Menú principal

lunes, 31 de diciembre de 2018

Feliz año nuevo 2019

Hoy llegamos al final del año en Seguridad Apple. Desde este blog hemos querido acercaros toda la actualidad del mundo de la seguridad referente al mundo de la manzana mordida, al mundo de la empresa de Cupertino. Hoy queremos felicitaros el nuevo año que en unas horas comienza y desearos lo mejor a vosotros y vuestros familiares y seres queridos. Nosotros estaremos al pie del cañón desde el día 1, no dejando pasar la oportunidad de seguir informando y seguir trayendo las mejores noticias y artículos técnicos. Brindamos por el 2019. Feliz año 2019.


domingo, 30 de diciembre de 2018

Herramientas de gestión de contraseñas en iOS 12

Uno de los grandes problemas que concierne a la seguridad de nuestras identidades online año tras año es la pésima política de contraseñas que los usuarios solemos tener en nuestras diferentes cuentas. Repetir contraseñas en múltiples servicios, usar contraseñas genéricas, no tener activado un segundo factor de autenticación o simplemente tener nuestras credenciales apuntadas en texto plano son algunos de los ejemplos que ponen cada día en riesgo la seguridad de nuestros servicios.

A lo largo de los años han sido ya muchas empresas las que han propuesto soluciones a estos problemas: gestores de contraseñas, diferentes métodos de autenticación con segundo factor o fortificación de contraseña en base a unas reglas predeterminadas. Medidas que grandes empresas como Google, Microsoft y Apple han sabido implementar en sus productos.

Así, como comentamos anteriormente en este blog Apple ha ampliado las herramientas de gestión de contraseñas en iOS 12, añadiendo funcionalidades como la generación de contraseñas automáticas, la identificación de contraseñas ya usadas y el relleno automático de códigos TOTP mediante Siri. Esto se suma a características ya existentes como la integración de iCloud Keychain en apps nativas o la gestión de contraseñas en todo el ecosistema de dispositivos Apple. Además de todo esto, iOS 12 ha habilitado el soporte de gestores de contraseñas de terceros, como 1Password o Lastpass.

Figura 1: iCloud Keychain, Autofill Password y Sugerencias de Contraseñas en iOS 12
Todas estas novedades se han puesto a disposición de los desarrolladores, para hacer que nuestras aplicaciones sean lo más seguras posibles. Algunas de las características son soportadas nativamente por el sistema, como el relleno automático del sistema o la sugerencia de códigos TOTP, que infieren en los cuadros de texto, detectando si pertenecen a una inserción de contraseña o de código TOTP para aplicar las sugerencias. Aún así desde Apple recomiendan añadir las líneas de código precisas para hacer que estas funcionalidades sean soportadas al 100% de forma nativa, así que pasamos a describir como adaptar tu app para que soporte las nuevas medidas de seguridad en iOS 12.

Para poder implementar todo lo que vamos a explicar en la siguiente parte del artículo, es necesario pertenecer al Programa de desarrolladores de Apple. En este ejemplo nos basaremos en el código descrito en los artículos de Lyndsey Scott y Vineet Choudhary, donde explican en profundidad como montar un servicio web para sincronizar la autenticación de la aplicación móvil mediante el apple-app-site-association. Nosotros nos centraremos en la parte que concierne a iOS.

Lo primero sería acceder al portal de desarrolladores de Apple. Allí, nos dirigiremos a la sección de Certificates, Identifiers & Profiles, para crear un nuevo App ID pinchando en en el botón de Add. Allí añadiremos nuestro Bundle ID, que se corresponderá con el de la aplicación, para posteriormente dentro de Application Services añadir las opciones de Associated Domains y AutoFill Credential Provider, que como sus nombres indican, permiten asociar un dominio existente a nuestra aplicación y permiten rellenar las credenciales de nuestra app a través de iCloud Keychain. Una vez registrada la app, habría que añadir el Team ID y App ID al fichero apple-app-site-association de nuestro servicio.

Figura 2: App ID de la aplicación

Ya en Xcode, iremos al fondo de la pestaña General. Allí, deberemos añadir AuthenticationServices.framework dentro de la sección Linked Frameworks and Libraries para habilitar el framework de gestión de autenticación en nuestra aplicación. Posteriormente en Capabilities habilitaremos Associated Domains, añadiendo el dominio de nuestro servidor y AutoFill Credential Provider para dejar habilitadas las funciones en nuestra app.

Una vez hecho eso, solo tendremos que implementar el mecanismo de autenticación contra nuestro servidor y editar el tipo de Text Field que queremos en cada parte del registro. Para el nombre de usuario pondremos Username en el tipo de contenido. Dentro de la pantalla de acceso pondremos Password en el tipo de Text Field, mientras que en la pantalla de registro pondremos New Password, para habilitar la función de sugerencia de contraseña. Por último pondremos el  tipo .oneTimeCode al textfield que se encargará de introducir el TOTP enviado por SMS.

Por último, solo tendremos que implementar las reglas de validación de contraseñas que queramos implementar en nuestro servicio. Para ello, Apple tiene habilitada una página donde probar las reglas y generar los patrones para nuestra app. Una vez tengamos las reglas que nos interesen, las introduciremos en la casilla Password Rule  del Text Field del tipo New Password para que dentro de la sugerencia de nueva contraseña se adapte a nuestros requisitos.


Así, dejamos un video de un prototipo funcional de una aplicación que hemos creado siguiendo los pasos anteriores siguiendo el código fuente del artículo de Lyndsey Scott, allí podréis descargar el código fuente de la aplicación con todo lo necesario para implementarlo en vuestras apps.

sábado, 29 de diciembre de 2018

Anécdotas y curiosidades de la historia de Apple (Recopilación de invierno, parte 1 de 2)

En agosto recopilamos algunas de las historias (en dos artículos, parte 1 y parte 2) y anécdotas de Apple que publicamos los sábados. Ahora que acaba el año, hemos creado una nueva recopilación, esta vez de aquellos desde septiembre hasta hoy. En esta lista de doce historias, divididas también en dos partes, aparecen aquellas que más nos han gustado o las que han sido más populares. Esperamos que os gusten y ¡Feliz año nuevo!


Cómo Michael Jackson y la Pantera Rosa ayudaron a encontrar el iPad robado de Steve Jobs (lo tenía Kenny "el payaso")

El 17 de Julio de 2012, un asaltante entró a robar en la casa familiar de Steve Jobs ubicada en Waverly Street, en Palo Alto. El robo tuvo un gran impacto en los medios locales e internacionales ya que la muerte de Jobs era reciente (sólo año antes) y cualquier noticia relacionada con él tenía aún un gran impacto en la sociedad. Vamos a contaros la curiosa historia de este robo, cómo localizaron todo el material y en manos de quién estaba.


El ingeniero fantasma y el proyecto que nunca existió, pero que acabó en los PowerPC de Apple: La calculadora gráfica (primera parte)

Esta es la fantástica historia de un ingeniero empeñado en terminar su trabajo a pesar todos los imprevistos de la vida, incluso la cancelación de su proyecto. Ron Avitzur es un programador creador de la famosa calculadora gráfica Graphing Calculator versión 1, la cual se distribuyó en todos los primeros PowerPC que Apple lanzó en marzo de 1994. Lo curioso de la historia es que ni siquiera Apple sabía que esta aplicación iría de serie en sus equipos y el ingeniero que la creó no trabajaba en la empresa de la manzana mordida.


El manual original y el código fuente del lenguaje de programación Apple Logo II ¿no sabes qué es Logo?

Los que ya tenemos unos años en esto de la Informática, crecimos con el lenguaje de programación BASIC pero otro lenguaje que estaba muy de moda allá por los 80 era el Logo. Este lenguaje de programación estaba orientado a la educación, extremadamente sencillo pero muy visual, ya que se basaba en dibujar usando un puntero (tortuga) en la pantalla y dándole órdenes como ahora veremos. Pues ahora se ha publicado el código fuente original del Apple Logo II (y el manual de referencia original también).


NeXT, el fracaso con más éxito de Steve Jobs

NeXT Computer Inc. fue una empresa fundada en 1985 nada más y nada menos que por Steve Jobs, el cual acababa de ser expulsado de su empresa Apple. Su función principal era fabricar estaciones de trabajo orientadas a la educación superior y empresas. Unas 50.000 unidades de sus ordenadores fueron vendidas en total, lo que significa que no tuvo mucho éxito. Pero la influencia de NeXT va más allá de los números como veremos a continuación.


Así es como Steve Wozniak consiguió obtener colores en el Apple II ... el cual era monocromo

Nos encanta hablar de Steve Wozniak y del Apple II, ya que nos ofrece una perspectiva perfecta de un hacker y su obra maestra. Este ordenador salió al mercado en 1977 y una de sus características que le aportaba una gran ventaja sobre sus competidores de la época, era la posibilidad de ofrecer colores en la pantalla de cualquier televisor. Hasta aquí todo normal pero hay un pequeño detalle a destacar: el Apple II era monocromo y no tenía ningún chip dedicado a la salida de vídeo proporcionara una salida en color.


El día que Steve Jobs dijo que destruiría Android y que provocaría una guerra Termonuclear contra Google (y eso que antes eran amigos)

Cuando Google se fundó hace ya 20 años (exactamente el 4 de septiembre de 1998), la empresa no era más que un puñado de entusiastas que habían sido contratados por dos jóvenes de 25 años llamados Sergei Brin y Larry Page. El negocio tenía por delante un futuro prometedor pero la inexperiencia de ambos fundadores era un problema a la hora de buscar inversores. Así que necesitaban un líder, un CEO con experiencia. Y ese líder elegido por ambos era nada más y nada menos que Steve Jobs.

viernes, 28 de diciembre de 2018

Ya está aquí la beta de iOS 12.1.3 para desarrolladores


La semana pasada Apple lanzó una nueva versión beta de una próxima actualización de iOS 12.1.3 para desarrolladores, unos pocos días después de la actualización iOS 12.1.2, (tal y como ya comentamos en este post que venía como respuesta a algunos problemas sobrevenidos en las últimas fechas. Entre ellos, los más destacados corresponden con:
  • algunos bugs relativos a la activación de la funcionalidad eSIM para iPhone XR, iPhone XS, y iPhone XS Max;
  • problemas relacionados con la conectividad en Turquía para esos mismos dispositivos, 
  • cambios de algunas características para iPhone en China después de que la justicia del gigante asiático haya decretado que existía una violación de dos patentes de software de Qualcomm en algunos modelos de iPhone.

Figura 1. Actualización a beta 2 de iOS 12.1.3

Con total seguridad, esta versión iOS 12.1.3 incluirá las mismas correcciones programadas para iOS 12.1.2. De hecho, la versión está marcada como segunda beta en vez de primera beta. Apple también ha puesto a disposición de los desarrolladores las segundas betas de macOS 10.14.3 y tvOS 12.1.2. Aún no hemos visto ningún cambio al usuario en estas versiones beta, lo que significa que probablemente sean versiones estándar de eliminación de errores y mantenimiento. 

Estas navidades y fin de año distan mucho de ser tranquilas para la empresa de Cupertino en materia de actualizaciones. Nos mantendremos atentos a las novedades más reseñables derivadas de estas actualizaciones. 

jueves, 27 de diciembre de 2018

Como acceder al menú de forzar detención en Mac con un Shortcut del teclado

Cuando un ordenador tiene tiempo o ya ha sido sometido a un intensivo uso es habitual que se quede atascado con algunas tareas. En esos casos se puede hacer poco, la mejor opción es acceder al menú de forzado de cierre de aplicaciones. Este menú permite a los usuarios forzar la detención de aplicaciones que no se están comportando correctamente y que no responden. Esta es una de las funciones más útiles tanto en macOS como en el resto de sistemas operativos ya que puede ahorrarte bastante tiempo, dolores de cabeza o tener que reiniciar por completo el equipo arriesgándote a perder el trabajo que hayas hecho con otros programas.

La mayoría de los usuarios ya conocen este menú y como acceder a él, para hacerlo solo tienes que pulsar el icono de la manzana en la barra superior del menú y después seleccionar la opción “Force Quit” (forzar cierre). Aunque este no sea un método complicado ni muy largo a la hora de realizarlo existen formas más fáciles y rápidas de acceder a este menú.

Figura 1: Acceder al menu de forzado de cierre de la manera tradicional

De hecho la forma más rápida de acceder al menú de fuerce de detención es a través de un shortcut o atajo con el teclado. Para hacerlo deberás pulsar Command-Option-Escape. Una vez que hayas hecho esto, el menú de fuerce de cierre de aplicaciones aparecerá permitiéndote cerrar las aplicaciones que no se están ejecutando como deberían. Ahora que ya conoces este pequeño truco no dudes en usarlo ya que te ahorrará bastante tiempo y puede serte muy útil en diversas situaciones.

miércoles, 26 de diciembre de 2018

Mejora la seguridad de tu iPhone deshabilitando Siri con la pantalla bloqueada

En la batalla por dominar el campo de los asistentes inteligentes, los gigantes tecnológicos luchan por ser el elegido para ayudarte en tu vida cotidiana. Esto se traduce en colocar su producto en el mayor número de dispositivos y situaciones posibles. Por su parte Apple ha logrado implementar Siri en la pantalla de bloqueo del iPhone permitiéndote realizar acciones como consultar el tiempo o hacer llamadas sin desbloquear el teléfono. A pesar de que Siri y el resto de asistentes cuenten con un alto nivel de seguridad todas estas integraciones abren la posibilidad de encontrar nuevos bugs que comprometen la seguridad de nuestros dispositivos.

El problema reside en que Siri puede controlar varios aspectos de tu dispositivo, este “control” es necesario para poder navegar por tu dispositivo a través de comandos de voz pero puede suponer un gran riesgo si alguien tiene acceso a tu teléfono ya que podría manipular a Siri para obtener información importante acerca de ti o incluso desbloquear tu teléfono sin conocer tu passcode o utilizar la biometría. Un claro ejemplo de ello es el reciente bug descubierto por Jose Rodriguez, un investigador que ha logrado bypasear la pantalla de bloqueo de iPhone accediendo a la lista de contactos. Cuando se utiliza Siri para realizar una llamada múltiple, iOS solicita autorización para acceder a los contactos y añadir gente a la llamada, pero cuando Apple añadió la función de Facetime grupal en iOS 12.1.1 se olvidó limitar el acceso a los contactos.

Figura 1: Puedes desactivar Siri desde los ajustes.

Apple todavía no se ha manifestado acerca de este incidente, pero por lo general la empresa californiana no tarda en solucionar este tipo de vulnerabilidades a través de actualizaciones una vez que salen a la luz. Por lo general el bypass a la pantalla de bloqueo de los iPhone no es una de las principales fuentes de preocupación para los usuarios de iOS, en parte porque requieren acceso físico al dispositivo, sin embargo estas prácticas son muy fáciles de llevar a cabo y no requieren de ningún tipo de formación, así que pudiendo desactivar Siri en la pantalla bloqueo, por qué correr un riesgo innecesario?

martes, 25 de diciembre de 2018

Una vulnerabilidad en Webkit afecta a las últimas versiones de Safari

Hace unos días se hizo público el código de un exploit para una vulnerabilidad de webkit, el motor de búsqueda que mueve safari y muchas otras aplicaciones y herramientas de macOS, iOS y Linux. El exploit se aprovecha de un error de optimización a la hora de conectar expresiones regulares, lo que puede acabar ofreciendo la posibilidad de ejecutar código arbitrario. Linus Henze, el desarrollador del exploit, ha dicho que la vulnerabilidad ya ha sido parcheada en su origen (Webkit), pero todavía no se ha solucionado en el navegador Safari. Según Henze tanto la versión para iOS como la versión de macOS se encuentran afectadas por el bug, aunque su código solo este diseñado para macOS.

En el caso de iOS, Henze ha dicho que existe un variante de WebKit vulnerable y que afecta directamente a las versiones de iOS que comienzan con la nomenclatura 12.0. En cuanto a macOS la vulnerabilidad también sigue siendo explotable en la versión 10.14 y posteriores. Según Linus los pasos a seguir para obtener un resultado exitoso son muy similares a los que se usaron con el exploit creado hace unos meses por Samuel Grob, al que se le asignó el código CVE-2018-4233 y del que se ha hablado en la Pwn2Own de este año por permitir la ejecución de código remoto en Safari.

“Este es un exploit para las últimas versiones de Safari (como la lanzada el 6 de diciembre de 2018). Como ya se ha arreglado el fallo en WebKit, he decidido hacerlo público” de hecho Henze ha incluido en su GitHub una guía explicado cómo hacer que su exploit funcione correctamente. 

Figura 1: Tweet de Linus Henze.

Aunque el exploit de Henze funcione e incluya instrucciones de uso, un atacante principiante no lo encontraría práctico ya que la protección de Sandbox de Safari podría prevenir que el código se ejecutase correctamente. Para realizar esta prueba de concepto hay que utilizar una serie de exploits conjuntamente con los que se puede evitar la protección de Sandbox explotando otras vulnerabilidades conocidas. En el caso de ser utilizado por un experto este exploit permitiría la ejecución de código arbitrario y a través de él obtener privilegios con los que se podrían bypasear políticas entre ellas la SOP (Same Origin Policy). Esta vulnerabilidad también puede afectar a otros productos basados en JavaScript. Aunque este no sea el caso de Chrome sí podría afectar a algunas aplicaciones basadas en las nuevas versiones de WebKit.

lunes, 24 de diciembre de 2018

Seguridad Apple te desea Feliz Navidad

El equipo de Seguridad Apple te desea feliz navidad. Que pases un día en familia y con tus seres queridos. Nosotros seguiremos mostrándote las noticias del mundo Apple durante estas navidades, no cesamos la actividad. Seguiremos revisando la actualidad, mostrándote las noticias sobre seguridad del mundo de la manzana mordida. Pero hoy, es un día diferente y queríamos felicitaros las fiestas. Mañana volveremos con nuestras noticias diarias. Feliz nochebuena y feliz navidad.


Equipo de Seguridad Apple

domingo, 23 de diciembre de 2018

Fue Noticia en seguridad Apple: del 10 al 23 de diciembre

Quedan dos días para la Navidad y en Seguridad Apple aprovechamos para desearos unas felices fiestas. A continuación os traemos algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 10 explicándoos cómo los creadores de malware están encontrando nuevos métodos para espiar los iPhone y cuales son sus motivaciones para ello.

El martes 11 os hablamos de Homerun, una aplicación que os permitirá controlar de forma ms sencilla los accesorios de Homekit.

El miércoles 12 os contamos como la aplicación de electrocardiogramas ECG App ha detectado problemas cardiacos en un usuario de Apple Watch.

El jueves 13 os avisamos de la llegada de la beta de iOS 12.1.2 para desarrolladores, una actualización en la que la prioridad ha sido el parcheo de errores.

El sábado 15 indagamos en la historia de Apple para hablaros del PowerPC G5, un ordenador con características únicas y un interior diseñado por Jony Ive.

El lunes 17 os contamos como Safari se suma a los navegadores que ofrecen soporte para llaves USB, sin duda una gran apuesta por la seguridad.

El martes 18 os alertamos del uso de aplicaciones que solicitan autenticación con biometría ya que pueden utilizarse para realizar pagos sin vuestro consentimiento.

El miércoles 19 os hablamos de las 13 vulnerabilidades críticas resueltas por Apple en su Security Update de diciembre.

El jueves 20 os avisamos de cuales han sido los problemas de seguridad solucionados por Apple en este mes de diciembre, entre los que se encuentra un bypass de contraseña.

El viernes 21 os presentamos LamePyre, un malware para Mac que es capaz de abrir un backdoor y enviar capturas de pantalla a un atacante.

Finalmente, ayer sábado continuamos contando artículos sobre historia de Apple. En esta ocasión le tocó a John Drapper. Aprovecha estos días más relajados para revisar este tipo de artículos y disfruta del resumen bisemanal del mundo Apple.

sábado, 22 de diciembre de 2018

John Drapper "Capitán Crunch", el hacker del silbato que programó el primer procesador de textos para Apple II desde la cárcel

El Capitán Crunch y los fundadores de Apple tienen una gran cantidad de anécdotas e historias que vivieron juntos, sobre todo al comienzo de la creación de compañía. Debemos recordar que la empresa de la manzana se fundó gracias a la blueboxes, y precisamente de estos dispositivos sabía mucho el Capitán Crunch (aunque esto es otra historia que algún día contaremos). Esta vez vamos a hablar de cómo el famoso phreaker programó el primer procesador de textos EasyWriter para Apple II ... desde la cárcel.

Capitán Crunch era toda una leyenda en 1971 para los amantes de la electrónica, pero también era una persona difícil de localizar. Steve Wozniak era uno de esos amantes de la tecnología así que tenía claro que había que conocer al Capitán Crunch, seguro que aprenderían mucho de él ahora que él y Steve Jobs estaban "jugando" con la electrónica para fabricar lo que más tarde sería el famoso Apple I. El capitán no era fácil de localizar, pero finalmente lo consiguió gracias a uno de sus amigos que logró averiguar el nombre real del Capitán Crunch: John Draper. En siguiente vídeo pertenece a una rara entrevista que le hicieron en 1978, cuando tenía 35 años:


Wozniak cuenta en este enlace el día que conoció al famoso phreaker. Resumiendo, habla que estaba realmente contento e impaciente por conocerle. Esperaba a un héroe, un rebelde que había sido capaz de poner patas arriba a las poderosas compañías telefónicas de la época como AT&T. Finalmente, una tarde llamaron a la puerta de la habitación 110 de la escuela de Norton Hall (donde por aquella época estudiaba Wozniak). Cuando este la abrió, la persona que apareció no era precisamente lo que esperaba. El tipo que estaba de pie enfrente iba despeinado, un poco sucio y además le faltaba un diente. La imagen del antihéroe en persona. De repente, ese personaje dijo "Hola, soy el Capitán Crunch".

Este fue el comienzo de una larga amistad y colaboración con Apple (nunca fue empleado directo, trabajaba como independiente), bueno mas bien con Wozniak, ya que Draper no caía muy bien al resto de trabajadores. La primera de ellas fue crear un un interface (llamada "Charlie Board") para el Apple II que era capaz de identificar las señales y líneas de teléfono, incluidas aquellas que permitían hacer llamadas gratuitas. Finalmente, esta placa no se puso a la venta por razones obvias pero sí que derivó en otros proyectos que permitieron crear varias utilidades como por ejemplo hacer que el Apple II actuara como un contestador automático y otros servicios relacionados con el teléfono. Es decir, había inventado un precursor de los futuros modems.

Figura 1. Bob Gudgel, Dee Pritchard y John Draper en 1971. Fuente.

Pero claro, Capitán Crunch había estado demasiado tiempo jugando con fuego engañando a las grandes compañías telefónicas de la época y finalmente ingresó en prisión por fraude telefónico desde 1976 hasta 1978. En 1979 tuvo que cumplir otra sentencia más pero esta vez tenía más privilegios, como por ejemplo acceso a ordenadores. Fue precisamente durante esa época cuando programó el famoso EasyWriter, el primer procesador de texto para el Apple II, el cual era un proyecto personal de él mismo. En la cárcel, tenía un tiempo asignado en el cual le dejaron utilizar un ordenador que estaba en una habitación de la biblioteca. Como tenía el tercer grado, cada vez que iba de casa a la cárcel tenía que copiar el código fuente del ordenador y viceversa. 

Gracias a EasyWriter y a Visical, el Apple II se convirtió en el mejor ordenador para los negocios de la época. Así que el Capitán Crunch obtuvo bastantes ganancias gracias a las ventas de este procesador de textos pero además, ganó a mismísimo Bill Gates en el contrato que IBM ofertó para crear su propio procesador de textos. John Draper tiene una vida muy interesante y últimamente un poco complicada, seguro que volveremos a hablar de él.

viernes, 21 de diciembre de 2018

LamePyre, un malware que envía capturas de pantalla al atacante

Apple y todas sus plataformas no están exentos de malware, es por esto que tenemos que estar atentos y prevenir lo máximo posible este tipo de amenazas. Un nuevo malware llamado OSX.LamePyre obtiene capturas de pantalla del escritorio y además también ejecuta una puerta trasera o backdoor. Este programa malicioso fue detectado por Malwarebytes el pasado viernes. Vamos a ver cómo funciona este malware para Mac.

La primera curiosidad es que realmente es un script (el usuario puede ver el icono de "Automator", típico para esta clase de programas) el cual decodifica un programa escrito en Python el cual es el encargado de obtener las capturas de pantalla y enviar la información a un centro de mando y control (C2). Los investigadores de Malwarebytes detectaron que el código Python ya había aparecido en otros programas maliciosos similares, como por ejemplo Darthminer.

Figura 1. Script de Automator que decodifica el programa en Python de LamePyre. Fuente.

El software se distribuye simulando ser una copia de la aplicación legítima de mensajería para gamers llamada Discord. También parece que el código fuente no está muy depurado o perfeccionado ya que ni siquiera incluye alguna funcionalidad para intentar hacerse pasar por la aplicación original. De hecho, no es una copia de Discord con modificaciones, tampoco se ejecuta después de abrir el malware. Incluso el icono que utiliza, no tiene calidad suficiente como para intentar simular ser una aplicación legítima. Para mantener el programa en ejecución, el autor ha incluido código el cual prepara la ejecución de un agente o proceso con el nombre "com.apple.systemkeeper.plist".

A pesar de todos estos fallos de programación, LamePyre es bastante sigiloso y efectivo. Es posible que ya tenga abierta la puerta trasera y haya enviado capturas de pantalla antes de que el usuario lo haya detectado. Cualquier precaución es poca a la hora de ejecutar programas en Mac, así que hay que estar siempre alerta y utilizando el sentido común.

jueves, 20 de diciembre de 2018

Problemas de seguridad solucionados por Apple en diciembre (RCE, vulnerabilidades, bypass de contraseñas, etc)

El día 5 de diciembre, Apple publicó una importante actualización para sus principales productos como por ejemplo iCloud, Safari, iTunes, Atajos (Shortcuts), macOS Mojave, High Sierra, Sierra, tvOS e iOS. Entre los problemas solucionados por esta actualización encontramos ejecución de código, escalada de privilegios, vulnerabilidades, DoS, etc. Viendo los problemas de seguridad solucionados, es muy importante tener instalada esta actualización.

Uno de los problemas que más ha dado que hablar en los últimos meses ha sido el bug que permitía acceder incluso a los contactos de un usuario con el dispositivo bloqueado, tal y como ya contamos aquí. La actualización de Atajos es la primera que recibe esta nueva función de iOS pero realmente Apple no nos cuenta demasiado sobre ella ya que no tiene CVE asociado, sólo aparece los agradecimientos a un tal Micah A.

Figura 1. Actualizaciones de diciembre. Fuente.

Otras aplicaciones actualizadas han sido iCloud para Windows 7.9, Safari 12.0.2, iTunes 12.9.2 para Windows, macOS Mojave 10.14.2 y High Sierra, Atajos (Shorcuts) 2.1.2 para iOS (12.0 en adelante), tvOS 12.1.1 (Apple TV 4K y Apple TV, cuarta generación) e iOS 12.1.1 (iPhone 5s en adelante, iPad Air y posteriores y el iPod Touch de sexta generación). Como siempre, recomendamos tener actualizado siempre nuestros dispositivos Apple, es la mejor manera de evitar todo tipo de ataques y malware.

miércoles, 19 de diciembre de 2018

El Security Update de diciembre acaba con 13 vulnerabilidades críticas para macOS e iOS

Como es habitual, Apple ha lanzado una serie de actualizaciones de seguridad para el software de Mac e iOS. Los parches de diciembre también solucionan fallos en tvOS, Safari y en la versión de iTunes e iCloud para Windows. Todas estas actualizaciones deberían de instalarse lo antes posible. Para los Mac, las actualizaciones vendrás de la mano de Mojave 10.14.2, High Sierra Security Update 2018-003 o Sierra Security Update 2-18-006, dependiendo de la versión de macOS instalada en el equipo. Cada actualización incluye la solución de un total de 13 vulnerabilidades, incluyendo 7 que permitirían a una aplicación o usuario malicioso escalar privilegios y obtener el control de los dispositivos.

Estas brechas incluyen dos fallos en Windows Server, tres en el Kernel, uno en el Carbon Core, uno en las imágenes de disco y otro en IOHIDFamily. La actualización también soluciona problemas de exposición en la memoria de del Kernel por parte del driver de gráficos de Intel. Los usuarios de Mac quieren obtener la versión 12.0.2 de Safari con la intención de solventar nueve vulnerabilidades en el navegador y en el funcionamiento de WebKit. Todos los bugs de WebKit permitirían la ejecución de código arbitrario en remoto a través de una página web maliciosa, mientras que las brechas en Safari permitirían la realización de un interface o address bar spooffing además de provocar algunos problemas a la hora de hacer limpieza en el historial.

Figura 1: Actualización de macOS 10.14.2

Para los propietarios de iPhone e iPad, la actualización vendrá con el nombre de iOS 12.1.1, en ella se incluirán parches para las anteriormente mencionadas vulnerabilidades de Safari y Webkit, además de los fallos en las imágenes de disco y en el Kernel. Los fallos que son únicamente relativos a iOS corresponden al bug que permitía acceder a los contactos a través de Facetime y a otros 3 bugs que revelan información comprometida. Para Apple TV el lanzamiento de tvOS 12.1.1 supondrá la solución de todos los bugs derivados de los anteriormente mencionados para macOS e iOS. En cuanto a los usuarios de softwares de Apple en sistemas operativos Windows se encuentran a la espera de la llegada de las actualizaciones de iTunes 12.9.2 e iCloud 7.9 for Windows. Cómo estas dos aplicaciones se basan en componentes de WebKit y Safari, la instalación de los parches también será necesaria en las aplicaciones para Windows.

martes, 18 de diciembre de 2018

Cuidado con las aplicaciones que soliciten huella dactilar (Touch ID)

El uso de la huella dactilar en los sistemas Apple es una actividad bastante frecuente para ejecutar acciones siempre relacionadas con la seguridad del dispositivo. Como por ejemplo, desbloqueo del mismo o incluso autorizar todo tipo de compras. Por este motivo, engañar al usuario para que acepte algún tipo de transacción utilizando el Touch ID es una actividad bastante frecuente entre ciberdelincuentes.

Suelen aparecer como inofensivas aplicaciones de tracking de actividad física o cualquier otra con apariencia legítima. Una vez el usuario ha puesto su huella dactilar en el Touch ID, la app realiza una compra mostrando rápidamente un pop-up y a la vez bajando el brillo de la pantalla para que el usuario no note qué operación se está realizando. Acto seguido, se carga una cantidad pequeña de entre 90 y 120$, para de esa forma cumplir la normativa de pequeños cargos de Apple.

Figura 1. Ejemplo de aplicación maliciosa de tracking solicitando acceso al Touch ID. Fuente.

Algunas de estas apps maliciosas han sido eliminadas del Apple Store, como por ejemplo "Heart Rate Monitor", "Fitness Balance" o "Calories Tracker App". No está claro si vienen de diferentes desarrolladores o es una persona operando con varias cuentas. Lo curioso es que no han sido eliminadas por malware sino por duplicidad, al realizar todas una función parecida. El sentido común suele ser el mejor aliado en estos casos, simplemente pensando dos veces si es necesario que una aplicación, como por ejemplo la mostrada en la Figura 1, necesita realmente acceso con Touch ID.

Los usuarios de iPhone X de momento no tienen este problema pero en cambio, la gran mayoría de usuarios de teléfonos Apple usan modelos anteriores los cuales son propensos a sufrir un ataque de estas características. Pagar con Touch ID es realmente cómodo pero también tenemos que tener en cuenta los riegos que esta práctica puede acarrear. 

lunes, 17 de diciembre de 2018

Safari se suma a los navegadores que ofrecen soporte para llaves USB

Los usuarios de Safari pronto podrán iniciar sesión en sus cuentas utilizando llaves USB. Según la última visualización anticipada del buscador web de Apple, entre las notas de liberación de Safari se incluyen un gran número de nuevas funcionalidades, algunas de ellas son el Dark Mode, animaciones web y soporte para la API de WebAuthentication. A parte de estos curiosos cambios, la última versión del buscador de Apple incluirá una función que permita a los usuarios logarse utilizando llaves USB con protocolos de autenticación (CTAP2).

Las llaves de seguridad USB ofrecen un mayor nivel de protección que las contraseñas escritas y hacen que sea más difícil para los atacantes ganar acceso a tus cuentas a través de Phishing u otro tipo de ataques. Safari ha sido el último navegador en añadir soporte para las llaves USB, durante el pasado año esta medida de seguridad fue implementada en Firefox y días después en Google Chrome. Actualmente existen varios servicios que ofrecen soporte para esta tecnología, entre ellos Facebook, Twitter y Microsoft Office 365. 

Figura 1: Titan Security Key de Google

La popularidad de las llaves USB se disparó a comienzos de año cuando Google reveló que hasta 85.000 de sus empleados utilizaban Titan Security Keys internamente para eliminar por completo la posibilidad de caer en un ataque Phishing. De hecho, tuvieron tanto éxito que el gigante tecnológico decidió ponerlas a la venta en su página web. Mientras que las llaves USB ofrecen una mayor protección que las contraseñas tradicionales, requieren que los usuarios lleven encima otro dispositivo en todo momento. En este caso los beneficios superan con creces los inconvenientes, además su pequeño tamaño te permitirá llevarlas en tu llavero y tenerlas siempre localizadas.

sábado, 15 de diciembre de 2018

Las geniales características pioneras del Mac PowerPC G5, cuyo interior fue diseñado por el mismísimo Jony Ive

Apple ha sido pionera en aplicar muchas ideas revolucionarias en su línea de productos. Desde apostar por el USB tal y como contamos aquí o también en la presentación del iPhone donde el dedo del usuario es el medio de comunicación con la máquina (por aquella época en otros dispositivos, el interfaz era un lápiz). Otro de esos hitos fue instalar de serie en algunos modelos de la serie Power Mac G5 la refrigeración líquida en un modelo comercial en la historia de la Informática y además también fue el primero en usar arquitectura de 64bits.

El Power Mac G5 estuvo en el mercado desde 2003 hasta 2006, convirtiéndose en uno de los ordenadores más potentes de la serie Mac y del mercado de la época en general. Era además, el primer ordenador de escritorio que utilizaba la tecnología de 64bits, como ya hemos comentado antes. El corazón de este equipo era un PowerPC 970 ó G5 (el último de la saga PowerPC antes del cambio a tecnología Intel por parte de Apple) entre 1,6 y 2,7GHz que ofrecía diferentes gamas de procesador (single core, dual core, etc). Partían de una memoria RAM de 8GB pero se podía ampliar hasta 16GB (según el modelo), una tarjeta gráfica AGP 8X, Gigabit Ethernet, Serial ATA para el almacenamiento y un SuperDrive.

Figura 1. Detalle del interior y del sistema de refrigeración líquida del PowerMac G5. Fuente.

Fue presentado por el mismísimo Steve Jobs en una keynote en en junio de 2003. Como curiosidad, Jobs afirmó que pronto este modelo de ordenador llegaría la velocidad de 3GHz, pero nunca llegó a ocurrir (lo consiguieron en 2006 con otro modelo de Mac Pro basado en Xeon). El diseño del equipo es bastante llamativo y como curiosidad, incluso el interior del equipo (parte del ordenador que prácticamente ningún usuario llegaría a ver) fue creado por el mismísimo Jonathan Ive (el genio detrás de los fantásticos diseño de los productos Apple). Esta obsesión por el diseño por parte de Steve Jobs, incluso de las entrañas del ordenador, ya la hemos contado aquí cuando Steve Jobs dijo que no le gustaba la placa base del primer Macintosh.

Figura 2. Detalle del fantástico diseño interior del PowerPC G5 creado por Jony Ive. Fuente.

Otras de las características de este modelo era la inclusión de un sistema de refrigeración líquida en vez del típico con ventiladores. Este novedoso método de refrigeración venía de serie en los modelos Power Macintosh G5/2.5 DP (PCI-X) (junio de 2004), Power Macintosh G5/2.7 DP (PCI-X) (principios de 2005), y Power Macintosh G5 "Quad Core" (2.5) (finales de 2005). Aunque este modelo tuvo mucho éxito, no estuvo exento de problemas relacionados sobre todo con el ruido y problemas también de calentamiento, al menos estos problemas se fueron corrigiendo en los modelos posteriores. Otro ordenador icono de Apple que cualquier coleccionista querría tener en su colección.

jueves, 13 de diciembre de 2018

Ya está aquí la beta de iOS 12.1.2 para desarrolladores

Apple acaba de lanzar la primera beta de iOS 12.1.2 para desarrolladores. La actualización viene apenas unos días después del lanzamiento de la versión 12.1.1 de iOS abierta al público, una actualización que llevaba en fase beta desde Halloween. Por el momento, no parece que la última beta ofrezca ninguna nueva funcionalidad para los usuarios de iPhone. Según los expertos, de esta actualización se espera la solución de bugs y algunos fallos menores. En la descripción de la actualización Apple solo lista dos novedades, una acerca de un problema conocido y otra acerca de la resolución de un problema de audio en ciertas aplicaciones de terceros.

A parte de estas dos cosas y el parcheo de varias pequeñas vulnerabilidades Apple no parece querer soltar la lengua acerca del resto de novedades hasta el lanzamiento de la versión pública. Para descargar y actualizar tu iPhone a iOS 12.1.2 dev beta 1 es necesario estar registrado en el programa de desarrolladores y disponer de una configuración de perfil válida. Si tienes activadas las actualizaciones automáticas en iOS 12 es posible que se te actualice el software de la noche a la mañana sin que tes cuenta. Para descargar la beta manualmente accede a la aplicación de Ajustes y en el apartado “General” accede a “Actualización de Software” y pulsa en “Descargar e instalar” a continuación sigue los pasos que se mostraran en la pantalla.

Figura 1: Actualización a beta 1 de iOS 12.1.2

A pesar de que iOS 12.1.2 no parezca incluir ningunos cambios mayores, iOS 12.1.1 trajo consigo el lanzamiento de varias herramientas y características interesantes. Una de estas novedades fue el lanzamiento de un renovado Facetime con nuevas funciones el cual obtuvo un gran nivel de aceptación y gustó mucho a la comunidad de iOS.

miércoles, 12 de diciembre de 2018

Un usuario de Apple Watch detecta un problema en el corazón gracias a la aplicación de electrocardiograma ECG App

La nueva aplicación ECG (electrocardiograma) del Apple Watch ya está disponible en EEUU con la nueva versión de Apple watchOS 5.1.2. La mayoría de los usuarios ven esta app como algo útil sólo para el deporte, pero al parecer, la calidad de este programa para crear un electrocardiograma es tan buena hasta el punto de posiblemente haber salvado la vida de un usuario de Apple Watch

Este usuario, como tantos otros, actualizó su Apple Watch con esta nueva versión y comenzó a probar la aplicación ECG. En las pruebas parece ser que se detectaba una fibrilación auricular (arritmia cardíaca). Apple nos avisa que es posible que se creen falsos positivos así que este usuario volvió a realizar más pruebas pero siempre obtenía el mismo resultado con la misma arritmia. La prueba definitiva fue poner el reloj a su pareja y ver que a ella no le aparecía esta anomalía. Era el momento de ir al hospital. El siguiente vídeo muestra cómo funciona la aplicación:




Una vez allí le hicieron varios ECG pero esta vez con equipo profesional, dando todas positivas con el mismo problrma. Entonces el médico le dijo "Esto (Apple Watch) probablemente le ha salvado la vida. Leí sobre esto (ECG app) la pasada noche y pensaba que alguien vendría por aquí por este motivo. Pero nunca pensé que fuera al día siguiente a primera hora de la mañana". 

Los dispositivos que monitorizan nuestra salud (el Apple Watch entre ellos) ya tienen un largo historial de casos donde han podido salvar la vida de la persona que lo lleva puesto, al medir cambios en la frecuencia o latidos del corazón, hacer llamadas SOS, etc. 

martes, 11 de diciembre de 2018

HomeRun: la App que ofrece una forma sencilla de controlar los accesorios de HomeKit

Si utilizas la aplicación Home desde tu Apple Watch para controlar tus accesorios de HomeKit ya debes saber acerca de sus limitaciones. La aplicación Home puede resultar lenta, sobre todo en los modelos antiguos de Apple Watch y debido a su diseño a veces puede resultar un poco pesado moverse por la lista de opciones o estancias. Aun así el peor inconveniente de la versión de stock de la aplicación Home para watchOS es que no ofrece a los usuarios acceso a las distintas habitaciones. 

Una nueva aplicación para watchOS llamada HomeRun se presenta a sí misma como una genial alternativa para los usuarios de HomeKit. Esta herramienta permite a los usuarios personalizar por completo el aspecto de su aplicación en el reloj ofreciendo las funciones de diseño que incluye la aplicación Home para iPhone. Con HomeRun podrás crear “títulos” para las diferentes habitaciones y ordenarlos como te parezca. El interfaz de usuario está muy bien diseñado y hace posible acceder a varios lugares desde la pantalla principal sin tener que andar buscándolos en una lista o en el menú. La aplicación también te permite elegir cuantos iconos tener por cada línea, pudiendo elegir desde 1 hasta 3.

Figura 1: HomeRun para Apple Watch.

Otra de las opciones de personalización por la que destaca HomeRun es la posibilidad de escoger los colores y el dibujo de cada icono. Todo esto puede hacerse rápidamente desde la aplicación de HomeRun tanto para iPhone como para Apple Watch. Una vez hayas acabado de diseñar tus iconos personalizados también podrás escoger en que cara del reloj quieres que se muestren. Esta función te resultará muy útil ya que podrás tener más a mano los dispositivos que utilices habitualmente. Podrás obtener HomeRun por tan solo 2.99 dólares desde la App Store.

lunes, 10 de diciembre de 2018

Creadores de malware están encontrando nuevos métodos para espiar iPhone

Gracias a la combinación de fuertes controles e innovadoras medidas de seguridad Apple ha convertido su iPhone en uno de los productos más seguros para los consumidores de todo el mundo. Por desgracia, nada es imposible de hackear y el malware en iOS es más común de lo que la gente cree. A principios de este año, la firma de ciberseguridad Kaspersky Lab encontró la prueba de que un desarrollador de spyware para el gobierno llamado Negg había desarrollado un malware personalizado para iOS que permitía el rastreo GPS y que tenía acceso a la actividad de audio. A pesar del descubrimiento Kaspersky Lab no lo hizo público al tratarse de un malware todavía en proceso de desarrollo.

El malware en iOS siempre ha sido poco común gracias al incremento de la dificultad de los Jailbreak en los iPhone y el empeño de Apple por bloquear sus dispositivos. Este esfuerzo por parte de la compañía ha provocado que se ponga precio a los bugs y exploits que se descubran en sus sistemas operativos. A día de hoy hay compañías que ofrecen hasta 3 millones de dólares por softwares que sean capaces de llevar a cabo un jailbreak o sean capaces de hackear dispositivos, haciendo que muchos desarrolladores se muestren reacios a reportar los bugs que encuentran por el simple hecho de que hay compañías que les pagarán mejor. Pero las compañías no son las únicas en ofrecer dinero por este tipo de herramientas, hace tiempo se descubrió que el gobierno de Arabia Saudí pagó alrededor de 55 millones de dólares por un malware para iPhone desarrollado por la firma NSO Group.

Figura 1: iPhone con perfil MDM instalado

A comienzos de este año mientras investigaba un sofisticado spyware para Android desarrollado por Negg, Kaspersky Lab descubrió un servidor preparado para la realización de ataques MDM (Mobile Device Management) en dispositivos Apple. La función MDM de iOS permite a las compañías que utilizan iPhone monitorear la actividad de los dispositivos de sus empleados a través de la instalación de un perfil MDM. Durante la investigación se descubrió que Negg es una pequeña empresa desarrolladora italiana. Todavía no se sabe cómo este malware fue distribuido por los hackers del gobierno, sin embargo los expertos de Kaspersky Lab han especulado acerca de la ingeniería social ya que por el momento no se ha descubierto la forma de instalar un perfil MDM sin tener acceso físico a los dispositivos.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares