha llamado la atención de muchos. 

A pesar de que el boletín no es grande, soluciona algunos problemas críticos en el sistema operativo. Apple no califica sus vulnerabilidades como otras, pero hay algunas vulnerabilidades que tienen un criticidad implícita en una mala configuración. A continuación vamos a comentar los diferentes fallos de seguridad resueltos en iOS 11:
  • Exchange ActiveSync. CVE-2017-7088. Un atacante con una posición privilegiada en la red podría eliminar dispositivos de la cuenta de Exchange.
  • Mail MessageUI. CVE-2017-7097. Se puede provocar denegación de servicio al procesar una imagen creada de forma maliciosa. 
  • iBooks. CVE-2017-2027. El parseo incorrecto de un fichero puede provocar la denegación de servicio de la aplicación.
  • Messages. CVE-2017-7118. El procesamiento de una imagen maliciosa podría provocar una denegación de servicio.
  • MobileBackup. CVE-2017-7133. Se puede realizar un backup sin cifrar, ya que el requisito no obliga. Esto se ha cambiado.
  • Safari. CVE-2017-7085. Visitar un sitio web malicioso cayendo en la técnica de Bar Spoofing.
  • WebKit. CVE-2017-7106 y CVE-2017-7089
Figura 1: Security Content de iOS 11

Sin duda tenemos razones para actualizar a iOS 11 y no solo por las nuevas funcionalidades como la grabadora de pantalla o el escáner incorporado. La seguridad del dispositivo también se verá mejorada, por lo que debemos actualizar lo antes posible, si no eres uno de los usuarios que ayer ya dio el paso hacia iOS 11.

martes, 19 de septiembre de 2017

Apple confirma que publicará un informe sobre el funcionamiento de Face ID

Durante los días posteriores a la presentación del iPhone X, Apple ha logrado llamar la atención de millones de personas gracias a su nueva funcionalidad de reconocimiento facial. Los fans de Apple han acogido Face ID como el futuro y el mejor modo de desbloquear el iPhone X. Algunos defensores de la privacidad han dicho que el concepto parece un poco distópico, pero otros, como el senador de Minnesota, Al Franken (quien preside un comité privado de senado) quiere respuestas sobre cómo funciona exactamente.

Apple proporcionó pocos detalles sobre el funcionamiento de su herramienta de reconocimiento facial durante la presentación de su nuevo buque insignia. La empresa californiana ha confirmado que planea revelar más información sobre la privacidad y la seguridad de Face ID antes de que el iPhone x salga a la venta el 3 de noviembre. El vicepresidente de software de Apple, Craig Federigui, dijo que Apple planea revelar un “WhitePaper” (informes detallados y técnicos sobre aspectos críticos de la seguridad) sobre Face ID durante los próximo días. En el informe se hablará de uno de los mayores fallos de Face ID que Apple está empeñado en solucionar. El fallo se basa en que Apple está construyendo una base de datos a base de su nueva funcionalidad.

No recopilamos datos de tu Face ID, se quedan en tu dispositivo, no los enviamos a la nubeesto es lo que ha contestado uno de los representantes la petición de Franken. "Nuestros equipos han estado desarrollando las tecnologías detrás del Face ID durante varios años y la privacidad de los usuarios ha sido nuestra prioridad desde el principio del proyecto” 

Figura 1: Utilizando Face ID

Face ID proporciona una autenticación segura gracias al sistema de la cámara TrueDepth y el chip biónico A11, el cual utiliza tecnologías avanzadas para encontrar coincidencias en la forma y geometría de la cara de un usuario. La información recopilada por Face ID nunca abandona los dispositivos, esta encriptada y protegida por un enclave de seguridad.

Hemos probado Face ID en gente de muchos países, culturas, razas y etnias, utilizando más de un billón de imágenes para entrenar y prevenir las estafas. Estamos confiados de que nuestros clientes estarán encantados de utilizar esta nueva característica y que la encontrarán como un modo natural de desbloquear su iPhone X. Os ofreceremos más detalles de Face ID según se acerque la  fecha de lanzamiento del iPhone X

lunes, 18 de septiembre de 2017

Posible Jailbreak de iOS 10.3.2

Hace unos días el equipo chino XigTeam ha presentado su nueva versión de jailbreak para iOS 10.3.2 corriendo en un iPhone 7. El equipo compartió esta revelación por Twitter acompañándola del siguiente texto “nos gustaría agradecer a nuestros patrocinadores y probadores el esfuerzo que han realizado”. En ese mismo tweet se mostraba una imagen de un iPhone 7 corriendo Cydia en su versión de iOS 10.3.2. Sin duda esto es una gran noticia para todos aquellos usuarios que deciden tener un control absoluto sobre su dispositivo y no limitarse al uso que Apple ofrece.

En las imágenes publicadas por el equipo han mostrado también que la app store china vendrá en el mismo paquete que la herramienta de jailbreak, una práctica comúnmente usada en las herramientas desarrolladas por hackers de origen chino. Los creadores de 5iGroup son los principales patrocinadores del jailbreak. Por el momento los detalles sobre la compatibilidad de este supuesto jailbreak son escasos, independientemente de la versión de iOS que manejes XigTeam está recomendando a sus seguidores en Twitter que mantengan sus terminales en la versión más baja de iOS que puedan, con el fin de poder disfrutar de las ventajas que este jailbreak ofrece. Según su cuenta de Twitter “todas las versiones de iOS 10 están soportadas”. A pesar de eso no queda muy claro si el jailbreak también funcionará con la reciente nueva versión de iOS 10.3.3 o si se limita hasta la versión de iOS 10.3.2, como se ha visto ya en algunas imágenes.

Figura 1: Jailbreak de XigTeam para iOS 10.

Aunque esta noticia sea interesante, os recordamos los riesgos de hacer jailbreak a vuestros iPhone y os recomendamos ser precavidos y que esperéis un tiempo hasta poder confirmar que esta versión es completamente segura y no dañara vuestros dispositivos. Tampoco podemos decir con certeza que se trate de un equipo de jailbreak legítimo que se dedique a ello, ya se han visto algunos casos de hackers que han asegurado tener una nueva versión de jailbreak y luego se han desvanecido justo antes de liberarla.

domingo, 17 de septiembre de 2017

Las ofertas de trabajo ocultas de Apple

Hoy en día, las oportunidades de encontrar trabajo son muy codiciadas, sin embargo nunca sabes dónde puede presentarse una, como en el caso de un joven estadounidense llamado Zack Whittaker. El joven encontró una página secreta de Apple en la que se ofertaba un trabajo por el simple hecho de haberla encontrado. La oferta se encontraba en una de las páginas accessible de los servidores ocultos de Apple hospedando los datos de millones de clientes de prácticamente toda la costa este. En la página se especificaba que cualidades estaban buscando en la persona que debería ocupar el puesto además de describir en qué consistiría el trabajo.

La oferta decía lo siguiente: “Hola! Nos has encontrado, estamos buscando a un ingeniero con talento para desarrollar una infraestructura critica que pueda convertirse en una parte clave de los ecosistemas de Apple”. Al ver la oferta el joven decidió publicarlo en Twitter y declinar la misma diciendo lo siguiente “Apple no me está buscando a mí, sino que busca alguien más inteligente y cualificado, con más experiencia en los negocios”.


Figura 1: Oferta de trabajo de Apple.

Tan pronto como Zack público en twitter una imagen de la página esta fue dada de baja dado el revuelo que causó entre muchos de los blogs que abordan temas de actualidad sobre Apple. Zack también contó en un artículo como logro acceder a esa página. “estaba utilizando Burp Suite, un analizador de tráfico, para interceptar datos entre algunas aplicaciones de iPhone para comprobar que información personal se envía a través de los anuncios”. Siguiendo el rastro de los datos logro acceder a uno de los servidores (blobstore) utilizados por la compañía para almacenar datos sobre sus clientes, concretamente fotos y videos relacionados con iCloud, tras hacerlo llegó a la pagina anteriormente mencionada. Este es sin duda un interesante método para encontrar trabajadores cualificados para algunos puestos sin tener que realizar una selección tras hacer una serie de entrevistas.¿ tendrá Apple mas ofertas de este tipo escondidas por la red?.

sábado, 16 de septiembre de 2017

Nueva oleada de estafas con usuarios de Apple como objetivo

A pesar de que la mayoría de ataques vayan dirigidos a sistemas Windows y Android los usuarios de Apple no deben bajar la guardia. No es la primera vez que desde Seguridad Apple os avisamos de lo peligrosas que son algunas de estas estafas. Las estafas de Phishing tratan de convencer y engañar al usuario para que este facilite sus datos y contraseñas a través de una dirección de correo o una página web engañosa. En este caso alguien supuestamente del servicio de soporte de Apple contacta contigo (normalmente vía e-mail) para avisarte de que tu Apple ID ha sido hackeada. Estos estafadores hacen creer a las víctimas que pueden tener serias consecuencias si no arreglan el problema de inmediato.

La principal pista para ver que un mensaje de este tipo no proviene de Apple es fijarse en la información que te piden, si se te pregunta por usuario, contraseña, número de la tarjeta de crédito, número de la seguridad social o alguna otra información personal ignóralo ya que son datos que Apple nunca solicita. Al facilitar estos datos a los estafadores ellos pueden acceder fácilmente a la información que tengas guardada en los servidores de Apple (desde e-mails hasta compras en iTunes). Estos ataques pueden derivar en un robo de identidad o de otras cuentas, ya que muchas personas utilizan las mismas contraseñas para todo. La mejor manera de prevenir una estafa de este tipo es conocer como funcionan, a continuación os daremos una serie de consejos para no caer en este tipo de trampas.

Figura 1: Correo que suplanta a Apple.

La mejor forma para detectar un fraude, como ya hemos mencionado antes, es fijarse en si los correos o mensajes nos piden introducir información personal o bancaria, ya que Apple nunca solicita este tipo de información.

Recibir una llamada, mensaje o e-mail sin razón alguna es síntoma de que algo no va bien. Apple envía e-mails a sus usuarios únicamente cuando introducen sus credenciales en un nuevo dispositivo y los agentes de soporte de Apple no contactarán contigo a no ser que sea para responderte una consulta que hayas efectuado previamente.

Si recibes un mensaje cuyo origen parece extraño o que te avise de las consecuencias perjudiciales que pueda tener no hacer algo de inmediato (como entrar en un link o cambiar tu contraseña) no le hagas caso.

Por último, es importante notificar a Apple cuando sospechemos que están intentando estafarnos, esto lo podremos hacer desde su página oficial, al igual que cualquier otra gestión de nuestra cuenta, desde cambiar la contraseña hasta activar un segundo factor de autenticación, algo que es muy recomendable y que puede paliar los daños causados por un robo de credenciales.

viernes, 15 de septiembre de 2017

El impacto que causará el nuevo Apple Homepod

Desde hace unos años Apple tiene la indomable necesidad de ser siempre el primero en todo, desde desarrollar productos hasta ser el primero en adaptarse, versionar y mejorar algunos de los nuevos productos que lanzan otras compañías. Por esa razón no nos sorprendió que diese el salto al sector de los "Smart Homes" . Desafortunadamente, la mayoría de los Smart products de la compañía de la manzana no han llegado al  mercado en el mejor momento posible y cada uno se ha enfocado a tareas muy concretas.

¿Qué puede haber hecho mal Apple? Bien, Apple ha lanzado su Homekit sin un dispositivo de organización central y buscando únicamente la exclusividad. Si otras marcas tratan de fabricar dispositivos compatibles con Homekit necesitaran el coprocesador MFi de Apple. Esto se traduce en un aislamiento mientras que otras marcas tratan de encontrar nuevas formas de trabajar juntas. Ahora, dos años después de su lanzamiento, Apple parece haber captado la idea y ha decidido hacer algunos cambios que favorezcan a la compatibilidad entre dispositivos.

Figura 1: radio de alcance del microfono de Homepod.

Actualmente sabemos poco de Homepod y de lo que es capaz de hacer a un nivel técnico, dentro de unos meses (en diciembre) Apple sacará su nueva versión, la cual se espera que sea más pequeña y con más funciones consiguiendo así hacerles sombra a todos sus competidores en el mercado. Apple deberá centrarse en varios factores clave para causar un impacto en el mundo de la inteligencia artificial en los hogares, comenzando por el precio, se espera que el nuevo Homepod salga al mercado por 349$, pero según algunos rumores la empresa podría bajar su precio para atraer a más consumidores y luchar contra la competencia.

Durante los últimos años Apple ha ido retrasado en el mundo de los hogares inteligentes, lo que hace que centrarse en la producción de móviles y tablets parezca la mejor opción, no obstante Apple apuesta por la innovación y la exclusividad, una de las razones por las que los usuarios están dispuestos a gastar más dinero en sus productos.

jueves, 14 de septiembre de 2017

XNSPY: Un Spyware para iOS nuevo en la ciudad

Cuando hablamos de iPhone o iPad, muchos lo asocian a “Seguridad” y a un mundo sin malware. Para muchos desde hace unos años los terminales de Apple encabezan el mercado en lo que a seguridad se refiere. Actualmente es muy difícil espiar un iPhone si este no está jailbreakeado, pero los tiempos cambian y los hacks con ellos. En el día de hoy os haremos una pequeña muestra de iPhone Spyware App XNSPY, un spyware con el que pueden espiar dispositivos iOS y Android independientemente de si estos han sido rooteados previamente o no.
 
Según las pruebas realizadas, esta herramienta es capaz de espiar dispositivos con jailbreak desde la versión 6 hasta la 9.0.2 de iOS, y sin jailbreak desde la 6 hasta la 10.3.3. Adquirir e instalar la aplicación es un proceso sencillo, dispondremos de dos opciones, la herramienta para dispositivos con jailbreak y la herramienta para dispositivos “de serie”. Una vez seleccionada la que más se adapte a nuestras necesidades, solo tendremos que seguir los pasos marcados en el tutorial que podemos encontrar en su página web.

Figura 1: Iniciando XNSPY

La principal prestación de esta aplicación es el sigilo, una vez un atacante tiene XNSPY instalado no hay signo visible de su existencia. El spyware se instala sin dejar rastro, es decir en modo oculto, no aparece en la página de aplicaciones del dispositivo. Cuando hablamos de dispositivos sin jailbreak, el hecho de monitorear la posición de alguien es especialmente difícil. Esta aplicación ofrece un sistema capaz de monitorear a las personas con iPhone o iPad, de hecho te ofrece la posibilidad de ver el trayecto realizado por la víctima. XNSPY también permite crear zonas restringidas en las que al entrar el teléfono de la víctima nos llegará un aviso, una funcionalidad cuanto menos curiosa. Aunque otros spyware ofrecen esta opción lo que hace que XNSPY sea diferente es la posibilidad de guardar una o varias listas de observación que contengan nombres clave o ubicaciones relevantes.

Figura 2: Menú principal de XNSPY.

Otra característica importante que utilizan los delincuentes a la hora de espiar a alguien es poder acceder a sus perfiles en las redes sociales, con esta aplicación podrás monitorear los mensajes de aplicaciones como Facebook, Tinder, Whatsapp, Instagram y muchas más. Por si no fuese suficiente también te dará acceso a los mensajes de texto y los chats de iMessagge. Como cualquier otra aplicación espía, XNSPY también ofrece la posibilidad de grabar llamadas, con esta función se puede escuchar las conversaciones del objetivo además de localizar el origen de la llamada e identificar con que persona de su lista de contactos habla. Siempre y cuando el dispositivo en el que se instala  XNSPY no esté realizando una llamada se puede activar su micrófono y enterarnos de todo lo que sucede a su alrededor.

Hay que estar precabido y conocer este tipo de herramientas para poder detectarlas. Conocerlas es el principio para protegerse, por lo que hay que entender que el malware en iOS existe y como se puede ver en este artículo está al alacance de cualquiera.

miércoles, 13 de septiembre de 2017

Security Innovation Day 2017_ Security Rocks

En el año 2013 hicimos nuestro primer Security Innovation Day. Hoy queremos hablaros de nuestra quinta edición de este evento tan nuestro y que llevamos en nuestro ADN. Las organizaciones actuales conviven en un entorno de dificultades continuas, siendo los ataques cibernéticos una de las principales razones. Éstas llegan a sustraer y divulgar información confidencial, provocando grandes daños tantos en las infraestructuras como en la reputación de las mismas.

El lema de este año es Security Rocks y puedes encontrar todo el detalle en el sitio web que hemos preparado. El día elegido es el jueves 5 de Octubre de 2017, dónde daremos a conocer toda la innovación en la que hemos estado trabajando durante los últimos meses. Puedes registrarte para asistir al evento en enlace de la web. Tendremos con nosotros al gran Mikko Hypponen, CRO de F-Secure.

Figura 1: Security Innovation Day 2017

Para conocer a todos los ponentes del #SID2017 accede aquí. Comparte una tarde con nosotros cargada de ciberseguridad, innovación, invitados estrella y ¡algo de rock! La web de registro ya esta disponible y el aforo es limitado, ¡reserva tu plaza hoy mismo!

martes, 12 de septiembre de 2017

La filtración y el ataque a Equifax puede afectar a los compradores del nuevo iPhone 8

Más de 143 millones de americanos estaban registrados en las bases de datos de la empresa Equifax, la cual se encarga de ofrecer información sobre créditos bancarios. Entre mayo y julio de este año la empresa fue atacada y gran cantidad de dicha información sensible ha sido expuesta en Internet. Este es quizás la mayor filtración de datos personales en la historia reciente pero ¿por qué afectará a los compradores del nuevo iPhone 8?.

La fuga de datos es realmente crítica, datos como nombres y apellidos, número de licencia de conducir, número de la Seguridad Social (la información más sensible de todas) o números de identificación para la recaudación de impuestos son sólo algunos de ellos. Pero los datos robados no se quedan aquí, más de 200.000 personas tenían sus números de tarjeta de crédito también almacenados en Equifax así como documentación muy sensible como disputas, reclamaciones, recibos, etc, las cuales algunas incluso han sido borradas de los servidores.

El FBI sigue investigando el ataque (aún no se sabe quién ha sido el responsable) y se ha puesto a disposición de los usuarios una URL para comprobar si tus datos han sido afectados por el ataque. Para comprobarlo, hay que introducir los últimos seis dígitos del número de la Seguridad Social en la siguiente URLequifaxsecurity2017.com

Figura 1. Posible aspecto del nuevo iPhone 8. Fuente.

Equifax ofrece una puntuación de crédito y uno de sus mayores clientes es (o era) Citizens Bank, el cual es el principal socio de Apple para ofrecer líneas de créditos a los compradores. Cualquiera que quisiera comprar un nuevo iPhone 8 por ejemplo, Apple comprobaba su solvencia de crédito con Citizens Bank el cual obtenía a su vez la información desde Equifax. La compra a través de crédito es la más común en EEUU a la hora de adquirir productos Apple

El impacto del ataque podría afectar a las ventas del nuevo iPhone 8, el cual está a punto de salir al mercado. Las puntuaciones dadas por Equifax pueden ya no ser válidas o estar alteradas después del ataque, por lo que es posible que se busquen otras vías alternativas para comprobar la solvencia de los compradores lo cual podría afectar directamente a los clientes que quisieran utilizar un crédito para comprar el nuevo iPhone 8.

lunes, 11 de septiembre de 2017

Code Talks for Devs: Nueva serie de webinars sobre programación para desarrolladores

El próximo miércoles 13 de Septiembre comienza una nueva serie de talks de ElevenPaths. as sesiones serán quincenales, los miércoles, y comenzarán a las 15.30h (CET). Los talks serán en castellano y se presentarán en el canal de YouTube de ElevenPaths. Además, podrás comunicarte y exponer tus dudas y sugerencias a través de la comunidad de ElevenPaths. El material del código utilizado y de las charlas estarán disponibles en el Github de ElevenPaths y en el canal de YouTube respectivamente.

Tenemos una web sobre los Code Talks for Devs en la que puedes encontrar toda la información sobre todas las sesiones y ponentes que tendremos. Los talks son gratuitos. No te pierdas la oportunidad de profundizar sobre lenguajes de programación, código, integraciones técnicas, APIS y mucho más.


A continuación, os dejamos el listado por fechas de los webinars y el tema que será expuesto:
  • 13 de septiembre de 2017. Di adiós al ‘polling’ en Latch con los nuevos Webhooks por Javier Espinosa. 
  • 27 de septiembre de 2017. SDK de Go para Latch por Fran Ramírez y Rafael Troncoso. 
  • 11 de octubre de 2017. Implementación de Data Exfiltration con Latch’sApp por Álvaro Nuñez-Romero y Pablo González. 
  • 25 de octubre de 2017. DirtyTooth: Instalación en tu Raspberry con un paquete DEB por Álvaro Nuñez-Romero y Pablo González. 
  • 8 de noviembre de 2017. Latch Cloud TOTP en NodeJS y .NET por Carlos del Prado y Ioseba Palop. 22 de noviembre de 2017. MicroLatch: Construyendo Latch en la palma de tu mano por Álvaro Nuñez-Romero. 
  • 13 de diciembre de 2017. Detección de anomalías en el tráfico de red utilizando Machine Learning por Carmen Torrano. 
  • 27 de diciembre de 2017. Proteger tu OpenWRT integrando Latch a distintos niveles por Javier Alcaraz. 
  • 10 de enero de 2018. Limited Secrets. Distribuye tu secreto Latch sin riesgo por Javier Espinosa. 
¿Quieres enterarte de todo antes que nadie? No te lo pierdas, ¡suscríbete al blog de ElevenPaths y pregunta en nuestra comunidad! Os esperamos para que nuestros expertos os enseñen las temáticas más geeks en el mundo de la programación. Recuerda que tienes una cita el próximo 13 de septiembre a las 15.30h (CET).

domingo, 10 de septiembre de 2017

Fue noticia en seguridad Apple: del 28 de agosto al 9 de septiembre

Ya es septiembre y desde Seguridad Apple nos disponemos a traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 28 iniciando un análisis sobre el código que se encuentra en las tarjetas de regalo de Apple y de cómo funciona el sistema de reconocimiento y validación que permite su utilización.

El martes día 29 os presentamos Blink Shell, una herramienta que te permitirá tener un emulador de terminal capaz de soportar SSH y Mosh en tu iPhone y que podría ser el sustituto de Panic´s Prompt 2.

El miércoles 30 acabamos con nuestro análisis sobre los códigos de las tarjetas de regalo de Apple
contándoos como su diseño y tipografía hace que sean legibles por la cámara de nuestros terminales. 

El jueves 31 os contamos cómo funcionará la nueva característica de emergencia Emergency SOS y como añadir contactos a los que avisar en caso de emergencia.

El viernes 1 os enseñamos una funcionalidad oculta de Instagram para iOS que permite crear borradores para publicarlos posteriormente con un solo toque.

El sábado 2 comenzamos con una serie de dos artículos en la que resumimos brevemente la evolución de las características de seguridad de Mac OS X y MacOS.

El domingo finalizamos con la serie de artículos que resumen la evolución de las características de seguridad de Mac OSX y MacOS.

El lunes 4 os hablamos de la filtración de un documento interno de Apple en el que se explican las pautas a seguir al revisar un terminal a la hora de determinar si su reparación entrará en la garantía.

El martes 5 os informamos de la llegada de iOS 11 beta 9, la cual ha sido una actualización menor para parchear errores pero ha levantado expectación por la inminente llegada de iOS 11.

El miércoles 6 os contamos cómo funcionará la nueva herramienta de escaneo de documentos que será implementada en iOS 11.

El jueves 7 comenzamos con una serie de artículos en la que explicamos por qué Secure Kernel Extension Loading (la nueva característica de seguridad de High Sierra) esta rota.

El viernes 8 os acabamos de contar porque Secure Kernel Extension Loading esta rota y como la gente de Objective-See ya ha logrado hacerla un Bypass.

Finalmente, el sábado hablamos de lo que puede traer el nuevo iPhone 8 y es que podría silenciar las notificaciones solamente con mirar la pantalla, gracias al reconocimiento facial que se presupone tendrá la nueva generación de iPhone. Sin duda una lectura interesante.

Esto es todo por hoy, recordaros que como cada dos semanas estaremos en el Seguridad Apple para mostraros todo lo que ocurre en el apasionante mundo de la manzana mordida. Os esperamos en dos semanas.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares