Menú principal

jueves, 30 de noviembre de 2017

Cómo añadir dinero a tu cuenta de Apple Pay y como controlar el balance de tu cuenta

Desde hace un tiempo los Smartphones nos permiten acceder a nuestras cuentas bancarias y realizar nuestras transacciones habituales desde ellos. En algunos casos por medio de la tecnología NFC podemos realizar pagos y utilizar una cartera digital, como es el caso de Apple Pay. Tras configurar Apple Pay en un iPhone lo más común es añadir dinero a tu cuenta, pero algunas veces esto resulta complicado para algunos usuarios. En este artículo os enseñaremos a añadir dinero a Apple Pay y a acceder al balance de vuestra cuenta de la forma más sencilla.

Antes de empezar asegúrate de tener 10 euros en la tarjeta de crédito o débito que vayas a usar para recargar tu cuenta de Apple Pay. A continuación solo tendrás que seguir los siguientes pasos:
  1. Lanza la aplicación Wallet en tu iPhone  y pulsa sobre la tarjeta de crédito de Apple Pay.             
  2. Si estas utilizando un iPad lanza la aplicación de ajustes y pulsa sobre "Wallet & Apple Pay", a continuación pulsa sobre tu tarjeta de Apple Pay.                                                                             
  3. El siguiente paso es pulsar en la ventana de información.                                                                                                                                                                      
  4. Pulsa el botón que dice “añadir dinero”.                                                                                                
  5. Introduce la cantidad que desees recargar (recuerda que la recarga debe ser al menos de 10 euros).                                                                                                                                               
  6. Pulsa en añadir y confirma la tarjeta bancaria que quieres utilizar para realizar la recarga.                    
  7. Autentícate con Touch ID o Face ID, acto seguido, tu nuevo balance aparecerá en el lado superior derecho de la pantalla.
Figura 1: Apple Pay en iPhone y Apple Watch.

Es muy sencillo comprobar el balance de tu tarjeta de Apple Pay. Lo único que tienes que hacer es lanzar la aplicación "Wallet" y pulsar sobre tu tarjeta. En iPad podrás acceder al balance desde la aplicación de ajustes en el apartado “Cartera y Apple Pay”. Si estas utilizando un Apple watch para comprobarlo será incluso más sencillo, pulsa el botón dos veces seguidas y desliza el dedo sobre la pantalla hasta acceder a tu tarjeta de Apple Pay, si pulsas sobre ella podrás ver el balance.

miércoles, 29 de noviembre de 2017

Un gran error de Apple permite conseguir root con una clave vacía

Es la noticia de la semana, posiblemente del mes y puede que del año. Un grave error de Apple permite a cualquier usuario lograr el acceso al sistema o desbloquear opciones sensibles del sistema sin conocer la contraseña de root, simplemente indicando una clave vacía y fallando un par de veces. Todo comenzó con un tuit de un desarrollador, Lemi Orhan, que alertaba de la situación anómala que había descubierto. El revuelo en twitter ha sido enorme, dónde muchos usuarios indicaban qué versión tenían y si les funcionaba o no funcionaba el trick.

Vía twitter, hubo usuarios que indicaron que si el root disponía de contraseña el fallo no funcionaba, por lo que una posible y rápida solución era ponerle una contraseña al usuario root, por ejemplo con la ejecución del comando passwd root. El fallo afecta a los sistemas de Apple, incluida la versión 10.13.1.

Figura 1: Root en blanco para entrar o desbloquear opciones del sistema

Tras probar el trick nos ha parecido increíble, pero de fácil solución. Es cierto que afecta a un gran número de máquinas, pero nada que no se pueda solventar con la solución indicada anteriormente o con una actualización por parte de Apple que haga que el sistema detecte cuando una cuenta como la de root está deshabilitada por tener una contraseña vacía o no asignada. Dicho esto, estaremos atentos, pero, sin lugar a la duda, es una de las noticias del mes en el mundo Apple.

martes, 28 de noviembre de 2017

#CodeTalks4Devs Construyendo Latch en la palma de tu mano

El próximo 29 de noviembre nuestro compañero Álvaro Nuñez-Romero nos hablará, en un nuevo Code Talk for Devs, sobre la implementación y uso de MicroLatch y cómo se puede puede llevar a cabo. Ya hablamos de MicroLatch en el blog de Chema Alonso y de las posibilidades que esto abría. En el webinar se detallarán los pasos y el código utilizado para llevar a cabo esta implementación. Además, se mostrarán ejemplos de uso y cómo hacer la implementación de forma sencilla.

MicroLatch es una manera de poner Latch al mundo físico. Se trata de un chip con Wi-Fi muy habitual en dispositivos IoT actuales y siguiendo la filosofía “Do It Yourself”, con lo que es posible aplicar Latch al mundo real de manera sencilla con este pequeño microcontrolador. El microcontrolador en cuestión es el ESP8266-01, que debido a sus características ha llamado mucho la atención y se ha creado un firmware específico, NODEMCU, para poder programar este chip con el lenguaje Lua. De esta manera es muy sencillo crear un proyecto con conectividad a internet y con pocas lineas de código. En el caso de MicroLatch, se puede aplicar Latch a cualquier proyecto DIY para tener un poco más de seguridad en nuestros desarrollos de hardware y software.sistema convencional de autenticación de usuarios (email + contraseña) y cuenta con un perfil de configuración de usuario.

Figura 1: ElevenPaths Code Talks for Devs

Si quieres saber más sobre la implementación de MicroLatch te esperamos el próximo miércoles 29 de noviembre a las 15:30h (CET) en nuestro canal de YouTube y también en nuestra comunidad, donde nuestros expertos estarán disponibles para responder cualquier tipo de duda respecto al webinar ¡Te esperamos!

lunes, 27 de noviembre de 2017

Un Rogue AV que suplantaba a Symantec e infectaba a los equipos Mac

Por el mes de marzo hablamos en Seguridad Apple sobre Proton, un malware que tenía un precio en la dark web en bitcoins de unos 40 BTC en dicho momento. Este malware ha aparecido el pasado mes infectando a diferentes usuarios de Mac, los cuales habían descargado Elmedia Player. El 20 de noviembre, investigadores de Malwarebytes Lab descubrieron que los atacantes utilizaban un falso sitio web de Symantec para propagar el malware Proton a usuarios de macOS. En el sitio, los delincuentes publicaban un "análisis" sobre la existencia de una amenaza llamada CoinThief

Este falso análisis continuaba explicando cómo se descubrió CoinThief en 2014 y cómo los usuarios podían protegerse de dicha amenaza instalando "Symantec Malware Detector", un programa que realmente no existe. En realidad, el archivo de descarga es el malware Proton, creado para el robo de datos. Según uno de los investigadores, el sitio web es una buena imitación del blog real de Symantec, incluso duplican el mismo contenido. Además, los atacantes crearon también perfiles de Twitter falsos para difundir el sitio web fraudulento en redes sociales. Por último, y quizá más potente de esta suplantación es que el sitio utilizaba un certificado SSL emitido por la empresa de seguridad Comodo y no por Symantec

Figura 1: Symantec Malware Detector

Los usuarios que instalaron el archivo en sus Mac pueden estar bajo amenaza ya que el malware Proton puede tener privilegios de acceso como root y permitir que un atacante obtenga el control completo de un dispositivo específico. También ejecuta comandos de consola en tiempo real y administrador de archivos, registro de teclas, conectvidiad SSH y VNC, capturas de pantalla, etcétera. Apple ya es consciente del problema, ha revocado el certificado utilizado para firmar el malware. Esto evitará que Symantec Malware Detector infecte aún más a los usuarios.

domingo, 26 de noviembre de 2017

Trucos y consejos para fortificar la seguridad en tu iPhone

Los Smartphones de Apple son de los más seguros en el mercado, pero muchas veces la seguridad no depende solo del sistema operativo o del dispositivo en sí. Por desgracia el punto más débil de nuestros Smartphones somos nosotros, en la mayoría de los casos podremos prevenir un ataque teniendo un poco de cuidado. Algunos de los malos hábitos más comunes a la hora de manejar nuestro teléfono son pinchar en enlaces que nos envía gente que no conocemos, instalar software de desconocidos, utilizar la misa contraseña en todas nuestras cuentas, no disponer de two-step verification en nuestras cuentas o simplemente conectarnos a una red wifi publica.

Para paliar los posibles daños y ayudarnos a mejorar la seguridad en nuestros dispositivos, Apple pone a nuestra disposición una gran cantidad de herramientas que si sabemos cómo usarlas hará que nuestro iPhone sea mucho más seguro, a continuación os daremos una serie de consejos o trucos para fortalecer la seguridad de vuestros terminales:
  • Disponer de una buena contraseña: las contraseñas son el punto más importante de la seguridad en tu dispositivo, es recomendable utilizar una contraseña alfanumérica ya que es más segura y será requerida cuando fallen los sensores biométricos.                                                                       
  • Antirrobo de Face ID y Touch ID: estos dos controles biométricos están en nuestros dispositivos para hacer que desbloquearlos sea más rápido y fácil, por eso mismo también cuentan con un mecanismo antirrobo que los desactivará pulsando una serie de botones cuando el teléfono esté bloqueado.                                                                                                                      
  • Utilizar un segundo Factor de Autenticación: hoy en día los segundos factores de autenticación son vitales para proteger nuestras cuentas ya que será necesario introducir un token de 6 dígitos además de contraseña para acceder a tu cuenta.                                                                                
  • Auto bloqueo: a veces puede resultar tedioso que el móvil se bloquee tras 30 segundos de inactividad, pero esto minimiza las posibilidades de que alguien acceda a tu dispositivo.
Figura 1: Configuración de autoborrado en iPhone
  • Configurar un borrado de datos: desde hace un tiempo Apple ofrece a sus usuarios la posibilidad de borrar sus datos si alguien introduce mal la contraseña 10 veces seguidas, puede parecer una locura, pero si haces backups regularmente no debería suponerte ningún problema.   
  • Find My iPhone: es una función que te permite permitirá localizar tu iPhone en caso de pérdida o robo, también podrás eliminar tus archivos remotamente.                                                                  
  • Protección de tu localización: por defecto los dispositivos Apple obtienen información de donde te encuentras, esto puede ser útil a veces pero hay algunas aplicaciones que no necesitan permisos para obtener tu localización aunque los soliciten.                                                                   
  • Control de pago: si puedes realizar pagos desde tu dispositivo y no tienes configurada la opción de que te solicite autorización cualquiera podría hacer compras desde tu móvil.                                   
  • Quien está leyendo: la app de mensajes permite configurar un auto borrado de los mensajes con mayor antigüedad a 30 días, esto puede ser muy útil si pierdes el móvil y alguien logra desbloquearlo. 
Figura 2: Mensajes en la pantalla de bloqueo de iPhone
  • Bloqueo de pantalla: es común que los iPhone muestren los mensajes en la pantalla de bloqueo, esto puede ser útil, pero cualquier persona cercana podrá leer tus mensajes.                                        
  • Controla los anuncios: hace un tiempo Apple implemento Ad Tracking, una herramienta que te permite bloquear los anuncios ya que algunos pueden ser maliciosos y conducirnos a páginas fraudulentas.                                                                                                                                       
  • Utiliza una VPN: Todo tu tráfico de internet se realiza a través de servidores que pueden ser monitoreados, para mejorar la seguridad en tu navegación puedes utilizar una VPN que encripte tu actividad en la red para estar más seguro.                                                                                
  • Reciclado: si quieres reciclar tu teléfono o dárselo a alguien cuando no lo vayas a usar más asegúrate de haber borrado todos tus datos y contenido de él, no es raro que al comprar un iPhone de segunda mano no pare de solicitarnos la contraseña de Apple ID del anterior propietario.
Nos volvemos a ver mañana Lunes desde Seguridad Apple con toda la actualidad del mundo de la manzana.

sábado, 25 de noviembre de 2017

Cuando los Mac llevaban una tarjeta que emulaba un PC completo

Ya hemos hablado varias veces de la convulsa época de Apple durante los años 90, cuando Steve Jobs aún no había vuelto a la compañía. La prioridad máxima era convertirse en el ordenador más popular pero tenían en frente a la todopoderosa IBM con los sistemas operativos MS-DOS y Windows de Microsoft. Con la salida del sistema operativo System 7, Apple empezó una carrera frenética de varios años para poder ejecutar aplicaciones de Windows y MS-DOS en sus Mac.

Empresas como SoftPC permitían la emulación por software de programas MS-DOS y Windows 3.1, mientras otras como Connectix Virtual PC (hoy Microsoft Virtual PC) intentaron emularlos al completo, utilizando las primeras versiones de máquinas virtuales. Ambas soluciones eran aceptables pero los requerimientos (como memoria, disco duro, etc.) del Mac para poder ejecutar las emulaciones de forma decente eran realmente altos. 


Vídeo. Tarjeta Apple DOS ejecutándose en un PowerPC 6100/66


Es justo en este punto donde aparece una solución: la emulación por hardware. Este método era literalmente conectar una placa PC a un puerto de expansión del Mac (PDS). AST fue la primera empresa en crear una de estas tarjetas para Mac, en concreto para los modelos Mac SE y Mac II en 1987. Este modelo fue realmente una revolución, ya que permitía instalar una tarjeta con un microprocesador Intel 8086 en el modelo Mac86 y más adelante, el modelo Mac286. Esta incluía un microprocesador más potente, el 80286 (con incluso la opción de instalarle su propio co-procesador matemático). Podías tener un dos por uno, un Mac y PC en la misma caja.


Figura 1. Tarjeta Mac286. Fuente

Apple se dio cuenta de la importancia de este negocio, así que la primera tarjeta de compatibilidad DOS para el Mac creada por la empresa de Cupertino se anunció en el Comdex de 1993 pero salió al mercado en 1994. Era compatible con los modelos Centris 610 y Quadra 610, llevando como CPU un Intel 80486SX a 25MHz, como sistema operativo MS-DOS 6 y no tenía tarjeta de sonido. El precio de esta tarjeta era de unos 399$ de la época. Estas tarjetas aprovechaban la fuente de alimentación del Mac, el ratón, teclado, la pantalla, disco duro e incluso la memoria RAM en algunos casos, pero ejecutaban de forma totalmente independiente en su propio hardware el sistema operativo. Esto permitía tener en ejecución en una ventana un programa de Mac y en la otra un programa de MS-DOS o incluso Windows.

La operación inversa, como es de imaginar, no era posible. Apple no permitía que terceras empresas crearan hardware para poder emular un Mac dentro de un PC. Pero poco a poco, debido a la potencia de los nuevos microprocesadores y el aumento de memoria (tanto RAM como disco duro) provocó la desaparición de este tipo de hardware. También influyó el cambio de PowerPC a Intel, lo cual hizo más fácil la emulación y la compatibilidad por software tal y como la conocemos hoy día.

viernes, 24 de noviembre de 2017

Nueva oleada de Scams a victimas de robo de iPhone ¡No te dejes engañar!

Cuando nos roban o perdemos nuestro teléfono móvil tendemos a bloquearlo remotamente y tratar de localizarlo, en el caso de los iPhone es común recurrir a la función Find my iPhone para hacer esto. Hoy en día los ataques phishing son algo habitual y mucha gente desconoce que también pueden ser utilizados para obtener el Apple ID de las víctimas y desbloquear sus dispositivos cuando estos han sido robados. La llegada del iPhone X y su alto precio ha convertido al nuevo terminal de Apple en el objetivo de muchos delincuentes. Según los expertos de Trend Micro el robo de iPhones ha pasado de ser la sustracción de un objeto físico a convertirse también en un robo de identidad.

La firma ha encontrado varias herramientas utilizadas por los delincuentes para desbloquear dispositivos Apple, algunos de estos softwares son AppleKit, MagicApp o incluso una versión modificada de Find My iPhone API, todos ellos combinados con otros servicios y kits de phishing. Incluso cuando nuestro dispositivo ha sido robado, los ladrones pueden adquirir tus credenciales (esto suele suceder poco después de haber activado Find my iPhone). Las victimas reciben un mensaje avisando de que su terminal ha sido localizado y les facilita un enlace a una página de apariencia legítima que solicita tus credenciales para proporcionarte la ubicación de tu terminal. Si la victima cae en la estafa los ladrones obtendrán sus credenciales y solo tendrán que entrar en su cuenta de iCloud, borrar todo el contenido del dispositivo y reestablecer los valores de fábrica para su posterior reventa.

Figura 1: Esquema de un ataque Phishing

También hay servicios a disposición de los ladrones que sirven para desbloquear los terminales robados, uno de estos es MagicApp, el cual automatiza el proceso explicado en el anterior párrafo. Hoy en día la única forma de comprobar si un dispositivo comprado de segunda mano es robado es a través de su código IMEI, el código IMEI es un identificador único a nivel mundial y sirve para bloquear nuestro terminal en caso de sustracción o pérdida. Este código se puede encontrar en una pegatina debajo de la batería del dispositivo, marcando *#06# o consultando el apartado de información del sistema  en los ajustes del terminal.

jueves, 23 de noviembre de 2017

Apple elimina Skype de la AppStore en China

Apple ha retirado la aplicación de Skype de la tienda de aplicaciones en China, tras una solicitud del Ministerio de Seguridad Pública de dicho país. Apple ha confirmado la acción al NY Times. Según informa el propio Apple, el Ministerio de Seguridad Pública ha notificado que varias aplicaciones de protocolo de voz por Internet no cumplen con las leyes locales, por lo que la empresa de Cupertino ha decidido aceptar la petición del gobierno Chino y ha eliminado la aplicación de la tienda en el país. Esto fue comentado el pasado martes, en un comunicado enviado por Apple

Por el momento, Skype continúa operando en el país, pero el documento indica que no está claro cuanto tiempo seguirá siendo así. El gobierno utiliza el llamado 'Gran Cortafuegos de China' para bloquear el acceso a ambos sitios web y a una serie de servicios de mensajería, incluido Gmail, Facebook, WhatsApp, Telegram o Twitter. Se cree que el gobierno bloquea las aplicaciones que utilizan el cifrado extremo a extremo, así como los servicios que no cumplen con las reglas del gobierno para identificar cuentas con los nombres completos de los usuarios. El gobierno chino también es hostil con las aplicaciones de mensajería extranjeras. 

Figura 1: iTunes muestra que el item no está disponible en China

Microsoft, propietaria de Skype, dijo que la aplicación fue eliminada temporalmente de la tienda de Apple y que la compañía estaba trabajando para restablecer la aplicación lo antes posible. El verano pasado Apple anunció que estaba abriendo un nuevo centro de datos en China para cumplir con las nuevas leyes que requieren las empresas extranjeras, para que los datos queden dentro del país. Para ello Apple se asocio con varias empresas locales, ¿Realizará la misma maniobra Microsoft?

miércoles, 22 de noviembre de 2017

ElevenPaths Talks: Seguridad en sistemas de telefonía móvil

El próximo 23 de noviembre de 2017, tenemos un nuevo ElevenPaths Talks, la serie dónde nuestros expertos hablan de seguridad y de temas de actualidad. Nos toca hablar, en esta ocasión, sobre la seguridad en sistemas de telefonía móvil. Este talk será impartido por nuestros compañeros Rames Sarwat y Claudio Caracciolo. Sin duda es un talk que ayudará a entender mejor la seguridad en el día a día de la telefonía móvil.

Teléfonos pinchados, duplicación de la SIM, modificación del IMEI, estaciones de base falsas, intercepción de señales, metadatos telefónicos y bloqueadores de señales son seguramente conceptos que rápidamente recaen en la cabeza de cualquiera de nosotros cuando alguien nos pregunta sobre la seguridad en la telefonía móvil… sin embargo, ¿realmente sabemos cómo funciona?

Figura 1: ElevenPaths Talks
 
La sesión comenzará a las 15.30, hora española. El talk dura unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y 10 minutos sobre consejos y herramientas. Se publicarán en nuestro canal de Youtube. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

martes, 21 de noviembre de 2017

El tiroteo en una iglesia de Texas vuelve a abrir el debate sobre la privacidad entre Apple y el FBI

Hace dos semanas, 26 personas fueron asesinadas por un tirador en la Primera Iglesia Bautista de Sutherland Springs, Texas. En la escena se encontraron dos teléfonos, un antiguo LG y un iPhone SE. Recientemente las autoridades locales han presentado a Apple una orden de registro para que les dejen acceder a los datos del Smartphone, esto reabre el debate sobre la privacidad que hubo entre Apple y el FBI sobre un tiroteo masivo en San Bernardino, California en 2015. El martes después de los acontecimientos el FBI dio una rueda de prensa en la que mencionó la existencia de uno de los dos dispositivos encontrados, sin revelar la marca, una forma de “no decirle a los chicos malos que teléfono comprar”.

Como se mencionaba en el Washington Post, el misterio se centra en el iPhone. Apple ayudó a las autoridades tras la rueda de prensa ofreciendo asistencia técnica para acceder al dispositivo (Apple parece haber ayudado sin poner oposición). Aunque parezca grotesco, Touch ID puede ser utilizado para desbloquear un dispositivo aunque la persona que introduzca la huella esté muerta. A pesar de una autorización emitida dos días después de la rueda de prensa las autoridades aún no se han puesto en contacto con la compañía para recibir asistencia técnica para desbloquear el dispositivo.

Figura 1: FBI Investiga el escenario del crimen.

Por el momento la oferta sigue sobre la mesa, si las autoridades acceden a realizar esta práctica, a Apple podría interesarle estar en una posición de asistencia en el descubrimiento de las razones del atentado sin tener que descifrar el dispositivo o proporcionar un backdoor, como fue solicitado en el caso San Bernardino, a lo que Tim Cook respondió con una carta abierta que decía lo siguiente:

“El FBI debería utilizar palabras diferentes para describir esta herramienta, pero no se equivoquen: Construir una versión de iOS que pueda ser bypasseada de esta forma podría generar un backdoor. Y cuando el gobierno asegure que su uso se limitará a este caso, no hay forma de garantizar ese control.”

En ese caso el FBI en última instancia retiró su orden judicial, tras descubrir o pagar un método alternativo para desbloquear el dispositivo. Seguiremos atentos a este nuevo frente abierto entre Apple y el FBI.

lunes, 20 de noviembre de 2017

iCloud y el iPhone un negocio redondo para el mercado negro

Según un estudio, los kits de Phishing se hacen con gran cantidad de dispositivos iPhone en el mercado negro. Los estadounidenses comienzan a preocuparse más y más por este tipo de delito cibernético, los investigadores advierten a los usuarios que sean cautelosos, ya que los iPhone robados son tan valiosos que pueden llegar a costar 2100 dólares en algunos países. Un estudio descubrió que a los estadounidenses les preocupa que los delincuentes roben su información personal y su identidad. Una investigación de Trend Micro sugiere que a los estadounidenses priorizan sus miedos en este hecho.

Sin embargo, los malos no están interesados en obtener solo un teléfono caro, si no que tienen una estafa elaborada que hace que el dueño del teléfono anterior "voluntariamente" renuncie a toda la información necesaria para que no bloquee el teléfono y, además, de acceso a los delincuentes a su cuenta de iCloud. Los investigadores descubrieron una elaborada red de kits de estafas de phishing, vendedores en el mercado negro y herramientas utilizadas para revender los dispositivos en todo el mundo. Solamente el año pasado se robaron 23.000 dispositivos en el Aeropuerto Internacional de Miami y la demanda de estos dispositivos es asombrosa, ya que los iPhone antiguos robados se llegaron a vender en países de Europa del Este por 2100 dólares.

Figura 1: Phishing de iCloud

Los delincuentes están robando los teléfonos, esperando que las víctimas activen los servicios de Find My iPhone y luego envíen un correo electrónico de phishing diseñado para suplantar una notificación de Apple que le solicita a la víctima que inicie sesión en sus cuentas de iCloud. Los ladrones utilizan la información para, posteriormente, desbloquear el dispositivo robado para que pueda ser reutilizado y revendido. Los investigadores descubrieron que los ladrones, a menudo, contratan servicios de phishing de terceros para desblqouear los dispositivos y que estaban utilizando herramientas como MagicApp, AppleKit y Find My iPhone para automatizar el desbloqueo de iCloud. Sin duda, un negocio bien planificado y organizado por los delincuentes.

domingo, 19 de noviembre de 2017

Fue noticia en seguridad Apple: del 6 al 19 de noviembre

Ya entrado el otoño en Seguridad Apple no descansamos y continuamos trayéndoos las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 6 hablándoos de una vulnerabilidad en Tor Browser para Mac que expone tu dirección IP, todo a raíz de una vulnerabilidad en el núcleo de Firefox.

El martes 7 os avisamos de la llegada de otra de nuestras ElevenPaths Talks, en este caso el tema de la Talk fue el lado oscuro de la esteganografía, sin duda un tema muy interesante. A su vez os invitamos a seguir de cerca esta tercera temporada y os recordamos que podeis encontrar las temporadas anteriores en nuestro canal de YouTube.

El miércoles 8 os contamos como los investigadores de Keen Labs han destapado en la Pwn20wn una vulnerabilidad WiFi que permitiría ejecutar código arbitrario en un iPhone 7 corriendo iOS 11.1, tarea por la que el equipo ha sido recompensado con 110.000$.

El jueves 9 os hablamos de la posibilidad de que Apple decida compartir la información recolectada por Face ID con algunas aplicaciones de terceros y los riesgos y ventajas que eso podría conllevar.

El viernes 10 os presentamos Apple Pay Cash, el nuevo servicio de Apple que te permitirá realizar pagos a través de iMessage. Por el momento solo esta disponible en Estados Unidos en su versión beta para las versiones de iOS 11.2 y watchOS 4.2.

El sábado 11 echamos la vista atrás para indagar un poco en la historia de Apple y os contamos cómo influyó Hollywood en el cambio de orientación del logo de Apple, haciendo rectificar a Steve Jobs en una de sus decisiones.

El domingo os contamos como el Machine Learning de Apple puede sacar a la luz algunos de tus secretos, además de explicaros en que consiste el funcionamiento de Core ML. 

El lunes 13 os contamos como un equipo e de la llegada del primer Jailbreak para iPhone X e iOS 11.1.1. El mundo del jailbreak no descansa, y en este caso ha sido Liang Chen, investigador de Tencent Keen Lab quien ha demostrado que hacer Jailbreak a un iPhone x es posible durante la conferencia POC2017 de Corea del Sur.

El martes 14 os contamos como un equipo de investigadores ha logrado bypassear el nuevo Face ID del iPhone X utilizando una máscara hecha a medita, todo ello por menos de 150$.

El miércoles 15 os avisamos de la llegada de otra entrega de CodeTalks4Debs. En este caso la charla aborda el tema de la implementación de Latch Cloud TOTP en .NET y NodeJS.

El jueves 16 os contamos como un niño de 10 años ha sido capaz de burlar la seguridad del nuevo Face ID y os hablamos de algunos otros casos en los que un simple parecido físico permite engañar al nuevo sensor de Apple.  

El viernes 17 os alertamos de una nueva oleada de ataques Phishing. En este caso el principal objetivo son los usuarios de iPhone, a los cuales se les intentaba engañar a través de un correo electrónico.

Finalmente, el sábado hablamos sobre el reloj que Apple sacó en el año 1995 y que podemos decir que fue el primer Apple Watch de la marca. Como cada sábado un interesante artículo de historia de la marca de Cupertino.

Os esperamos de nuevo en un par de semanas con toda la actualidad del mundo Apple y con todo lo referente al mundo de la manzana mordida. Que tengáis una gran semana y os esperamos con un nuevo resumen en 14 días.

sábado, 18 de noviembre de 2017

El primer y verdadero Apple Watch ya lo regalaba Apple en 1995

Los primeros años de los noventa no fueron precisamente los mejores de Apple. Steve Jobs ya no estaba en la empresa (volvió en 1997) y los nuevos productos en el mercado, como el infame Newton, catapultaron aún más a la compañía hacia la bancarrota. Esta situación añadida al gran éxito de Windows 95, provocó que Apple buscara a la desesperada que la gente comprara y actualizara sus productos, llegando incluso a regalar un Apple Watch, el cual dicho sea de paso, no se parecía en nada a los actuales.

System 7 fue una versión de Mac OS que debutó en 1991 para los Mac que aún funcionaban con el Motorola 68000, ofreciendo algunas características bastante llamativas como por ejemplo, memoria virtual, QuickTime, mejor interfaz gráfica, etc. Pero quizás una de las mejores características que ofrecía era la compatibilidad para leer discos MS-DOS y Apple II. Y aún más, por aquella época y en esta nueva versión de Mac OS ya se pudo emular la ejecución de programas de MS-DOS y Windows.




En 1995 apareció la versión 7.5 de System 7 y Apple tenía que motivar a los usuarios a que actualizaran. Esta nueva versión ya venía de serie en los nuevos Mac, como el LC 580, pero sólo era posible conseguirlo previo pago de 134.99$ para el resto de usuarios (si, por aquella época se pagaba por actualizar). Esta nueva versión incluía más de 50 cambios importantes, siendo una de ellas una colección de programas que permitían conectar fácilmente el Mac a Internet y el correo electrónico, algo que comenzaba a ser habitual en los ordenadores de casa.

Así que Apple, en su campaña por "vender" su nueva versión del System 7, la 7.5, se le ocurrió la idea de ofrecer, junto a la compra de esta nueva versión, un simple reloj para así motivar a los posibles compradores. Por supuesto, aunque este si que fue primer Apple Watch, no tiene nada que ver con los nuevos y espectaculares modelos de hoy día. 




Este era un simple reloj de muñeca que sólo daba la hora, eso sí, con el flamante logo de Apple en su interior (aún el de colores). En concreto, esta maniobra de marketing ofrecía la opción de elegir entre el Apple Watch o el programa Conflict Catcher 3, una aplicación para gestionar y resolver los problemas que tenían los usuarios de aquella época con la extensión de los ficheros en entornos Mac.


Figura 1. Anuncio original donde se ofrecía el Apple Watch o el programa Conflict Catcher. Fuente.

Dos décadas después, estos relojes se volvieron a poner de nuevo a la venta aprovechando el lanzamiento del nuevo Apple Watch en 2015. El mismo distribuidor que los vendió en su día tenía algunos guardados en stock y dependiendo de su condición, con un precio que oscilaba entre los 99$ y 129$, aunque al final se vendieron prácticamente todos por 199$ (y por supuesto, no duraron nada a la venta). Hoy día es posible encontrar alguno en eBay a unos precios que varían entre los 200$ y los 2.000$. No deja de ser curioso que un reloj con la tecnología y calidad más simple posible, sea incluso más caro que los nuevos Apple Watch ;)

viernes, 17 de noviembre de 2017

¡Alerta! Nueva oleada de ataques de phishing a usuarios de iPhone

Desde hace un tiempo el Phishing es uno de los métodos más utilizados y efectivos para la exfiltración de datos. La gran popularidad adquirida por los productos de Apple ha convertido a la marca de la manzana en uno de los principales objetivos de este tipo de ataques. Por lo general, hacer click sobre un e-mail que te pide que verifiques tu usuario y contraseña es una mala idea. Es muy sencillo construir una página web que parezca autentica y después utilizarla para adquirir información y credenciales, algunas de estas páginas están tan elaboradas que resulta difícil para los expertos en IT mas entrenados notar la diferencia entre una página legítima y una fraudulenta.

Según un usuario de Reddit, esta nueva campaña de Phishing está afectando a cientos de personas. En este caso la estafa se centra en los usuarios de iPhone. El método utilizado es el mismo que en casos anteriores, solo que más enfocado hacia iOS. El asunto del mensaje suele llevar frases como “Recordatorio: Hemos actualizado nuestras políticas de actualizaciones” combinado con un falso número de referencia, para poder pasar los filtros de spam. A continuación le sigue un mensaje que solicita que introduzcas tu usuario y contraseña con el fin de verificar la información de tu cuenta.

Figura 1: Mensaje fraudulento

Si pinchamos en el link del correo seremos redirigidos a una página falsa que almacenará nuestras credenciales cuando las introduzcamos. Sin duda es una estafa, para prevenir caer en estos fraudes Apple nos recomienda que siempre que debamos hacer alguna gestión en nuestras cuentas accedamos desde su página oficial, ya que su servicio técnico no se pondrá en contacto con nosotros a no ser que  lo hayamos solicitado previamente.

jueves, 16 de noviembre de 2017

Un niño de 10 años se salta el nuevo Face ID del iPhone X

Pocos días después de que se publicara el elaborado método con el que unos investigadores vietnamitas han sido capaces de burlar la seguridad del nuevo Face ID del iPhone X, empiezan a aparecer nuevos casos de bypass de esta tecnología. Uno de los casos más sonados ha sido el de Ammar Malik. Este niño de 10 años se quedó fascinado cuando sus padres trajeron a casa el nuevo iPhone X, y como no le dejaban tocar el nuevo juguete, él se las arregló para colarse en su habitación y desbloquearlo con su cara.

Cuando le contó a su madre que era capaz de desbloquear el teléfono con su cara, esta no daba crédito a lo que veía. En el siguiente video podemos ver como el chico es capaz de desbloquear el teléfono sin ningún problema. Tal y como se explica en la revista WIRED, cuando se pusieron en contacto con ellos para publicar la historia estos les sugirieron que volvieran a realizar el experimento reconfigurando el Face ID como si el terminal viniera de fábrica. La madre volvió a configurar el Face ID con su propia cara, y unas horas después le dieron el teléfono a Ammar para que volviera a intentar desbloquearlo. Esta vez le costó dos intentos desbloquearlo, y al tercero pudo acceder al contenido del teléfono sin problema.


 Al parecer, los algoritmos de Machine Learning que utiliza el terminal para identificar a la madre de Ammar después de haber sufrido algún cambio estético, como un corte de pelo, llevar un gorro o ponerse un pañuelo, también aprenden las características de la cara del niño, permitiendo que sea capaz de desbloquear el teléfono una y otra vez.

El caso de Ammar no es el único que se puede encontrar en las redes, varios gemelos y hermanos con una apariencia similar han publicado videos en los que demuestran como desbloquean el nuevo terminal de Apple engañando a su nueva medida de seguridad biométrica. El problema del segundo video radica es que en ningún momento se muestra las caras que son reconocidas, por lo que la trampa puede estar detrás de las cámaras. Sin embargo, el caso de Ammar llamó la atención de WIRED.


El nuevo Face ID del iPhone X es una tecnología innovadora en el mercado de los smartphones, y en consecuencia, surgen muchos casos de uso que probablemente no se tuvieron en cuenta en su diseño, y que como en este caso, pueden comprometer la seguridad del terminal. Por otra parte, esta nueva tecnología también proporciona una gran comodidad y facilidad de uso para los usuarios, por ello, cabe preguntarse, ¿Llegará el Face ID a mantener un equilibrio entre usabilidad y seguridad equivalente al que proporcionaba la tecnología a la que reemplaza, el Touch ID?

miércoles, 15 de noviembre de 2017

#CodeTalks4Devs Implementación de Latch Cloud TOTP en .NET y NodeJS

El próximo 15 de noviembre nuestros compañeros Ioseba Palop y Carlos del Prado nos hablarán, en un nuevo Code Talk for Devs, sobre la implementación de Latch Cloud TOTP en .NET y NodeJS a través de un número de ejemplos y demostraciones guiadas que han generado para vosotros. En el webinar se detallarán los pasos y el código utilizado para llevar a cabo esta implementación.. Además, se mostrarán ejemplos de uso y cómo hacer la implementación de forma sencilla.

Las contraseñas de tus usuarios pueden caer en las manos equivocadas y poner en riesgo la información de los mismos en tus sistemas. Añade un segundo factor de autenticación a tu servicio mediante TOTPs y protege a la información de tus usuarios ante el robo de sus credenciales. En esta sesión veremos cómo implementar un segundo factor de autenticación con TOTPs y usaremos Latch como herramienta de generación de los códigos de acceso. Para ello partiremos de una aplicación NodeJS + Express y .NET + MWC que usa un sistema convencional de autenticación de usuarios (email + contraseña) y cuenta con un perfil de configuración de usuario.

Figura 1: ElevenPaths Code Talks for Devs

Si quieres saber más sobre la implementación de Latch Cloud TOTP en estos lenguajes de programación te esperamos el próximo miércoles 15 de noviembre a las 15:30h (CET) en nuestro canal de YouTube y también en nuestra comunidad, donde nuestros expertos estarán disponibles para responder cualquier tipo de duda respecto al webinar ¡Te esperamos!

martes, 14 de noviembre de 2017

Investigadores consiguen el primer bypass de Face ID

Es algo que Apple seguramente contemplaba. Cuando uno coloca en el mercado una tecnología "nueva" y, además, se llama Apple tendrás muchos ojos puestos encima de tu nueva tecnología. Ya pasó con el Touch ID en su día. Investigadores de seguridad han conseguido bypassear el Face ID utilizando una máscara de 150 dólares. Los investigadores han dado algunos detalles, pero no todos, pero si que han mostrado cómo han podido hacer este bypass de uno de los sistemas más ojeados y esperados, precisamente para esto, para saltarlo. Son los mismo investigadores que en 2009 demostraron una forma de eludir la autenticación basada en reconocimiento facial en equipos Toshiba y Lenovo

Además, se ha publicado un video dónde se mostraba cómo desbloquear un iPhone X presentando una máscara hecha a medida en lugar de un rostro humano. Los investigadores comentaron que diseñaron su máscara utilizando impresoras 2D y 3D, mientras que un artista hizo la nariz a mano utilizando materiales de silicona. Otra característica es que utilizaron imágenes en 2D y un procesamiento especial en las mejillas y alrededor de la cara, dónde hay áreas de piel grandes. Esto fue intento exitoso de vencer a la inteligencia artificial que el Face ID dispone para diferenciar caras reales de imágenes, vídeos y máscaras.



Los investigadores han comentado también que es bastante difícil hacer la máscara correcta sin cierto conocimiento sobre seguridad. Según indican se ha podido engañar a la IA de Apple porque se entendió al milímetro como funcionaba su IA y cómo evitarla. En el video se puede ver la demostración, pero se han omitido los detalles clave que son necesarios para que otros investigadores evalúen si los resultados representan un verdadero problema de seguridad o no. Seguiremos atentos a las noticias sobre Face ID.

lunes, 13 de noviembre de 2017

Jailbreak para el iPhone X e iOS 11.1.1

En el mundo del Jailbreak no se cesa y hoy traemos nuevas noticias sobre este ámbito. Liang Chen, investigador de Tencent Keen Lab, ha realizado una demostración sobre el primer Jailbreak del mundo para el nuevo iPhone X, el cual ejecutaba un sistema operativo iOS 11.1.1 en la conferencia POC2017 de Corea del Sur. Por el momento no quedan claros los detallas del Jailbreak, ni si se lanzará o liberará este Jailbreak. No se espera que esto ocurra. Sin embargo, la gran noticia es que la última versión de iOS 11 tiene un Jailbreak.

El hecho de que las vulnerabilidades utilizadas por Liang Chen puedan utilizarse para hacer un Jailbreak a un dispositivo con iOS 11 y éste sea el último, sugiere que la mayoría de los dispositivos compatible cons iOS 11 puedan ser liberados. No es la primera vez que el investigador demuestra un Jailbreak para iOS 11. Había hecho una demostración de un Jailbreak funcional para iOS 11 beta 2 e iOS 10.3.2 en la MOSEC de 2017 en Shanghai
Figura 1: Jailbreak de iOS 11.1.1

También es posible que el Jailbreak de iPhone X e iOS 11.1.1 sea solo para fines de investigación, por lo que, aunque pueda ser liberado, el investigador no lo lance públicamente. El hecho de que haya sido mostrado da la esperaanza a mucha gente de que equipos como Pangu puedan descubrir exploits y desarrollar herramientas que realicen el proceso. Sea como sea, hay que decir que el último Jailbreak público para iOS fue lanzado para la versión 10.2, por lo que ha pasado algo de tiempo desde que esto ocurrió. Un Jailbreak en iOS 11 sería un impulso para la comunidad Jailbreak.

domingo, 12 de noviembre de 2017

El Machine Learning de Apple puede sacar a la luz tus secretos

Una de las novedades que iOS 11 ha traído consigo es Core ML, una herramienta que proporciona a los desarrolladores una manera sencilla de implementar algoritmos de machine learning “pre entrenados”, gracias a esto las aplicaciones pueden adaptar instantáneamente su funcionamiento según las preferencias del usuario. Para que este avance sea posible también es necesaria una gran manipulación de datos, lo que hace que algunos investigadores de seguridad se preocupen de que Core ML pueda compartir más información de la que debe con algunas aplicaciones de carácter malicioso o cuyos fines no son muy legítimos.

Core ML es capaz de mover tareas como el reconocimiento facial y de imágenes, procesado de lenguaje natural, detección de objetos y muchas herramientas de machine learning. Todas aquellas aplicaciones que utilicen Core ML solicitarán al usuario permisos sobre el micrófono, el calendario y otras funciones. Algunos investigadores se han dado cuenta de que Core ML podría generar nuevas situaciones límite en las que una aplicación podría obtener información del usuario para propósitos ocultos. Sin embargo, Core ML dispone de un montón de funciones de seguridad y privacidad recién implementadas, su procesamiento de datos se realiza localmente en el dispositivo del usuario. De este modo, si una aplicación tiene tendencias ocultas, no es necesario proteger toda esa información en su tránsito al procesador de la nube y de vuelta a tu dispositivo.

Figura 1: Esquema de funcionamiento de Core ML

Esto significa que ya no será necesario que algunas aplicaciones almacenen tu información personal en sus servidores. Puedes usar una herramienta de reconocimiento facial u otra que analice tus fotos sin que ninguno de tus datos abandone tu iPhone. El procesamiento local beneficia a los desarrolladores porque quiere decir que su aplicación podrá seguir funcionando incluso sin acceso a internet. Las aplicaciones de iOS acaban de empezar a incorporar Core ML, por lo tanto no podemos asegurar cual será su propósito a largo plazo. Una nueva aplicación llamada Nude, lanzada hace unos días, usa Core ML para promover la privacidad del usuario a través del escaneo de tus álbumes en búsqueda de fotos en las que sales desnudo y moviéndolas de tu galería a otra carpeta protegida en tu dispositivo, alguna otra aplicación con estas mismas cualidades podría no ser tan respetuosa. Core ML todavía es una tecnología joven y con mucho potencial, seguro que volveremos a tener noticias sobre ella.

sábado, 11 de noviembre de 2017

Cuando el logo de Apple estaba boca abajo y como Hollywood cambió su orientación (a veces con pegatinas)

Cuando Steve Jobs volvió a Apple en 1997, aparte de tomar grandes decisiones que llevaron a la empresa de nuevo a ser competitiva en el mercado, también tomó algunas otras aparentemente no muy importantes pero sí con un gran impacto mediático. Una de ellas fue la orientación del logo en la tapa en toda la gama de los nuevos modelos de los portátiles PowerBook e iBook, el cual estaría boca abajo para un observador que estuviera en frente.

Apple tiene un sistema interno llamado "Can we talk?" donde cualquier empleado puede crear una discusión sobre el tema que le interese. Joe Moreno era un empleado de Apple por aquella época y se le ocurrió hacer la siguiente pregunta: "¿Por qué está el logotipo de Apple boca abajo en los portátiles cuando se abre la tapa?". Esta pregunta que no parece importante fue tomada muy en serio hasta tal punto que fue el departamento de diseño de Apple el que respondió directamente a Joe.


Figura 1. Steve Wozniak utilizando un PowerBook con el logo al revés. Fuente.

Resumiendo, respondieron que estaba boca a abajo porque lo dijo Steve Jobs, así de claro. Todos sabemos lo detallista que era Jobs (recuerda el caso de la estética de la placa base en el Macintosh) y este era precisamente un tema en el que estaba totalmente involucrado. Jobs ponía como explicación a la orientación del logotipo boca abajo que cuando un usuario se sentara en frente de un portátil Mac, el logotipo de Apple estuviera de cara a él, ofreciéndole la mejor experiencia de uso, sin importarle lo que pudiera pensar alguien que estuviera en frente y lo viera al revés.

Por otro lado, el equipo de diseño justificó un poco más esta decisión de Steve Jobs sobre la orientación del logotipo. Al parecer detectaron que si el logotipo estaba del revés cuando la tapa estaba cerrada y mirando al usuario, este intentaba constantemente abrir el portátil por la parte incorrecta, es decir, por la parte en la que el logotipo estaba bien orientado. Y así estuvo durante varios años hasta que un día, Steve Jobs, sorprendentemente, cambió de opinión.

Durante esa época, por los noventa, se empezaba a introducir publicidad directamente en el cine de Hollywood, donde las empresas solían pagar para que aparecieran sus productos o simplemente aparecían productos porque estaban de moda. Por lo tanto era muy habitual ver ordenadores portátiles Apple en las películas de cine. Estos eran modelos PowerBook e iBook los cuales tenían el logotipo del revés, boca abajo. Y este detalle llamó la atención del equipo de marketing de Apple, al cual no le hacía gracia que se vieran sus ordenadores con el logotipo en esa orientación lo cual podría confundir al espectador sobre la marca o simplemente daba mala imagen.

Figura 2. Fotograma de la película "Sex and the City". Fuente.

Como la decisión de la orientación del logotipo la había tomado el todopoderoso Steve Jobs, no se plantearon hablarlo con él para cambiarlo directamente en producción. Así que decidieron hablar con los productores de Hollywood para que estos colocaran pegatinas del mismo logotipo de Apple pero esta vez pero boca arriba, lo que personalmente creo que confundía aún más al usuario pero por lo menos la marca se veía correctamente, lo cual era el objetivo principal de la publicidad. 

El logotipo continuó en esta orientación boca abajo hasta los últimos modelos PowerBook, cuando por fin Steve Jobs reconsideró colocarlos tal y como los vemos hoy día. Parece que el problema del usuario al equivocarse de orientación para abrirlo era sólo temporal pero el problema del logotipo del revés estaría siempre ahí, dando más quebraderos de cabeza. Este es quizás uno de los pocos casos en los que Steve Jobs rectificó una de sus decisiones.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares