Menú principal

miércoles, 31 de octubre de 2018

Actualización a Mojave 10.14.1. Más de 70 vulnerabilidades parcheadas

Apple publicó ayer varios nuevos productos. Un nuevo iPad Pro, un nuevo Mac Mini e, incluso, un nuevo MacBook Air, al que muchos daban por muerto. Además, se ha liberado nuevas actualizaciones imoprtantes de sus sistemas operativos. Nueva versión de iOS y es la 12.1, nueva versión de tvOS 12.1, nueva versión de watchOS 5.1, nueva versión del HomePod 12.1 y, por último, y una de las más importantes, nueva versión de macOS 10.14.1. Como se puede ver es un día de actualizaciones para Apple, un día duro para los equipos de IT. 

Hoy nos centramos en Mojave y es que la actualización 10.14.1 trae la posibilidad de crear grupos de hasta 32 personas de Facetime y algunas correcciones de errores. Esta característica fue importante en la salida de la versión 12 de iOS, cuando ambos se anunciaron en la WWDC de Junio. Esta característica no fue lanzada en la versión 10.14, ya que no estaba lista. Respecto a seguridad la nueva versión de Mojave solventa más de 70 vulnerabilidades, por lo que como decíamos es una actualización crítica que se debe llevar a cabo.

Figura 1: Nota de Apple sobre las vulnerabilidades solventadas en macOS 10.14.1

Revisa todos tus dispositivos y verifica las actualizaciones disponibles y empieza a desplegar dichas actualizaciones porque el día viene cargado. Solo con Mojave son más de 70 vulnerabilidades las que se cierran, de las cuales más de 20 pueden ejecutar código arbitrario.

lunes, 29 de octubre de 2018

Apple y Samsung sancionados por ralentizar sus dispositivos con actualizaciones de software

Recientemente Apple y Samsung han sido acusados por el gobierno italiano de ralentizar sus dispositivos con el fin de dejarlos obsoletos, según los investigadores de AGCM el modo correcto de ofrecer actualizaciones de iOS y Android es añadir nuevas funcionalidades y mejorar la experiencia de uso del dispositivo, y por contraste, la forma incorrecta es que estas actualizaciones afecten directamente al rendimiento de los dispositivos. La AGCM reclama a ambas compañías que ya han perjudicado demasiado a sus clientes y han decidido multar a Apple con 10 millones de euros y a Samsung con 5 millones a modo de castigo.

A pesar de que estas multas apenas supongan un problema para ambas compañías, por primera vez en la historia una organización gubernamental ha declarado a una compañía tecnológica culpable de utilizar actualizaciones de software para empeorar el funcionamiento de sus dispositivos. Los problemas de Apple se remontan a iOS 10, el sistema operativo se desarrolló con el iPhone 7 en mente pero también salió para el iPhone 6, 6S y SE, como una actualización más. Tras su lanzamiento los usuarios no tardaron en emitir sus primeras quejas ya que las baterías de los dispositivos se agotaban muchísimo más rápido y algunos terminales se apagaban quedándoles un 20% de batería, lo mismo sucedió en 2017 con iOS 11. En el caso de Samsung, las acusaciones se deben a un comportamiento similar con Android 6 y el Galaxy Note 4.

Figura 1: Apple y Samsung sancionadas por la AGCM.

Desde el punto de vista de la ingeniería, los comportamientos de ambas empresas tienen sentido, al lanzar una nueva versión más potente de los sistemas operativos es necesario ralentizar un poco el rendimiento de la CPU para evitar una considerable disminución en las baterías. El saber que al actualizar el dispositivo se incluyen nuevas funciones de seguridad y se parchean algunas vulnerabilidades anima a los usuarios a actualizar su dispositivo aun sabiendo que este podría ralentizarse. En los juzgados italianos se ha argumentado que los fabricantes deberían advertir a los usuarios antes de realizar una actualización de que ésta podría afectar seriamente al rendimiento de su dispositivo, también han animado a ambas compañías a optar por prácticas similares a las de Google, que ha decidido separar los parches seguridad de las actualizaciones generales.

domingo, 28 de octubre de 2018

Apple, Google, Microsoft y Mozilla han anunciado su plan de deshabilitar TLS 1.0 y 1.1 en 2020

Los cuatro titanes de la industria han anunciado recientemente su plan de sustituir el protocolo Transport Layer Security (TLS) 1.0 y 1.1 por otras versiones más seguras y modernas del mismo. En un artículo publicado en el blog de WebKit el ingeniero de software de Apple Christopher Wood presentó la posibilidad de sustituir las versiones 1.0 y 1.1 de TLS por la versión 1.2 y la reciente versión 1.3. Wood, que está especializado en infraestructuras públicas y servicios de encriptación define TLS como un protocolo de seguridad de internet crítico a la hora de proteger el tráfico web que viaja entre los clientes y los servidores.

El protocolo nació con la intención de ofrecer confidencialidad e integridad a la información sensible de los usuarios y eso sigue haciendo, sin embargo las versiones a sustituir se remontan a 1999. Para salvaguardar a los usuarios de una potencial explotación de vulnerabilidades de navegador y frente a posibles ataques man-in-the-middle, Wood sugirió actualizar el protocolo y aseguró que la versión 1.2 de TLS se ajusta más a las necesidades actuales de la red. Además Christopher declaró que Apple sustituirá las versiones del protocolo en futuras actualizaciones programadas con el lanzamiento de una nueva versión de iOS y macOS en marzo de 2020.

Figura 1: Apache también se despide de TLS 1.0 y 1.1.

En la actualidad Apple utiliza TLS 1.2 como versión estándar, haciendo que cerca del 99.6% de las conexiones realizadas con safari utilicen esta versión más moderna del protocolo. Como un esfuerzo por parte de la industria para realizar esta transición de las versiones más anticuadas a las actuales, Google Chrome, Microsoft Edge y Mozilla Firefox dejaran de ofrecer soporte para TLS 1.0 y 1.1 al mismo tiempo que Safari. Actualmente el navegador con mayor índice de uso de estos anticuados protocolos es Firefox con tan solo un 1.2% de las conexiones que realiza, cifras considerablemente bajas.

sábado, 27 de octubre de 2018

Así es como Steve Wozniak consiguió obtener colores en el Apple II ... el cual era monocromo

Nos encanta hablar de Steve Wozniak y del Apple II, ya que nos ofrece una perspectiva perfecta de un hacker y su obra maestra. Este ordenador salió al mercado en 1977 y una de sus características que le aportaba una gran ventaja sobre sus competidores de la época, era la posibilidad de ofrecer colores en la pantalla de cualquier televisor. Hasta aquí todo normal pero hay un pequeño detalle a destacar: el Apple II era monocromo y no tenía ningún chip dedicado a la salida de vídeo proporcionara una salida en color.

Después de cuatro días con sus respectivas noches de maratón programando y diseñando la circuitería del Breakout para Atari, Wozniak llegó a una de sus mejores ideas con la cual pudieron ofrecer al mercado un ordenador a color, el Apple II a un precio razonable (cualquier modelo a color de la época costaba miles de dólares). Y además lo conseguiría utilizando un sólo chip de sólo 1 dólar de coste. El único problema era que estaba limitado a televisores NTSC, no funcionaba con PAL o SECAM, usando estos monitores la señal que se mostraba era siempre en B/W.

Figura 1. Esquema del funcionamiento del sistema de video del Apple II. Fuente.

Entonces ¿cómo lo hizo? pues resumiendo mucho, Wozniak sacó ventaja de una característica muy peculiar del estándar de televisión NTSC. Si repetía algunas porciones de la señal digital saliente (negra o blanca) por defecto de la salida de video monocromo y la inyectaba en la señal "colorburst" o NTSC, era posible conseguir patrones de pixeles con diferentes colores. Antes hemos comentado que el Apple II era monocromo y en concreto tenía una resolución de 280x192 pixeles. Cada uno de estos pixeles es un 1 o un 0 y Wozniak encontró que agrupando esta señales en bloques tipo 00, 01, 10, 11 podría conseguir colores como negro, púrpura, verde y blanco respectivamente. Pero además, ajustando los valores de tiempo (timing) de la señal podía conseguir dos colores adicionales más: azul (01) y naraja (10). Eso sí, esta técnica hacía que la resolución final en modo gráfico fuera sólo de 140x192 pixeles, pero al menos era en color (el cual se le llamó modo HGR).

Figura 2. Karateka y Ms Pacman, usando el banco 1 de colores y ambos bancos, respectivamente. Fuente.

Esto no fue un inconveniente para que se desarrollaran juegos tan espectaculares utilizando esta resolución. Era posible conseguir en HGR dos tipos de bancos de colores, el primero tenía los colores negro, azul, naranja y blanco y el segundo sólo los colores púrpura y verde. Así que había dos bancos disponibles de colores pero además era posible utilizar ambos. Por ejemplo clásico juego Karateka que utilizaba el primer banco o Ms PacMan de Atari, el cual usaba todos, es decir, ambos bancos de colores. Un hack de un hacker en toda regla que permitió poner las bases de, posiblemente, la compañía de ordenadores más conocidas del mundo. En este artículo de la Wikipedia se explica a fondo el detalle técnico de su funcionamiento.

viernes, 26 de octubre de 2018

Apple insta a los desarrolladores a elaborar aplicaciones para macOS libres de malware

Desde hace tiempo la App Store de Mac dispone de gran cantidad de aplicaciones las cuales podemos descargar con un simple “click”, a pesar de ello muchos desarrolladores optan por no compartir su trabajo a través de la App Store y hacerlo por su cuenta lo que pone en peligro la seguridad de los equipos de sus clientes. Existe un nuevo método que permite a los usuarios saber si el software que están instalando dispone de malware, se llama notariced apps y Apple está instando a los desarrolladores a utilizarlo. Actualmente notariced apps es un software opcional para los desarrolladores, pero es muy posible que en un futuro su uso se vuelva obligatorio para garantizar la seguridad de las aplicaciones para macOS.

Los desarrolladores no están obligados a distribuir sus softwares a través de la App Store de Mac, como consecuencia de esto, la tienda de apps de Mac no ha ganado mucha popularidad en los últimos años ya que la mayoría de desarrolladores optan o prefieren vender y distribuir sus productos de manera independiente, algo que deja a los usuarios de Mac potencialmente vulnerables frente al malware. Al adquirir un software de desarrolladores independientes dispones de dos alternativas, una es analizarlo utilizando otra herramienta para asegurarte de que no contenga malware y la otra es esperar que su origen sea legítimo y que no vaya a causar daños en tu equipo.

Figura 1: Firmar apps para Gatekeeper.

Para mejorar la seguridad en sus dispositivos Apple comprobará si las aplicaciones disponen de código seguro o si puede ser dañino, cualquiera que instale una app revisada por Apple tiene la garantía de que no contiene ningún malware conocido. Esta propuesta se dio a conocer en la World Wide Developers Conference, evento que tuvo lugar en junio y en el que Apple prometió que este no es más que el primer paso para establecer una serie de requisitos que deberán cumplir el software y las aplicaciones de terceros para Mac. Independientemente de esta nueva medida, los desarrolladores ya han sido advertidos de que en una futura actualización del Gatekeeper de Mac requerirá que el software de los desarrolladores esté firmado para estar escriturado por Apple.

jueves, 25 de octubre de 2018

Como apps pueden rastrearte incluso después de desinstaladas

¿Alguna vez te ha pasado que después de desinstalar una aplicación has recibido algún correo o anuncio sobre ella?. Pues puede que no sea una coincidencia, o así es lo que comentan en Bloomberg , donde el pasado lunes escribieron un artículo que hablaba de como algunas empresas como Adjust, AppsFlyer, MoEngage, Localytics y CleverTap ofrecen un conjunto de herramientas para hacer un seguimiento intensivo del uso de aplicaciones, llegando al punto de ser capaces de notificar hasta cuando un usuario desinstala una aplicación.

El seguimiento y las analíticas del uso de una aplicación no es algo ni secreto ni nuevo, tanto Google con sus Google Analytics como Apple con Apple Connect recopilan determinadas acciones y comportamientos del usuario, que sirve para que los desarrolladores detecten bugs, mejoren sus aplicaciones y depuren la experiencia de uso de la aplicación. Todo esto se ciñe a las normas de las tiendas de aplicaciones, al final ni la Play Store ni la App Store impiden la recolección de datos, siempre que sea para la mejora de servicios y con una cierta anonimidad. Otra cosa es utilizar determinados servicios con fines publicitarios, cosa que estaría pasando con el seguimiento de aplicaciones desinstaladas.

El funcionamiento de esta librería es sencillo, un desarrollador haría uso de las llamadas notificaciones push silenciosas, elemento que permite hacer un ping a aplicaciones instaladas sin alertar al usuario. Gracias a la capacidad de ejecución de código en segundo plano, la aplicación mandaría de vuelta una notificación para verificar que sigue instalada y en el caso de que no haya retorno, notificaría que la aplicación se ha desinstalado. El problema de este procedimiento es que sí viola las reglas de las tiendas de aplicaciones de Apple y Google, ya que habría un registro exacto de usuarios identificados con la aplicación desinstalada.

Para ver si esto es cierto, vamos a proponer hacer una prueba de concepto, en la que un servidor lanzará una notificación push silenciosa a un dispositivo con una app instalada, con una pequeña librería que intentaría imitar el funcionamiento antes descrito.

Para ello, nos vamos a valer de los siguientes elementos:

  • Un dispositivo iOS: La PoC no se puede realizar en un emulador ya que no soportan notificaciones push.
  • Pertenecer al programa de desarrolladores de Apple: Para habilitar las notificaciones push, es necesario pagar para el programa de desarrolladores y habilitar la funcionalidad.
  • Pusher. Pusher es una aplicación que podéis descargar aquí y sirve para enviar notificaciones push a dispositivos determinados, en la propia Wiki del proyecto aparece las instrucciones para configurar la aplicación y la app del destinatario.

Una vez tenemos todos los elementos, vamos a enumerar todas las tareas involucradas en el envío y procesamiento de notificaciones:

  • Una app configurada correctamente y registrada con el Apple Push Notification Service (APNS) para recibir notificaciones push desde que el teléfono se encienda.
  • Un servidor que envie las notificaciones push al APNS dirigido a uno o más dispositivos.
  • Código dentro de la app que pueda ejecutar acciones una vez reciba la notificación utilizando el delegado de la aplicación.

Figura 1: Configuración de SSL de las notificaciones push

Para habilitar las notificaciones push hay que dirigirse dentro de Xcode a App Settings > Capabilities, y allí habilitar el campo de “Push Notifications”, así Xcode realizará todos los pasos necesarios para crear los certificados de la funcionalidad. Después de esto tendremos que ir a nuestra cuenta de desarrollador para crear un certificado SSL de desarrollo para poder mandar las notificaciones a nuestra aplicación. Una vez creado es necesario descargarlo y añadirlo a nuestra keychain. Ahora Pusher será capaz de enviar notificaciones a nuestro dispositivo.

Por último nos queda habilitar las notificaciones push silenciosas, para ello, y otra vez en App Settings > Capabilities, seleccionaremos dentro de "Background Modes" las opciones "Background Fetch" y "Remote Notificacions". Con esto podremos ejecutar código y enviar peticiones en segundo plano en nuestra app. Ahora solo sería necesario ejecutar la aplicación, recoger el token único identificativo que aparecen el log, introducirlo en la aplicación Pusher para enviar notificaciones.

Si hemos configurado la url de redirección bien a un servidor que esté activo y escuchando, deberíamos recibir una petición con el mail falso generado, cosa que se producirá si la aplicación no se encuentra en el dispositivo, generando así un registro de la eliminación de la app por parte del ususario.



Con el video de la prueba de concepto terminamos el artículo, como siempre dejamos el link al proyecto con el código de la aplicación.

miércoles, 24 de octubre de 2018

Según el director de inteligencia de EEUU no hay evidencia de chips espías chinos en los servidores de iCloud

A comienzos de mes un reportaje de Bloomberg basado en una extensa investigación aseguraba que grandes empresas como Apple, Amazon y al menos otras 30 compañías habrían sido víctimas de una campaña de espionaje en la que unos chips modificados se habrían introducido en las placas bases de los servidores de Supermicro. Tras realizar la entrega, las placas base generarían un backdoor en infraestructuras como iCloud. Según el reportaje los responsables de este escándalo serian el Ejército Popular de Liberación Chino, el cual habría sobornado a los directores de al menos 7 fábricas para que les dejasen implantar los chips en sus placas base.

Durante el año 2014 Apple adquirió al menos 6.000 servidores de Supermicro con la idea de instalarlos en los centros de datos de distintas ciudades del mundo, en 2015 se suponía que Apple adquiriría otros 20.000 servidores más para ampliar su infraestructura, sin embargo eso no fue lo que sucedió. En 2015 Amazon se planteó la compra de Elemental Technologies para convertirla en su proveedora de servicio para Prime Video. Antes de adquirirla contrató a una empresa independiente para realizar un análisis previo de sus servidores, es entonces cuando se encontraron los chips implantados en las placas de Supermicro.

Figura 1: Director de la Agencia Nacional de Inteligencia estadounidense.

Al descubrirse la trama Amazon vendió varios de sus servidores (adquiridos a Supermicro) a Beijing Sinnet y Apple optó por reemplazar al menos 7000 servidores que podrían verse afectados. Tras deshacerse de los servidores afectados tanto Apple como Amazon cortaron por completo su relación comercial con Supermicro. Apenas unos días después de la publicación del reportaje de Bloomberg los dos gigantes tecnológicos aseguran haber realizado una exhaustiva investigación y afirman que no se han visto afectados por el escándalo.

Para respaldar a ambas empresas el director de la Agencia Nacional de Inteligencia de estados unidos ha asegurado que no ha encontrado ninguna evidencia de que los chips espía se implantasen en las placas base de los servidores adquiridos por Apple y Amazon durante la trama de espionaje.

“No hemos visto ninguna evidencia, pero no podemos dar nada por supuesto. Aunque no hayamos visto nada, seguimos investigando”.

martes, 23 de octubre de 2018

iTunes te asignará una “puntuación de confianza” basándose en tus e-mails y llamadas

Apple planea utilizar resúmenes extraídos de las llamadas de teléfono e e-mails para asignar una puntuación de confianza como método para combatir el fraude en la tienda de iTunes. Hace unos días Apple introdujo sutilmente algunos cambios en los términos y acuerdos de privacidad de la tienda de iTunes, a la vez que lanzaba iOS 12, tvOS 12 y WatchOS 5. Inicialmente, Apple no ha especificado como realizar este seguimiento de llamadas y correos electrónicos podría ayudar a prevenir fraudes, sin embargo con este nuevo método será más sencillo identificar un dispositivo ya que dispondrán de un código único identificativo similar al que utilizan las tarjetas SIM.

A pesar de que la nueva estrategia de Apple para luchar contra los fraudes sea una idea innovadora no ha acabado de gustarle a algunos usuarios que no han dudado en mostrar su descontento en las redes. Según un representante de Apple, la única información que recibirá la compañía será una puntuación numérica obtenida a través de técnicas abstractas y que será almacenada durante un determinado periodo de tiempo sin correr riesgo de ser sustraída y utilizada con otros fines.

“Apple no recibe información más allá de la puntuación, porque la información utilizada para determinar la puntuación se almacena en el dispositivo. Cada número de confianza generado por Apple está elaborado teniendo en cuenta los datos de miles de cuentas lo que hace que cada código sea único y se puede usar para determinar patrones de comportamiento raros en lo dispositivos.” 

Figura 1: Cambios en la política de iTunes.

Esta solo se trata de una herramienta más en el arsenal de Apple para prevenir fraudes y falsos positivos en la detección de los mismos. Desde sus comienzos, la empresa californiana ha apostado por proteger la privacidad de sus clientes, y esto es algo que Apple ha tenido en cuenta a la hora de desarrollar esta nueva herramienta implementada en la nueva versión de su sistema operativo.

lunes, 22 de octubre de 2018

Un nuevo bypass del bloqueo del iPhone permite acceder a las fotos del dispositivo

Un nuevo bypass publicado por José Rodríguez, el cual ya publicó otros dos hace unas semanas, permite acceder a las fotos del dispositivo e incluso, enviarlas a otro. El bypass es un proceso totalmente manual el cual no requiere ninguna instalación de algún tipo de programa o técnica de seguridad compleja adicional. Y además afecta a los nuevos X y XS con la versión iOS 12.0.1

Son necesarios exactamente 13 pasos y llevar un buen ritmo durante todo el proceso para poder llegar a extraer fotos del iPhone. La raíz de este problema es el mismo que en los otros bypasses publicados por Rodríguez, el uso de Siri para activar VoiceOver para de esta forma, llegar a poder realizar ciertas tareas sin ser necesario desbloquear el teléfono. Aquí tenéis el vídeo donde se muestra todo el proceso de bypass:




VoiceOver es una característica de iOS centrada en ofrecer un servicio a personas con discapacidad visual, el cual va describiendo todo lo que ocurre en la pantalla del iPhone (o el Mac también). Utilizando esta función es posible ejecutar comandos a través de Siri incluso teniendo el iPhone bloqueado (siempre que esté activada la opción de Siri en la pantalla de bloqueo, como veremos más adelante), algo que debería de ser incompatible por seguridad. Es muy probable que Apple solucione este problema en la próxima actualización iOS 12.1 la cual está prevista que se publique a finales de este mes.

De momento y mientras esperamos esta nueva actualización que resuelva este problema, podemos mitigarlo desactivando el acceso de Siri cuando el dispositivo está bloqueado. Para ello tendremos que ir a Ajustes -> Siri y Buscar -> Siri con pantalla bloqueada (desactivar esta opción). 

domingo, 21 de octubre de 2018

Fue noticia en seguridad Apple: del 8 al 20 de octubre

Ya entrado el otoño y con el comienzo del frio en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 8 contándoos que Luca Todesco ha desarrollado un jailbreak para iOS 12 que funciona en el nuevo iPhone XS Max. A pesar de ello, el jailbreak no saldrá públicamente.

El martes 9 os presentamos ARKit un framework de Apple diseñado para realizar trabajos con realidad aumentada.

El miércoles 10 os contamos como gracias a iOS 12 podéis añadir un segundo rostro al registro de Face ID.

El jueves 11 os explicamos que medidas ha tomado Apple para evitar que los nuevos Mac con chip T2 sean arreglados por terceros.

El viernes 12 os avisamos de que Apple ha lanzado su Security Update para iOS 12 e iCloud 7.7, actualización con la que se han solucionado más de 20 vulnerabilidades.

El sábado 13 indagamos en la historia de Apple para hablaros del manual original y el código fuente del lenguaje de programación Apple Logo II.

El domingo 14 os contamos como optimizar y dar más visibilidad a una aplicación en desarrollo para que aparezca en los primeros puestos de la App Store.

El lunes 15 os explicamos cómo Apple ha sido capaz de reducir el negocio millonario de los fraudes en reparaciones de iPhone en China.

El martes 16 os mostramos que Kanye West utiliza 000000 como contraseña tras fallar el reconocimiento facial de su iPhone X .

El miércoles 17 os contamos por qué 1Password ha eliminado su función de auto envío de contraseñas en sus aplicaciones para macOS.


El jueves 18 os hablamos de un nuevo hack con el que podréis crear esferas propias en vuestro Apple Watch.

El viernes 19 os contamos las razones por las que los policías estadounidenses deben tener cuidado con los iPhone de los detenidos y su Face ID.

Finalmente, ayer sábado día 20 contamos el fracaso que resultó ser un éxito de Steve Jobs y su empresa NeXT.


sábado, 20 de octubre de 2018

NeXT, el fracaso con más éxito de Steve Jobs

NeXT Computer Inc. fue una empresa fundada en 1985 nada más y nada menos que por Steve Jobs, el cual acababa de ser expulsado de su empresa Apple. Su función principal era fabricar estaciones de trabajo orientadas a la educación superior y empresas. Unas 50.000 unidades de sus ordenadores fueron vendidas en total, lo que significa que no tuvo mucho éxito. Pero la influencia de NeXT va más allá de los números como veremos a continuación.

Steve Jobs estaba muy enfadado y decepcionado con muchos compañeros de Apple en 1985 cuando fue forzado a abandonar la compañía. Ese mismo día, 12 de septiembre de 1985 fue la primera vez que mencionó sus planes de crear una empresa de ordenadores que llamaría NeXT. Así que al día siguiente se fue a Apple para llevarse a algunos empleados, en teoría "low level" o sea, que no eran piezas clave para Apple, y así fundar su nueva empresa. Se llevó a Rich Page, Bud Tribble, Susan Barnes, Dan'l Lewin y George Crow entre otros, empleados lejos de ser "low level" ya que eran desde ingenieros de alto nivel así como personal de marketing. Por supuesto, Apple denunció a Jobs por esta maniobra, pero esta es otra historia.

Figura 1. Steve Jobs presentando NeXTCube, el primer servidor NeXT. Fuente.

No fue hasta 1990, después de una larga carrera de obstáculos para conseguir financiación, cuando por fin anunciaron su primer servidor, un NeXT llamado NeXTCube (que podéis ver en la imagen superior) con una CPU Motorola 68030 a 25MHZ, podía tener entre 8 y 64MB de RAM, disco duro de hasta 660MB, disco óptico (el primer ordenador en usar este dispositivo), Ethernet y una pantalla de 17 pulgadas en color. Pero además presentaron la primera versión de su verdadero éxito, NextSTEP, un sistema operativo orientado a objetos y multitarea. Era un buen equipo pero ya había otras estaciones de trabajo muy parecidas en el mercado (por ejemplo de la empresa Sun Microsystems) peor NextSTEP ofrecía un entorno de programación y trabajo muy potente. A modo de curiosidad, este primer modelo de ordenador fue utilizado por Tim Berners Lee como servidor cuando desarrolló la WWW. Por lo tanto el primer servidor Web de la historia se ejecutó en un NeXT.

Figura 2. Primer servidor Web de la historia con la famosa pegatina colocada por Tim Berners Lee que decía "Esta máquina es un servidor, no lo apagues". Fuente.

Pero fue realmente la segunda generación (lanzada a partir de 1990) la que tuvo más éxito e impacto en la industria. Este nuevo equipo se llamó NeXTstation y también actualizaron el sistema operativo NextSTEP a la versión 3.0 así como el hardware utilizando mejores prestaciones. De nuevo fue NexSTEP lo que atrajo realmente el interés de la industria. El sistema operativo se llegó a exportar a otras plataformas como PC (486), PA-RISC o SPARC, convirtiéndose en el negocio real de la empresa NeXT. Parte de este éxito fue el desarrollo de OpenStep, una API escrita en Objective-C que permitió el desarrollo de aplicaciones y utilidades en este sistema operativo. Incluso Sun Microsystems formó parte también de este proyecto.

En 1997 Steve Jobs volvió a Apple y una de sus primeras decisiones fue comprar NeXT. Así que todos los proyectos pasaron a manos de la compañía de la manzana. Tanto el hardware como el software se integraron en los futuros proyectos de la nueva Apple. Pero fue NextStep el más llamativo ya que fue la base del sistema operativo Mac OS X. Por eso Objective-C es el lenguaje de programación cabecera de Apple. Además podemos ver la herencia de NextSTEP y OpenStep en Cocoa, donde los objetos de las librerías Objective-C tienen el prefijo "NS". En el siguiente vídeo podéis ver al mismísimo Steve Jobs presentando la versión 3.0 de NextSTEP:




Pero la influencia de NeXT no acaba aquí. Pixar, adquirida por Steve Jobs poco antes de su salida de Apple, también los utilizó para desarrollar algunas de sus primeras animaciones más emblemáticas. Además, John Carmack utilizó una estación de trabajo NeXT (un NeXTCube) para desarrollar tanto Wolfstein 3D como el mítico DOOM, tal y como contamos en este artículo de El Lado del Mal. Entonces ¿crees que fue un fracaso o un éxito la empresa NeXT?

viernes, 19 de octubre de 2018

Agentes de policía advertidos de no mirar los iPhones de los sospechosos

Face ID se ha convertido en un desafío especial para las autoridades, desde que apareció por primera vez en el iPhone X los agentes de policía deben de tener mucho cuidado de no hacer nada que el iPhone de los sospechosos pueda identificar como un intento de usar el reconocimiento facial. En caso de fallar los intentos de reconocimiento facial el dispositivo podría bloquearse haciendo mucho más difícil eludir su seguridad. Vladimir Katalov, CEO de Elcomsoft, ha dicho que su compañía recomienda que cuando la policía incaute un iPhone X o alguno de los nuevos modelos presentados este año no miren a la pantalla.

Según la quinta enmienda estadounidense, un policía podría forzar a un sospechoso a desbloquear su móvil utilizando Face ID, pero no podría obligarle a introducir su contraseña. Recientemente el FBI ha recurrido a este pequeño vacío legal para la resolución de algunos casos. Forzar a un sospechoso a divulgar su contraseña se considera una violación de la quinta enmienda de los Estado Unidos, ya que protege a los ciudadanos frente la autoincriminación, en cambio la biometría facial puede ser utilizada porque la cara de una persona no puede considerarse un “secreto”Elcomsoft ha advertido a los policías de no mirar los iPhones involucrados en investigaciones porque solo admiten cinco intentos fallidos de reconocimiento con el Face ID antes de solicitar la contraseña, si estos intentos se realizan por un agente el sospechoso no podrá ser forzado a desbloquear su dispositivo.

Figura 1: Cómo resetear un iPhone X.

Por desgracia para la policía estadounidense, se puede dejar el Face ID fuera de la ecuación con gran facilidad. En caso de estar siendo detenido se puede forzar el reinicio del dispositivo, es tan simple como pulsar el botón de subir volumen, pulsar el de bajar volumen y después mantener pulsado el botón del lado derecho durante unos segundos hasta que se reinicie. A pesar de que esto pueda ser útil para no ser forzado a desbloquear tu dispositivo no garantiza que otras herramientas como GrayKey puedan hacerlo, aunque Apple cada vez esté poniendo más trabas para ello.

jueves, 18 de octubre de 2018

Hack para desarrollar esferas propias en el Apple Watch

El Apple Watch ha demostrado con su cuarta generación que es un dispositivo muy completo y uno de los flagships de Apple en estos momentos. A lo largo de las múltiples iteraciones de su sistema operativo watchOS, hemos visto cómo se han añadido multitud de nuevas funcionalidades, entre ellas soporte para audio en segundo plano, aplicaciones nativas, mejor soporte para complicaciones o previsualización de elementos web. Pese a todas estas mejoras, hay una funcionalidad que Apple se resiste a abrir a desarrolladores externos, el soporte para desarrollo de esferas nativas.

Durante muchos años se ha especulado con la posibilidad de que Apple abriera en un futuro el soporte externo, pero hasta el momento no ha ocurrido. Existen ya ciertas esferas de terceros, como las creadas por Nike o Hermes, pero estos casos son puntuales y muy limitados. Por otro lado, ya ha habido personas que han intentado recrear la funcionalidad de esferas de terceros con más o menos acierto,  pero nunca dando una sensación de esfera nativa.

De momento, la prueba de concepto más próxima a la realidad que hemos visto es la que el desarrollador Steve Troughton-Smith (@stoughtonsmith) ha creado recientemente. Steve propone una idea muy sencilla pero a la vez efectiva, crear una aplicación que haga uso de SpriteKit para los assets del reloj, animarla y ejecutarla en el Apple Watch en pantalla completa. Además, aprovechando la propiedad de watchOS para enseñar la última aplicación al encender la pantalla, podemos dejar de forma indeterminada la esfera creada ejecutándose.

Figura 1: Esferas creadas a través del proyecto SpriteKitWatchFace
Lo mejor del proyecto es que está subido a Github y cualquiera con un poco de conocimiento en  el desarrollo de aplicaciones en iOS puede crear sus propias esferas. Como no, hemos aprovechado para crear una nueva corona con el símbolo Aura integrado, y de paso detallar el proceso que constaría de los siguientes pasos:
  • Crear un fork de SpriteKitWatchFace.  
  • Clonar el nuevo proyecto en tu ordenador. 
  • Abrir Xcode y firmar el proyecto con los certificados de desarrollador adecuados. 
  • En nuestro caso, añadir el nuevo recurso png del símbolo de Aura
  • Añadir un nuevo sprite dentro del proyecto de SpriteKit llamado FaceScene.sk dentro de la carpeta SpriteKitWatchFace WatchKit Extension.
  • Cambiar algunos de los parámetros por defecto del archivo FaceScene.m, como el estílo del tema, la corona y la posición de la fecha.
  • Ejecutar el Scheme “SpriteKitWatchFace WatchKit App” con nuestro dispositivo como objetivo.
Siguiendo todo lo anterior, acabaríamos con una efera con el símbolo de Aura en nuestro Apple Watch, como podemos observar en el siguiente video del producto final.



Espero que os haya gustado este curioso hack y como siempre dejamos el proyecto de Github de la prueba de concepto por si lo queréis probar.  

miércoles, 17 de octubre de 2018

1Password deshabilita la función de auto envío de contraseñas tras la actualización de seguridad de macOS Mojave

Hoy en día es normal disponer de cuentas en varios servicios, para aumentar la seguridad de éstas es recomendable disponer de una contraseña diferente para cada una. Gracias a aplicaciones como 1Password podemos gestionar y almacenar todas esas contraseñas desde un mismo lugar y sin la necesidad de memorizarlas. Recientemente 1Password ha deshabilitado el auto envío de la contraseña en la última versión de su aplicación para Mac, la compañía ha dicho que se han visto obligados a hacerlo debido al incremento de las medidas de seguridad en macOS Mojave, pero que están de acuerdo con la decisión tomada por Apple a la hora de incrementar su seguridad.

 Las anteriores versiones de 1Password pueden enviar detalles de registro automáticamente, por lo tanto puedes acceder a la página de inicio de sesión de un sitio web y logarte en él sin hacer nada. Esto se debe a que 1Password ya ha introducido tu contraseña, la ha enviado y también ha recibido una respuesta del sitio web. Sin embargo, macOS Mojave ha añadido restricciones significantes a la habilidad de algunas aplicaciones a la hora de pulsar la tecla de retorno haciendo que 1Password no pueda volver a hacer esto. Como respuesta a esta nueva restricción 1Password ha eliminado la función de auto envío en todas las versiones de su aplicación para macOS

Figura 1: Aplicación de 1Password para Mac.

Pero no todo son malas noticias, la versión 7.2 incluye soporte para Safari desde la propia aplicación, lo que significa que no volverá a ser necesario instalar una extensión del navegador y que dispondrás de una protección adicional frente ataques man-in-the-middle. Apple ha certificado que las aplicaciones se encuentran libres de malware. Además de estas novedades de seguridad, la nueva versión de 1Password soporta el dark mode, algo que sin duda llamará la atención de muchos usuarios. Puedes obtener la app de 1Password de forma gratuita en el App Store junto con una prueba gratuita de 30 días. 

martes, 16 de octubre de 2018

Kanye West debería cambiar la contraseña de su iPhone

El conocido cantante reveló su contraseña por error cuando desbloqueaba su iPhone X en un video durante una reunión con el presidente Trump. Como se podía apreciar en el video, su contraseña era 000000, una de las contraseñas con la seguridad más pobre del mundo. West reveló la contraseña inconscientemente al fallar el reconocimiento facial de su iPhone cuando pretendía enseñar al presidente unas imágenes del iPlane 1 (un prototipo de avión que funcionaba con hidrogeno diseñado en 2012) en el que afirmaba que debería viajar el presidente.

A pesar de usar un iPhone X o XS, dispositivos que soportan Face ID haciendo que no sea necesario introducir una contraseña escrita, el rapero decidió desbloquear su dispositivo manualmente delante de las cámaras, (aún no se sabe si Face ID no estaba configurado, si Kanye lo tenía desactivado o fue un fallo del dispositivo). Apple recomienda a los usuarios de sus smartphones no utilizar contraseñas tan sencillas en sus dispositivos, de hecho si intentas cambiar tu contraseña a 000000, 123456 o alguna combinación similar te aparecerá un pop up en la pantalla avisándote de que esa combinación puede adivinarse fácilmente y que deberías optar por una contraseña algo más complicada.


En su reunión West dijo: “tendremos a Apple, una empresa americana trabajando en este avión” Actualmente la flota presidencial está compuesta por dos Boeing VC-25s, dos adaptaciones militares del Boeing 747 fabricadas por la empresa francesa en su fábrica de Everett, Washington. West también dijo al presidente que convertir un avión así en el avión presidencial haría que mejorase su imagen respecto al exterior “Si usted no se ve bien, nosotros no nos vemos bien, para dar una buena imagen tenemos que tener los mejores aviones y las mejores fábricas”.

lunes, 15 de octubre de 2018

Apple reduce el negocio multimillonario del fraude de las reparaciones de iPhone en China

Apple ha conseguido reducir las pérdidas debido a un elaborado fraude relacionado con las reparaciones de los iPhone en China. Dicho engaño le estaba costando miles de dólares a la empresa de la manzana y por eso ha tenido que tomar cartas en el asunto. Apple ya detectó este fraude en 2013 y ha tenido éxito en erradicarlo, pero ahora también esta práctica se está extendiendo a otros países como Turquía o Emiratos Árabes.

Los ladrones conseguían iPhones comprados de segunda mano o robados para luego extraer los componentes más sofisticados y valiosos, como por ejemplo, el procesador o algunas placas específicas. Por otro lado, sustituían estos componentes originales por otros falsos para luego ir a la tienda Apple para que los repararan y de esa forma obtener el iPhone con los componentes originales. Para ello los ladrones esperaban en la puerta de la tienda Apple y "contrataban" a personas para que hicieran el trabajo de devolver el iPhone, pagándoles por el tiempo empleado.

Figura 1. Interior de un iPhoneX. Fuente.

Los primeros casos de este fraude aparecieron en la ciudad de Shenzhen, conocida por el alto número de bandas organizadas y mafias pero también por ser la localidad que tiene los mayores fabricantes de componentes electrónicos como por ejemplo, Foxconn. En los primeros seis meses desde su apertura, vieron como los casos de reparaciones pasaron de 200 a 2.000, más de los casos que llegan a la tienda Apple que se encuentra en la Quinta Avenida de Nueva York.

Para evitarlo, Apple designó un sistema de reservas para el Genius Bar el cual entre otros datos, pedía una prueba de propiedad del iPhone. Por otro lado, también utilizaba un tinte especial que extendían por las baterías, el cual sólo era visible con una luz especial de alta frecuencia y así podían detectar las falsas durante las reparaciones. También desarrollaron un software especial para detectar estos componentes "fake" instalados en el iPhone. Estas medidas funcionaron ya que las reparaciones cayeron hasta un 60%. Ahora tendrán que vigilar las otras ciudades en las cuales se está extendiendo esta práctica ilegal.

domingo, 14 de octubre de 2018

App Store SEO, como optimizar tu app para darle una mayor visibilidad

Con millones de aplicaciones disponibles en la App Store, desarrollar una buena aplicación no es la única tarea en la que centrarse. Un buen marketing y un buen SEO (optimización de la aplicación con el fin de aparecer en los primeros puestos de la App Store) pueden ayudar a una aplicación a recibir la exposición que necesita. La palabra SEO es un término que puede resultar confuso para muchos, un SEO es un proceso que se puede realizar si se quiere optimizar y dar visibilidad a una aplicación o página web que sea nueva o esté en proceso de desarrollo. Para realizarlo se puede recurrir a servicios como SEO Essex o utilizar algunas técnicas de forma independiente.

A la hora de optimizar tu SEO para la App Store de iOS es importante saber hacia qué público está dirigida tu aplicación, partiendo de esto deberás utilizar palabras e imágenes que inciten a su descarga, un buen nombre y unas buenas capturas de pantallas son fundamentales. Otra forma de optimizar el contenido es ser consciente de que otras aplicaciones te hacen competencia y fijarte en sus técnicas de marketing para elaborar técnicas que te ofrezcan una mayor notoriedad. Escoger un icono adecuado es uno de los puntos fundamentales para mejorar tu puesto en las listas de búsqueda, si tu aplicación está enfocada a un público más joven los colores vivos o es uso de personajes animados en el icono te ayudará a captar su atención.

Figura 1: Aplicaciones con mayor popularidad en la App Store de iOS.

Para terminar os recomendamos promover vuestra aplicación en sitios externos. Esta técnica es particularmente beneficiosa ya que crea una “marca” y genera enlaces desde los que acceder a tu aplicación. Un mayor tráfico hacia la aplicación hará que ascienda puestos en la lista de Apps recomendadas. Esta técnica puede utilizarse incluso antes de que la aplicación sea lanzada, lo que hará que el día de su presentación ya sea conocida y tenga más descargas. Esta técnica lleva años realizándose por empresas como Niantic, la cual anunció su aplicación Pokemon Go meses antes de su lanzamiento y como resultado obtuvo más de 30 millones de descargas en los 10 primeros días.

sábado, 13 de octubre de 2018

El manual original y el código fuente del lenguaje de programación Apple Logo II ¿no sabes qué es Logo?

Los que ya tenemos unos años en esto de la Informática, crecimos con el lenguaje de programación BASIC pero otro lenguaje que estaba muy de moda allá por los 80 era el Logo. Este lenguaje de programación estaba orientado a la educación, extremadamente sencillo pero muy visual, ya que se basaba en dibujar usando un puntero (tortuga) en la pantalla y dándole órdenes como ahora veremos. Pues ahora se ha publicado el código fuente original del Apple Logo II (y el manual de referencia original también).

Logo era un lenguaje de programación muy básico diseñado en 1967 por Wally Feurzeig, Seymour Papert (uno de los pioneros de la IA) y Cynthia Solomon en el MIT. Fue programado en un mítico DEC PDP-10 que ejecutaba ITS (Incompatible Time Sharing, el sistema operativo de estos mainframes). Era una variante sencilla de LISP pero además tenía una característica muy llamativa, sobre todo para los niños. Permitía mover un puntero, una especie de tortuga (mascota y logotipo del lenguaje Logo) dándole órdenes sencillas como "Avanza 50 pixeles y gira 90 grados": 

  1. FD 50
  2. RT 90
  3. FD 100
  4. RT 90
  5. WAIT 100
  6. END
Figura 1. Ejemplo de movimiento de la tortuga Logo. Fuente.

Tenía también comandos para hacer bucles, subrutinas, imprimir en pantalla, utilizar listas,  etc. En el manual original de referencia que está publicado en Archive.org puedes echar un vistazo a todos ellos. La primera versión de Apple Logo II funcionaba en cualquier Apple II con 64KB de RAM, pero más tarde sólo funcionaba en aquellos que tenían 128KB como el Apple IIc o IIe. También se llegó a crear una versión en 3D para el Apple IIGS, el Apple II más potente que Apple fabricó por aquella época. También apareció una versión para el Macintosh 128KB, llamada ExpertLogo en 1985.

Figura 2. Arranque y creación de un dibujo en Apple Logo II. Fuente.

El Apple Logo II no fue escrito por Apple, sino por una empresa canadiense llamada Logo Computer Systems (LCSI), aunque Apple estuvo todo el tiempo detrás del desarrollo. La versión de Apple de este lenguaje fue realmente lo hizo popular por aquella época. Viendo las características de Logo para mover la tortuga, podemos fácilmente deducir que es un buen lenguaje de programación para enseñar también robótica. De hecho, el mismo Seymourt diseñó uno de estos robots en 1969 para pasar al mundo real su lenguaje de programación.

Figura 3. Robot Logo. Fuente.

Ahora es posible echar un vistazo esta pieza de la historia de la Informática, en concreto a esta versión para Apple programada en ensamblador 6502. Como bonus, puedes también echar un vistazo a la imagen del ITS, la cual incluso se mantiene actualizada hoy día.

viernes, 12 de octubre de 2018

Apple lanza su Security Update para iOS 12 e iCloud 7.7

Apple ha lanzado una nueva ronda de actualizaciones de seguridad para iOS 12 e iCloud con la intención de resolver numerosas vulnerabilidades. Para iOS, esta actualización de seguridad resuelve dos bypasses de la contraseña y para iCloud también se han arreglado numerosas vulnerabilidades, algunas de ellas críticas. Otros problemas solventados con esta actualización son los relativos a la carga de los dispositivos y algunos bugs que han estado experimentando los usuarios del nuevo iPhone XS con su configuración wifi.

Con el lanzamiento de iOS 12.0.1 Apple ha arreglado dos bypasses, el primero de ellos se llama QuickLook y el segundo VoiceOver, con estos bypasses se podía acceder a contactos, fotos, emails y números de teléfono. Ambas vulnerabilidades han sido descubiertas por el investigador Jose Rodriguez, quien ha demostrado cómo funcionan en un par de videos que ha subido a YouTube. Aunque para explotar estas vulnerabilidades solo se requiera seguir numerosos pasos y tener acceso al dispositivo no son nada sencillas de realizar, sin embargo siguen suponiendo un gran riesgo para los usuarios de iOS. Se ha denominado a las vulnerabilidades CVE-2018-4380 y CVE-2018-4379 respectivamente. 


Tras la actualización de iCloud 7.7 para Windows también se han parcheado numerosas vulnerabilidades, 19 concretamente. De estas vulnerabilidades 13 de ellas permitían la ejecución de código arbitrario. Este tipo de vulnerabilidades son las más peligrosas ya que permiten a los atacantes ejecutar comandos en nuestro equipo remotamente. A estas vulnerabilidades también se les ha asignado su correspondiente código CVE.

jueves, 11 de octubre de 2018

Los Mac con chip T2 quedaran inoperativos al ser arreglados por terceros

Apple es conocida por muchas cosas, una de ellas es su capacidad de elaborar dispositivos con un hardware difícil de reparar. Esta es una de las medidas tomadas por la empresa californiana para evitar que los usuarios realicen reparaciones no autorizadas en los terminales. Hace unos días se han revelado una serie de documentos internos de Apple en los que se explica que la compañía ha añadido un software que bloqueará los nuevos MacBook Pro de 2018 en caso de detectar que el dispositivo se ha intentado reparar por personal no autorizado.

Según los documentos un software desarrollado por Apple llamado Service Toolkit 2 deberá ser ejecutado tras el reemplazamiento de las piezas en el dispositivo, en caso de no poder ejecutarlo el dispositivo quedara “inoperativo”. Todos aquellos dispositivos que ya incorporen el chip T2 se verán afectados por este cambio, lo que incluye al iMac Pro y los MacBook Pros de 2018. Solo dispondrán del software los trabajadores del servicio técnico de Apple y los proveedores de servicio autorizados por la compañía en el programa de reparaciones.

Figurra 1: Mensaje alertando de la necesidad de Service Toolkit 2.

El software es capaz de detectar una gran cantidad de reparaciones distintas, entre las que se incluyen la sustitución del teclado, pantalla, touchpad o el sensor Touch ID. Otra medida tomada para evitar que el software se filtre o pueda ser utilizado por personas no autorizadas es que solo funcionará si el dispositivo está conectado a un servidor de la compañía dedicado a los servicios de reparación y al que es necesario acceder con un usuario y contraseña. Todas estas dificultades harán que sea más difícil para los usuarios de Mac arreglar sus dispositivos en casa o en un proveedor no autorizado. Este problema afectara a todos los usuarios incluyendo a aquellos cuyos países no dispongan de Apple Store o un servicio de reparación autorizado.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares