Menú principal

sábado, 20 de julio de 2019

"Sosumi" o cuando la discográfica de los Beattles (Apple Corp.) demandaba a Apple Inc. hasta por los nombres de los sonidos del sistema operativo

En los años 90, Apple Inc. llegó a un acuerdo con la otra empresa Apple Corps, conocida por ser la discográfica de los Beatles, para no entrar en el mundo de la música y así evitar cualquier confrontación debido a su nombre en común. Todo fue bien hasta que apareció el Apple IIgs, el cual tenía un puerto MIDI por defecto, lo que terminó en una denuncia por parte del Apple de los Beatles. A partir de este punto, cualquier cosa que tuviera que ver lo más mínimo con la música (hasta una melodía de arranque) tenía que ser revisado por el equipo de abogados de Apple Inc.

Con el famoso sistema operativo System 7 se incluyó un gestor de sonidos el cual tenía mucha más calidad de audio para reemplazar las viejas APIs, haciendo que fuera posible reproducir audio de playback de calidad. Jim Reekes fue el ingeniero que gestionó el desarrollo todo lo relacionado con el audio del Mac, desde 1990 hasta 1999. Él fue, entre otras cosas, el creador del famoso acorde de arranque tan característico incluso hoy día en los ordenadores de Apple. A pesar de ser sólo eso, un acorde, la empresa Apple de los Beatles advirtió a Apple Inc. que "Xylophone" (nombre final que se le asignó) era demasiado musical y debía de ser renombrado.

Figura 1. Jim Reekes, foto tomada en 2018 en su estudio. Fuente.

Reekes primero hizo la broma renombrado el fichero llamándolo "Let it bleep", pero obviamente, estaba claro que este nombre no sería adecuado y acabaría en una demanda. El enfado de Reekes con este tema era evidente hasta el punto de llamar al fichero esta vez "so sue me"("entonces denúnciame"), el cual finalmente fue renombrado como "sosumi" para que no fuera tan evidente el claro guiño a los abogados de la discográfica de los Beatles.  Al principio, Reekes pensaba que ese nombre no pasaría el corte y sería rechazado por los abogados de Apple Inc. pero sorprendentemente sobrevivió  convirtiéndose parte del folclore que rodea a la empresa de la manzana.

Figura 2. Gestión de sonidos del System 7 de Apple donde aparece el sonido "Sosumi". Fuente.

Esta batalla sin cuartel entre las dos Apple terminó en 2007, cuando llegaron por fin a un acuerdo legal para acabar con esta absurda guerra de nombres. Reekes también es el creador del sonido (además de muchas de otras características) de la cámara que podemos encontrar en los Mac y los iPhone, el cual por cierto, proviene de una cámara Canon AE-1 de finales de los 70. También formó parte del equipo creador de la aplicación QuickTime

viernes, 19 de julio de 2019

Pwn20wnd ha confirmado que su jailbreak es compatible con iOS 13

Desde su lanzamiento, Cydia se ha convertido en una herramienta imprescindible para aquellos que deciden hacer jailbreak en sus dispositivos, por desgracia Saurik, su creador dejó de trabajar en la herramienta hace tiempo, pero permitiendo que los desarrolladores pudiesen trabajar sobre ella y modificarla en función de sus necesidades. Eso mismo es lo que han hecho algunos desarrolladores independientes o equipos como el de Unc0ver o Electra adaptando Cydia para compatibilizarla con sus proyectos e ir lanzando nuevas versiones de jailbreak. La semana pasada el desarrollador Pwn20wnd junto a su equipo anunció en Twitter que Cydia será compatible con iOS 13 si se realizan algunos cambios menores en la herramienta.

Desde que Cydia dejó de estar mantenido han nacido algunos nuevos gestores de archivos como Sileo (desarrollado por el equipo de Electra) o Installer 5 package manager un gestor con un aspecto similar al de la App Store. Estos gestores funcionan bastante bien, pero si eres un usuario reacio a los cambios vas a tener suerte. Pwn20wnd ha dicho a través de Twitter que ha probado Cydia en iOS 13 en un dispositivo sin jailbreak a través de la virtualización de iOS CorelliumHQ y que debería ser compatible realizando algunos cambios menores. Sin duda esta es una gran noticia para el mundo del jailbreak ya que Cydia Substrate es un componente fundamental que permite la instalación de tweaks en los dispositivos “liberados”.


Aunque todavía no haya salido ningún jailbreak que funcione en iOS 13 estas son noticias alentadoras para la comunidad del jailbreak. iOS 13 llegará en septiembre de este año, hasta entonces los desarrolladores no podrán trabajar en el desarrollo de una versión totalmente compatible con iOS 13. Además cada vez que aparece un nuevo jailbreak este pasa por un proceso de preparación para ser lanzado públicamente retrasando un poco más su llegada. Independientemente de lo que tardemos en tener un jailbreak para iOS 13 el hecho de que Cydia Substrate pueda trabajar con la nueva versión del sistema operativo (haciendo cambios menores) es una gran noticia para los desarrolladores y para los amantes del jailbreak.

jueves, 18 de julio de 2019

Se ha encontrado un problema en la placa lógica de algunos MacBook Air de 2018

Hace apenas unos días la firma californiana detectó la existencia de un problema en la placa lógica de algunos MacBook Air del 2018 gracias a un documento interno de la empresa. Por suerte para los propietarios de uno de estos dispositivos el número de equipos afectados parece ser muy pequeño y ya se ha notificado a las tiendas Apple y demás proveedores que trabajan con la marca. Al tratarse de un defecto de fábrica Apple correría a cargo con el coste de la reparación de los dispositivos afectados (habría que sustituir la placa principal) sin coste alguno.

Si tienes uno de estos dispositivos y no sabes si este se encuentra afectado por el problema no te preocupes, Apple ha comunicado que se pondrá en contacto con todos aquellos clientes afectados a través de un correo electrónico en el que se avisa de que sus portátiles deberían llevarse al servicio técnico para la sustitución de la placa afectada. Por el momento Apple no ha querido compartir detalles acerca de este fallo ni de cómo puede afectar al correcto funcionamiento de los dispositivos. 

Figura 1: Aspecto de las placas lógicas afectadas

La reparación solo se llevará a cabo en caso de ser necesaria y siempre y cuando no hayan pasado más de cuatro años de la compra del dispositivo. En el caso de que el equipo tenga algún otro daño ocasionado por el cliente este no será reparado a no ser que el cliente lo solicite (lo tendrá un coste adicional), al igual que si hay algún otro elemento dañado que impida reemplazar correctamente la placa lógica. Si tienes un MacBook Air y quieres salir de dudas acerca de si tu equipo puede estar afectado te recomendamos que programes una cita con el soporte de Apple a través de su página web, ya que cuando se ingresa el número de serie de un equipo afectado en el sistema informatico de Apple este notificará automáticamente a los técnicos de que es necesario el reemplazo de la placa lógica.

miércoles, 17 de julio de 2019

El esquema URL en iOS es vulnerable al Highjacking

El formato o esquema URL en iOS ofrece a los desarrolladores un medio para comunicar apps entre ellas. Pero más allá de la comunicación, con incluir el nombre de la aplicación en la misma URL es también posible abrirla o ejecutarla. Por ejemplo, "facetime://" abrirá FaceTime para realizar por ejemplo, una llamada. Este es sólo uno de los muchos esquemas que existen con este formato para las URL. El abuso de los esquemas URL puede acabar siendo un problema para la seguridad como veremos a continuación.

Apple utiliza un mecanismo de sandbox para la seguridad y privacidad de los datos contenidos en las apps creadas para iOS. Es un sistema bastante seguro pero tiene un pequeño problema: limita demasiado la comunicación entre aplicaciones. Aquí es donde entra el esquema URL. iOS permite un único esquema URL para que dicha aplicación pueda ser llamada por otras, utilizando un sencillo método en el cual se aplica el principio de orden de llegada, es decir, sólo se ejecuta y se registra como auténtica la primera aplicación que utilizó dicho esquema en primer lugar. Aún así, es posible explotar esta vulnerabilidad tal y como explican a fondo en la web de Trend Micro para conseguir un ataque tipo Highjacking (o secuestro)

Figura 1. Aspecto de un token de login robado por la aplicación URLSchemeAttack. Fuente.

Otro de los problemas relacionados con los esquemas URL es que estos pueden ser utilizados para ejecutar aplicaciones, como hemos comentado al principio de este artículo. Es decir, una aplicación maliciosa podría registrar una URL específica, existiendo la posibilidad de que dicho malware se pudiera ejecutar simplemente lanzando dicho esquema URL. Existen muchas aplicaciones de este tipo las cuales intentan reclamar el esquema URL perteneciente a otras aplicaciones conocidas como wechat://, fb://, etc. Esta práctica está muy extendida para conseguir ejecutar pop-ups con publicidad no solicitada.

Figura 2. Algunas aplicaciones maliciosas que intenta sacar provecho de aplicaciones populares. Fuente.

Los esquemas URL pueden ser peligrosos y no se recomiendan para transmitir información sensible o confidencial. Un atacante puede aprovechar la función de "no autenticación" ya que los datos se transfieren independientemente del origen o destino. En su lugar, se recomienda utilizar los llamados universal links, ya que configurando un enlace de este tipo creamos un interfaz de login además de una identificación aleatoria para autenticar el token de inicio recibido. De esta forma es sencillo prevenir un ataque tipo Highjacking además de la reproducción del token de login.

PwnedWord: El atajo de Siri que te dice si tu contraseña se ha filtrado

No debería extrañarnos que se diga que en la red se filtran contraseñas constantemente, y que existen multitud de sitios que permiten consultar si una determinada cuenta o contraseña se ha visto comprometida, algo que todo deberíamos comprobar periódicamente. Ahora podremos hacer está comprobación a través de un atajo en Siri, que se llama PwnedWord, y va a permitir a los usuarios verificar si sus contraseñas se han filtrado con la técnica ‘k-anonymity’.

¿Cómo se realiza la consulta? Envía los 5 primeros caracteres del hash a pwnedpasswords.com, el servicio devolverá todas las contraseñas que coincidan con esos primeros 5 caracteres del hash enviado, para terminar en el propio iPhone se comprobará el hash completo de la contraseña con el hash de todas las devueltas por el servicio.

Figura 1 - Usando PwnedWord (Fuente)

Como resultado, el atajo te mostrará un mensaje felicitándote por tener una contraseña robusta y ‘nunca’ filtrada, o por el contrario, te indicará el número de veces que se ha visto comprometida. Si tu contraseña se ha filtrado, no olvides cambiarla de inmediato, además, si no lo haces ya, ves pensando en agregar un doble factor de autenticación.

Antes de descargar el atajo de icloud y poder hacer uso de él, tienes que activar la opción que permita atajos no confiables, esto se encuentra en el apartado de configuración, dentro de la opción de atajos.

martes, 16 de julio de 2019

El primer Jailbreak para Apple Watch podría llegar antes de fin de año

Ya hace más de cuatro años del lanzamiento de la primera versión del Apple Watch, debido a su gran éxito muchos desarrolladores han decidido trabajar en el desarrollo de un jailbreak para explotar todo el potencial del reloj inteligente de Apple. Por desgracia para los usuarios todos los jailbreaks logrados en el pequeño dispositivo hasta el momento no se han liberado debido a la dificultad que supone su integración. Por suerte para muchos esto parece haber cambiado, el hacker conocido en twitter como @ethanpepro ha anunciado que continuará trabajando en un jailbreak para watchOS 5 que recibirá el nombre de benbreak y que será lanzado en el cuarto trimestre de este 2019.

También se ha habilitado una página web dedicada a este futuro jailbreak con el lema “Libera tu Apple Watch”. En la página de benbreak también se ha mencionado que el este será compatible con todos los modelos de Apple Watch capaces de correr versiones comprendidas entre watchOS 4.0 y watchOS 5.1.2. Puedes visitar la página de bembreak pinchando Aquí. Hace apenas unos días Apple lanzó watchOS 5.2.1, lo que significa que las personas que ya hayan actualizado su Smart watch ya no podrán disfrutar de las novedades que ofrezca este jailbreak a no ser que @ethanpepro logre que su jailbreak sea compatible y lo actualice.

Figura 1: Apple Watch Series 4.

La posibilidad de hacer jailbreak al Apple Watch ofrece a los usuarios la capacidad de personalizar sus dispositivos a su gusto, algo que no ha sido posible hasta ahora desde su lanzamiento. Con este jailbreak será posible utilizar fondos de pantalla y temas que no sean compatibles con las versiones más antiguas del dispositivo, instalar aplicaciones que no se encuentren en la App store y modificar otras funciones y aspectos del reloj. Desde Seguridad Apple aprovechamos para recordaros que un Jailbreak nos hace perder seguridad en el dispositivo, por lo que si te preocupa la seguridad del dispositivo debes tener esto en cuenta.

lunes, 15 de julio de 2019

WatchOS 6 allana el camino a tener un reloj independiente del iPhone

La tendencia que esta llevando Apple con su Watch nos hace prever una ‘independencia’ de este terminal con respecto al iPhone, probablemente lo pensarás cuando agregaron la funcionalidad LTE en el Apple Watch. Ahora con watchOS 6 se puede ver más claro agregando la App Store en el dispositivo, dando la posibilidad a los usuarios de instalar aplicaciones para watchOS directamente desde el reloj, recordamos que en versiones anteriores solo era posible a través de un iPhone.

Además, se ha revelado en la beta del watchOS 6 que dentro de la configuración existe una opción que va a permitir actualizar el software del reloj, se puede apreciar en la figura 1.


Figura 1: Actualización dentro del Apple Wath (Fuente)

No obstante, no es una funcionalidad que dependa completamente del reloj, ya que esta opción de actualización solo va a permitir comprobar si existen actualizaciones, pero a la hora de descargarla, va a seguir exigiendo que los usuarios aprueben dicha descarga desde su iPhone. Por esto, la ‘independencia’ total no se ha conseguido, pero está en camino, y parece que llegará en un futuro muy cercano ¿puede ser con el lanzamiento oficial de watchOS 6 en otoño? Lo iremos viendo.

domingo, 14 de julio de 2019

Japón levanta nuevas restricciones comerciales a los proveedores Coreanos de Apple

A partir del 4 de julio entrarán en vigor las nuevas restricciones impuestas por el gobierno japonés a Corea del sur. Estas medidas afectaran a varias compañías tecnológicas de Corea del sur, incluyendo a algunos de los proveedores clave para Apple, entre los que s encuentran Samsung y LG, todo ello como una represalia después de que la corte coreana dictase que el gobierno nipón debía pagar por el trabajo forzado sufrido por los coreanos durante la segunda guerra mundial.

El gobierno japonés está poniendo fin al trato preferente en la exportación de las poliamidas fluoradas usadas en la elaboración de pantallas y en el fluoruro de hidrogeno utilizado para grabar silicio (dos elementos muy utilizados en la elaboración de dispositivos tecnológicos). Los exportadores japoneses tendrán que solicitar permiso cada vez que deseen enviar un pedido a Corea, un proceso largo cuya aprovación puede llevar hasta 90 días. Esto supone un gran problema para las empresas tecnológicas coreanas, ya que actualmente Japón produce alrededor del 90% de la poliamida fluorada y el 70% del gas de grabado

Figura 1: Posible aspecto que tendrá el iPhone 11.

La solución a esta disputa parece distante, el gobierno japonés insiste en que el conflicto por los trabajos forzados acabó en 1965, cuando se restauraron las relaciones diplomáticas con Corea del sur, aunque desde enero Corea ha rehusado de dialogar con Japón. Samsung y LG se supone que serán los principales proveedores de pantallas OLED para los iPhones, esto puede suponer una grave crisis antes del lanzamiento de los modelos de 2019. En el caso de seguir este bloqueo Apple podría verse obligado a negociar con algunas empresas japonesas para que se encarguen de la fabricación de sus LCDs y de sus paneles OLED, a pesar de que estas empresas se encuentren por detrás de sus rivales coreanos. Nos mantendremos al tanto para saber cómo desenlaza esta tensa situación.

sábado, 13 de julio de 2019

El espectacular prototipo del ordenador modular de Apple (llamado en clave "Jonathan") compatible con Mac, Unix y MSDOS diseñado en 1985

Hoy vamos a contar la historia de un ordenador que nunca se llegó a fabricar pero que, de haberlo hecho, seguramente hubiera sido un gran revulsivo en el creciente mercado informático de la época. A comienzos de 1985 Apple necesitaba un impulso en sus ventas del Macintosh pero aún dependían demasiado del fantástico Apple II, el cual se vendía mucho mejor por aquella época. Unix y MS-DOS eran los sistemas operativos más utilizados así que había que buscar una solución compatible con ellos.

Apple sólo tenía el 15% del mercado de los ordenadores en 1985. El resto se lo repartían entre los compatibles con MS-DOS (la mayoría IBM) y otros (sobre todo mainframes en el mundo de la investigación y la educación) con Unix. Apple necesitaba colocar un Macintosh en cada hogar, oficina, universidad, etc. John Fitch, uno de los ingenieros que trabajó en el diseño del Apple IIgs, estaba preocupado por el poco seguimiento de los productos asociados y compatibles con el Apple II. La era del ordenador de Steve Wozniak había llegado a su fin. Había llegado el momento de reinventarse.

Figura 1. Prototipo original del concepto "Jonathan". Fuente.

Fitch, inspirado en la arquitectura abierta que siempre ha caracterizado al Apple II (incluso abrirlo para acceder a sus componentes internos era realmente sencillo, sin tornillos), propuso a Steve Jobs y a John Sculley (el cual acababa de llegar a la compañía de la mano de Steve Jobs) un producto modular, el cual utilizaría el nuevo microprocesador Motorola 68030, lo suficientemente potente para negocios y aplicaciones más complejas (como investigación) pero que a la vez también fuera asequible para tenerlo en todos los hogares.

El diseño final era realmente espectacular como se puede apreciar en la Figura 1 y 2. Fitch mostró un prototipo el cual tenía una base principal (backbone) sobre el cual se irían conectando, diferentes módulos (como si fueran libros en una estantería) de hardware cada uno ejecutando por ejemplo, un Apple II completo, un hardware compatible con Unix, otro con MS-DOS y dejando abierta la arquitectura para otros sistemas operativos futuros gracias al backbone. Es  decir, cada módulo sería un ordenador completo compatible con un sistema operativo específico. De esta forma, el usuario podría ir actualizando su arquitectura en función de sus necesidades simplemente añadiendo un módulo adicional, comenzando por un hardware básico el cual se iría actualizando si fuera necesario con dichos módulos.

Figura 2. Prototipo final presentado al staff de Apple del "Jonathan". Fuente.

Fitch llamó a este concepto "Jonathan" y pregunto la famosa empresa Frog Design si podían preparar un prototipo del mismo, utilizando como base la metáfora de los libros. Finalmente, después de nueve meses de trabajo, en junio de 1985, Fitch presentó al staff directivo de Apple un prototipo de su concepto. La verdad es que inicialmente, tuvo un impactó bastante positivo entre los directivos de la empresa ya que su diseño e hipotética compatibilidad con todo eran unas características imbatibles en el mercado. Seguramente pensaréis que fue Steve Jobs quien puso los inconvenientes principales al producto pero no, esta vez fue Jean-Lous Gassée, jefe de desarrollo de productos el cual dijo que vender dos o tres "Jonathans" equivaldría a obtener el mismo beneficio que vender un Macintosh II. Además John Sculley también secundó las afirmaciones de Gassée por lo que el proyecto finalmente se canceló.

Figura 3. Jean-Louis Gassée y John Scully en las oficinas de Apple en 1986. Fuente.

Por lo menos, todo el trabajo realizado por los diseñadores e ingenieros no quedó en nada. Fitch lo reutilizó más tarde con el Motorola 68030 en el Mac IIx y el IIfx, además del diseño utilizado en el Jonathan. De hecho, se convirtió en una línea que Apple utilizaría durante mucho tiempo en sus productos. Esta línea de diseño se llamó "snowwhite", pero esta es otra historia ;)

viernes, 12 de julio de 2019

Una vulnerabilidad en el Apple Watch fuerza a Apple a deshabilitar temporalmente la app Walkie-Talkie

La aplicación Walkie-Talkie del Apple Watch ha sido deshabilitada después de que Apple encontrase una vulnerabilidad que permitiría a las personas escuchar los iPhone de otros, eso es lo que la compañía ha explicado a TechCrunch. Por el momento la compañía de la manzana no tiene indicios de que esta vulnerabilidad haya sido explotada y por el momento no ha querido dar detalles de cómo funciona. La única información que ha revelado Apple es que para explotar la vulnerabilidad tienen que darse unas condiciones específicas junto a una determinada secuencia de eventos.

“Acabamos de darnos cuenta de que existe una vulnerabilidad relacionada con la App Walkie-Talkie del Apple Watch por lo que hemos deshabilitado la aplicación hasta que logremos solucionar el problema. Nos disculpamos con nuestros clientes por las molestias causadas, volveremos a activar esta funcionalidad lo antes posible. De todas formas, no somos conscientes de que esta vulnerabilidad haya sido explotada, además para explotarla es necesario que se cumplan una serie de condiciones específicas, nos tomamos la seguridad y la privacidad de nuestros clientes muy en serio. Consideramos que deshabilitar la aplicación era la decisión correcta ya que este bug permitiría a un atacante realizar escuchas a través del iPhone de otro cliente sin su consentimiento. Nos disculpamos de nuevo por las molestias.”

Figura 1: App Walkie-Talkie en Apple Watch.

Walkie-Talkie es una app para Apple Watch que permite realizar “llamadas” y mantener una conversación de la misma forma que lo harías con un walkie-talkie tradicional (es una forma modificada de Facetime). Esta función se añado hace apenas un año con la llegada de watchOS 5.0. Por el momento la aplicación se mantendrá instalada en los Apple Watch pero no será posible realizar llamadas a través de ella hasta que se solucionen los problemas. Esta es la segunda vez que Apple ha tenido que deshabilitar Facetime o alguna de sus funciones durante este año. A comienzos de año Apple deshabilitó la aplicación durante unos días por un fallo que permitía escuchar a través del micrófono de los usuarios antes de que estos contestasen la llamada. Por el momento Apple parece haber salido airoso de este problema, sin embargo hace apenas unos días la empresa californiana tomó la decisión de eliminar su servidor web de Zoom tras descubrir que su aplicación de videoconferencia en Mac tenía una importante vulnerabilidad.

jueves, 11 de julio de 2019

Un fallo en la batería provoca la combustión espontanea de un MacBook Pro de 15 pulgadas

El pasado 20 de junio Apple lanzó una campaña de sustitución de baterías para los MacBook Pro de 15 pulgadas, concretamente para aquellos vendidos entre septiembre de 2015 y febrero de 2017 debido a que las baterías en algunos de estos equipos suponían un riesgo para la integridad de los mismos. Tras hacer esta llamada a los propietarios para sustituir sus baterías Apple explico que estas podrían sobrecalentarse hasta el punto de provocar un fuego en el equipo. Hoy, apenas unos días después os hablamos del primer caso de incendio en uno de estos equipos.

El incidente tuvo lugar 3 días antes del comunicado de Apple y la victima de este “incendio” ha sido Steven Gagne, un diseñador de Pensacola (Florida) el cual se encontraba en la cama cuando su equipo echó a arder. Por suerte todo quedó en un susto ya que el humo y el fuerte olor a quemado alertaron a Steven. Según el diseñador, el portátil no estaba siendo utilizado durante el incidente, el equipo se encontraba plegado sobre la mesa sin estar conectado a la corriente y con la pantalla apagada.

Figura 1: Marcas de quemadura en MacBook pro de 15 pulgadas.

Steven compartió en Facebook algunas imágenes en las que se podía observar el estado del equipo tras su combustión. En ellas se podía apreciar un agujero redondo en la base del ordenador (justo donde se albergaba la batería) junto a marcas de quemadura en la mesa en la que se encontraba el dispositivo. En las imágenes también se mostraban manchas negras en el TouchPad por donde se habían filtrado el humo. Apple ha aprovechado la repercusión mediática de este incidente para recordar a sus usuarios que tienen a su disposición una página de soporte en la cual a través del número de serie pueden comprobar si su equipo necesita un cambio de batería. En el caso de ser así Apple recomienda dejar de utilizar el equipo inmediatamente y solicitar un reemplazo de la batería a través del soporte técnico o a través de cualquier Apple Store o proveedor autorizado.

miércoles, 10 de julio de 2019

Un fallo de seguridad en la aplicación Zoom (videoconferencias) permite activar la cámara web de forma remota sin consentimiento

Los problemas de seguridad en entornos Apple no aparecen únicamente en el software desarrollado por la compañía de la manzana. Ya hemos visto muchos casos de apps o programas los cuales tienen alguna vulnerabilidad y esta puede ser explotada para conseguir activar funcionalidades (como la cámara web en este caso que vamos a ver) o incluso para ejecutar algún tipo de malware. La conocida aplicación Zoom para videoconferencias tiene una de estas vulnerabilidades que ha puesto en alerta a toda la comunidad Apple.

El investigador Jonathan Leitschuh ha descubierto una forma de forzar prácticamente a cualquier Mac a unirse a una videollamada con la app de Zoom enviando un simple enlace como este: https://zoom.us/j/492468757. Es decir, puede hacer que un usuario que tenga la aplicación instalada se una a la videollamada (sin ningún proceso de validación o aceptación) lo que implica la activación de la cámara web sin su consentimiento (CVE-2019–13450). Hay que destacar que esta vulnerabilidad está en conocimiento de la empresa Zoom desde el mes de marzo sin que haya sido solucionada por completo. De hecho (y esto es una funcionalidad) la aplicación permite habilitar una opción que activa la cámara web por defecto de los integrantes de la videoconferencia (Figura 1), aunque esta vulnerabilidad permite activarla incluso con esta opción desactivada.

Figura 1. Activación automática de la cámara cuando se crea una videollamada con Zoom. Fuente.

La app crea un servidor web en cada dispositivo utilizando para ello el puerto 19421 y de esta forma, facilitar todo el proceso de videollamada. En este servidor web es el lugar en el cual recae la vulnerabilidad que puede ser explotada para controlar la webcam, simplemente insertando el código malicioso en dicho servidor web "oculto" que se instala en cada máquina cada vez que se une a una videollamada. La solución para evitar que alguien pueda explotar esta vulnerabilidad en nuestro equipo es sencilla, ya que sólo hay que desactivar la opción "Turn off my video when joining a meeting" (Figura 2).

Figura 2. Activación de la opción para evitar que se active el vídeo por defecto al unirse a una videollamada. Fuente.

Pero además, el investigador ha descubierto que dicho servidor web persiste en el Mac incluso si la aplicación se ha desinstalado por completo, lo que implica que la única forma de eliminarlo sea manualmente. Por otro lado, también ha encontrado una forma de ataque DoS con CVE-2019–13449 el cual sí que fue solucionado por Zoom en mayo. En cambio, este otro, relacionado con la cámara web, continua activo ya que la empresa no le otorga mucha importancia a este problema. En el blog del investigador se encuentra toda la información detallada e incluso una PoC. Parece que al final no es mala idea eso de tener una pegatina que tape la webcam ;)

martes, 9 de julio de 2019

Este nuevo ataque phishing permite bypassear 2FA

Desde hace unos años los dobles factores de autenticación nos han ayudado a proteger nuestra identidad digital de una forma rápida y sencilla. A pesar de la dura capa de seguridad que resultan ser los 2FA unos expertos han demostrado que no son completamente infalibles y es posible engañar a una víctima para que revele sus credenciales e incluso facilite su código OTP. Este ataque se demostró por primera vez en la conferencia Hack in the Box que tuvo lugar en pasado mes en Ámsterdam. El video de la demostración fue publicado en YouTube y busca resaltar el hecho de los ciberdelincuentes son cada vez mejores rompiendo las capas extra de seguridad a pesar de que usemos herramientas como 2FA.

El hack empleado en la demo para romper 2FA utiliza una combinación de dos potentes herramientas llamadas Muraena y NecroBrowser, las cuales trabajan en tándem para automatizar el ataque. La combinación de estas dos herramientas trabaja a la perfección ya que una realiza el ataque y la otra realiza un seguimiento de la sesión de la víctima. Muraena es la herramienta encargada de capturar el tráfico entre la víctima y el sitio web actuando como un proxy. Una vez que Muraena lleva a la víctima hasta una página falsa (de aspecto similar a la auténtica) solicitará a los usuarios sus credenciales y el código OTP, al igual que lo haría la página original. En cuanto Muraena ha autenticado la cookie de la sesión comienza el trabajo de NecroBrowser, una herramienta capaz de crear ventanas para mantener el seguimiento de miles de cuentas.

Figura 1: Demostración del ataque en la conferencia Hack in the Box

Su autor también ha publicado en GitHub una demostración del ataque para que otros desarrolladores puedan analizar cómo funciona detalladamente. Varios expertos en el ámbito de la ciberseguridad han asegurado que estas herramientas facilitan mucho el trabajo a los atacantes “amateur”. También han querido resaltar que no hay razones para perder la confianza en los dobles factores de autenticación o en la biometría ya que dificultan mucho el trabajo de los atacantes y son una mejor alternativa que utilizar únicamente un usuario y una contraseña. Independientemente del método que escojas para proteger tus cuentas desde Seguridad Apple queremos recordarte la importancia de una rápida actuación si sospechas que alguna de tus cuentas puede haberse visto comprometida.

lunes, 8 de julio de 2019

Fue Noticia en seguridad Apple: del 24 de junio al 7 de julio

Damos la bienvenida al mes de julio y aunque haga calor en Seguridad Apple no descansamos para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 24 contándoos de que un 0-day en Firefox ha revelado la existencia de un importante backdoor en MacOS.

El martes 25 os avisamos de que Apple introducirá soporte nativo para criptomonedas y blockchain en sus dispositivos con iOS 13.

El miércoles 26 os hablamos de la detección de un nuevo malware para Mac que aprovecha una vulnerabilidad en gatekeeper.

El jueves 27 os presentamos LoudMiner, un minero de criptodivisas que se esconde en imágenes de disco afectando a varios softwares VST como QEMU o VirtualBox.

El viernes 28 os informamos de que será posible localizar los Mac sin conexión a través de cualquier iPhone cercano.

El sábado 29 indagamos en la historia de Apple para hablaros de cómo Steve Jobs acabó con la utilidad de un documento técnico en nombre del arte con el poster del Apple Pascal.

El domingo 30 os hablamos de que iOS añadirá soporte para los mandos de PS4 y Xbox 1 como parte de su expansión en el ámbito del Gaming.

El lunes 1 os enseñamos que aspecto tendría la cámara del Apple Watch según la última patente registrada por Apple.

El martes 2 os avisamos de que ya están disponibles las betas públicas de iOS 13 y macOS Catalina.

El miércoles 3 os contamos de que Apple planea el lanzamiento de un nuevo iPhone más barato que cambia el Face ID por el sensor de huellas con el fin de recuperar ventas en el sector chino.

El sábado 7 recordamos el primer ordenador portatil de Apple y su gran fracaso a pesar de convertirse en el primer ordenador en enviar un e-mail desde el espacio.

Como siempre que tengáis buena semana y disfrutéis del contenido de este blog y de la actualidad que traemos del mundo Apple. Hasta dentro de dos semanas.

sábado, 6 de julio de 2019

La historia del fracaso del primer ordenador portátil de Apple (eso sí, envió el primer email desde el espacio)

Los portátiles que Apple fabrica hoy día son revolucionarios en todos sus aspectos, como tamaño, nuevas características (como el Touch Bar por ejemplo), etc. Pero el comienzo de Apple en el mundo de este tipo de dispositivos no fue especialmente bueno. El primer ordenador portátil de Apple apareció el 20 de septiembre de 1989, unos cuatro años después de que Steve Jobs fuera despedido de la empresa. Vamos a adentrarnos en la interesante historia de este peculiar ordenador.

El Macintosh Portable (muy parecido en tecnología al Macintosh SE), a pesar de la gran expectación que levantó en el sector antes de su salida al mercado,  fue un fracaso para empresa de la manzana. Tenía una buenas características técnicas, como por ejemplo su pantalla LCD de matriz activa de 640x400, CPU Motorola 68HC000 a 16Mhz, 1MB de RAM ampliable a 9MB o la opción de incluir un disco duro de 40MB. El diseño en cambio no era nada especial, tenemos que recordar que Jobs ya no estaba en la empresa y eso se notaba. Con forma de concha y ángulos rectos, estaba lejos del diseño rompedor de los primeros Macintosh, aunque cumplía su cometido a la perfección.

Figura 1. Macintosh Portable. Fuente.

Apple no escatimó en tecnología para poder ofrecer un ordenador realmente competitivo en el mercado. La batería tenía un rendimiento bastante bueno para la época, funcionando entre 6 y 12 horas en función del consumo. Eso sí, para conseguir esta gran autonomía, necesitaba componentes que no consumieran demasiado, como por ejemplo memorias SRAM. El problema era el excesivo precio de dichos componentes lo que elevó el precio final hasta los 7.000$, unos 12.000$ hoy día. El peso también se vio afectado (y de hecho este era uno de sus mayores problemas) por este tipo de componentes (especialmente la batería) llegando a pesar unos 7.5 kg de media. El ratón en forma de trackball que incluía (y que se podía separar del portátil) parece que tampoco ayudo demasiado a su éxito.

Figura 2. Anuncio oficial de Apple para el Macintosh Portable. Fuente.

La gama Macintosh era conocida por su portabilidad, de hecho todos estos Mac como el SE, Plus, Classic, etc tenían una pequeña asa superior que les permitía llevarlos de un lado para otro. El precio de un Macintosh Portable comparado con un Macintosh SE por ejemplo, era muy significativo y las diferencias técnicas mínimas, con la única excepción de integrar una batería. Este fue posiblemente el principal factor que provocó que este modelo no tuviera éxito en el mercado. Apple intentó mejorar el equipo sobre todo añadiendo una luz detrás de la pantalla (existían numerosas quejas por no poder trabajar correctamente bajo ciertas condiciones de poca luz) y también cambiaron la memoria SRAM por otra más barata, y de esa forma reducir el precio finalEn el . El siguiente vídeo es la publicidad oficial del Macintosh Portable (en el minuto 1:19 se puede observar cómo se expulsa un disco flexible en el espacio):




Finalmente, en octubre de 1991 se dejó de fabricar y curiosamente ese mismo año viajó al espacio en la misión del Space Shuttle STS-43 para realizar diferentes pruebas como por ejemplo, el funcionamiento del trackball, enviar un correo electrónico utilizando AppleLink (siendo el primer correo electrónico enviado desde el espacio), almacenar los experimentos y hacer un seguimiento del plan de vuelo del Shuttle. Apple finalmente sacó al mercado ese mismo año el PowerBook 100, más barato, más pequeño y menos pesado, el cual funcionó mejor en el mercado.

miércoles, 3 de julio de 2019

Apple planea fabricar un iPhone más barato, sin FaceID y con sensor de huellas dactilares para el mercado chino

FaceID es la apuesta de Apple a día de hoy utilizada para realizar la autenticación en sus iPhones e iPads de última generación. Además, parece que esto seguirá siendo así en los nuevos modelos que saldrán en breve al mercado. Pero la guerra comercial, ahora un poco más relajada, entre China y EEUU ha hecho bastante daño a las empresas norteamericanas ubicadas en dicho país asiático, Apple entre ellas. Y esto de forma indirecta ha afectado al FaceID y también a la seguridad de los dispositivos Apple.

Tanto el clásico TouchID como el FaceID son bastante seguros, aunque parece que según los números, FaceID ganaría en nivel de seguridad. Con TouchID existe 1 entre 50.000 posibilidades de que alguien utilizando otra huella pudiera desbloquear un iPhone. En cambio, con FaceID existe 1 entre 1.000.000 de posibilidades que alguien, utilizando otra cara aleatoria, fuera capaz de desbloquearlo. Eso sí, estos números se refieren a posibles "ataques" o "accesos no autorizados" aleatorios. Esto cambia cuando el ataque es dirigido hacia una persona específica, siendo más factible conseguir un acceso no autorizado al dispositivo.

Figura 1. Componentes del TouchID. Fuente.

Centrándonos en un hipotético acceso aleatorio debido a algún error de "match" (coincidencia), FaceID es más seguro como se ha comentado, pero también es más caro de fabricar. Algunas fuentes fiables procedentes de China están publicando que Apple está pensando en fabricar un iPhone sin FaceID debido justo a ese factor, el precio. Fabricar un TouchID es mucho más barato que los componentes (sobre todo la cámara, infrarrojos, etc) necesarios para FaceID.

Figura 2. Componentes del FaceID. Fuente.

Este modelo reducido de iPhone tiene como objetivo exclusivamente el mercado chino, utilizando TouchID como elemento de autenticación. Además, según estos mismos rumores, el detector de huellas se encontraría ubicado directamente en la pantalla, oculto tras ella (aunque esto también debe de ser bastante caro de fabricar). Este considerable esfuerzo en tiempo y dinero es rentable ya que el mercado chino es muy importante para Apple, donde además de tener allí la mayoría de sus fábricas, el cliente de ese país suele gastarse una media de 700€ en un smartphone y es necesario ajustarse a ese precio.

Figura 3. Concepto de la ubicación del lector de huellas en este posible nuevo iPhone. Fuente.

Será complicado que Apple sólo venda este dispositivo (si es que llega a fabricarlo algún día) en China, cuando seguro que tiene su mercado también en el resto del mundo. De todas formas no veremos este hipotético nuevo iPhone durante 2019, ya que los analistas coinciden que Apple se limitará a actualizar los modelos iPhoneXS, iPhoneXS Max y iPhone XR, todos con su FaceID y su correspondiente notch. Será interesante ver este modelo de iPhone y también la respuesta que tendrá en el mercado, que aunque siendo más barato, también es un poco más inseguro.

martes, 2 de julio de 2019

Ya puedes descargar las Betas públicas de iOS 13 y macOS Catalina

Apenas tres semanas después del anuncio oficial de la llegada de iOS 13 en la WWDC Apple ha decidido liberar la beta pública de iOS 13 que ya se encuentra disponible para descargar. Esto significa que todos aquellos usuarios que dispongan de un dispositivo compatible con la nueva versión de iOS, ya sea un iPhone, un iPad o un iPod Touch ya puede descargar la beta de iOS 13 para disfrutar de sus nuevas funcionalidades. Apple también ha aprovechado para lanzar la Beta pública del nuevo macOS Catalina.

Si todavía no estas metido en el programa de betatesters de Apple y quieres probar alguna de estas nuevas betas solo tendrás que acceder a la página web de Apple para registrar tu dispositivo y descargar el perfil de beta pública en él. Si por el contrario ya estás registrado solo tendrás que descargarte los perfiles de la beta pública de iOS 13. Si no sabes realizar el proceso mencionado anteriormente a continuación te contamos como hacerlo en 3 sencillos pasos:
  1. Para comenzar deberás registrarte en el programa de betas de software de Apple utilizando el mismo Apple ID que utilizas en tu dispositivo iOS en el que vayas a instalar la beta. Para acceder al programa pincha Aquí.                                                                                                          
  2. Cuando hayas completado el proceso de registro abre el navegador Safari en tu dispositivo y accediendo al enlace facilitado en el paso anterior selecciona el perfil que quieres descargar, solo tendrás que seguir las instrucciones que se muestran en tu pantalla.                                             
  3. Una vez instalado el perfil accede a Ajustes>General>Software y comprueba si tienes una actualización disponible a la beta de iOS 13. Si es así descarga la OTA y ya estaría.
Figura 1: Dark Mode en iOS 13

iOS 13 incorpora un montón de novedades que te ayudaran a disfrutar más de tus dispositivos Apple. Entre estas interesantes funciones se encuentra el Dark Mode, nuevas funciones en las aplicaciones preinstaladas, la nueva app Recordatorios, la actualización de la aplicación Fotos y muchas más. También aprovechamos para recomendaros que realicéis un Backup antes de embarcaros en este proceso para no perder la información y fotos almacenada en vuestros dispositivos.

lunes, 1 de julio de 2019

Así seria la nueva cámara del Apple Watch según la última patente registrada por Apple

Desde su aparición por primera vez en el año 2014 el Apple Watch se ha convertido en todo un referente en el mundo de los Wereables y complementos inteligentes. En el día de hoy os presentamos la última patente registrada por Apple y que aborda la posibilidad de la incorporación de un sensor óptico en la correa del dispositivo. Hasta la fecha se han lanzado varios modelos de Smart Watch con cámara, sin embargo esta se situaba en el propio chasis del reloj y no en la correa. Las patentes son uno de los principales activos de la empresa de Cupertino y sirven para proteger su propiedad intelectual.

La patente en cuestión consiste en una cámara que iría integrada en la correa del dispositivo, algo que permitiría una gran manejabilidad y haría que no fuese necesario reestructurar el Smart Watch por completo al intentar ahorrar espacio. La cámara iría conectada al dispositivo a través de un cable flexible que la permitiese girar o doblarse en cualquier dirección, por otro lado, la pantalla del reloj serviría para visualizar la imagen al igual que se ha hecho hasta ahora cuando usamos el Apple Watch para sacar fotos con el iPhone. En la patente también se menciona la posibilidad de incorporar más de un sensor, lo que permitiría la incorporación de una cámara delantera y otra trasera y evitaría el giro excesivo de la correa cuando se quisiera hacer una foto.

Figura 1: Imágenes de la patente de Apple Watch

Es importante tener en cuenta que esta patente fue solicitada en septiembre del año 2016, concretamente después del lanzamiento del Apple Watch Series 2, por lo tanto la patente ha tenido tiempo para ser estudiada a fondo y saber si es viable. Aunque la oficina de patentes finalmente le haya otorgado la patente a Apple no podemos asegurar que se vaya a incorporar en la próxima generación de Apple Watch. Debido a la dificultad de incorporar un sensor tan sensible en la correa de un reloj se ha decidido ubicarlo en el extremo final de la correa haciendo que sea más cómodo de usar. También se baraja la posibilidad de que el extremo de la correa que contiene el sensor pueda rotarse tirando levemente de el.

Con este cambio Apple parece estar buscando independizar poco a poco su Smart Watch del iPhone, de hecho con la llegada del Apple Watch Series 4 (en su versión 4G LTE) no será necesario el uso del iPhone para actualizarlo ni para realizar llamadas, además se ha anunciado que se incorporará una App Store para el dispositivo en la que habrán apps exclusivas y totalmente independientes.

domingo, 30 de junio de 2019

La nueva apuesta de Apple en el Gaming: iOS 13 añadirá soporte para los mandos de XBox One S y PS4

Durante la Keynote de Apple en el WWDC de este año la compañía ha revelado nuevos detalles acerca del futuro de sus sistemas operativos y de sus planes en el ámbito de los juegos arcade. A medida que se van conociendo nuevos detalles acerca de iOS 13 la nueva versión del sistema operativo de Apple parece cada vez más prometedora, en el día de hoy os hablaremos de una de las nuevas funcionalidades que incorporará este nuevo sistema operativo para iPhone e iPad. En este caso se trata de una mejora en el ámbito del gaming, y es que iOS 13 añadirá soporte para que podamos conectar nuestros mandos de Xbox One S o PlayStation 4 a nuestro móvil, tablet o incluso Apple TV.

A lo largo de este último año Apple ha estado invirtiendo miles de millones de dólares en su nueva plataforma Apple Arcade. La idea de esta nueva plataforma es ofrecer un servicio similar al de Netflix o Spotify solo que enfocado a los videojuegos. Para llevar a cabo este proceso Apple ha invertido millones de dólares en ayudar a los desarrolladores en la creación de nuevos juegos y está colaborando con grandes gigantes de la industria como lo son SEGA, LEGO o Konami. Otra de las apuestas de esta nueva plataforma será la versatilidad, ya que será posible disfrutar de Apple Arcade desde nuestro dispositivo iOS, desde nuestro ordenador o desde nuestro sofá gracias a Apple TV. Los juegos de Apple Arcade no incorporaran anuncios y no requerirán de compras adicionales.

Figura 1: Tweets de PlayStation y Microsoft confirmando su colaboración con Apple.

Aunque todavía suene raro, los usuarios de iOS 13 podrán disfrutar de sus juegos favoritos utilizando el mando inalámbrico de su consola. Con este cambio Apple pretende impulsar su nueva plataforma y además de facilitar la vida a muchos usuarios que actualmente utilizan mandos MFI compatibles con iOS (los cuales son caros y no suelen funcionar muy bien). Por el momento no se sabe cómo se llevará a cabo esta integración ni si los mandos serán compatibles con todos los juegos ofertados por la plataforma o estos deberán ser actualizados por sus desarrolladores. Una cosa esta clara y es que cada vez más creadores actualizaran sus juegos para que soporten esta nueva función y mejorar así a experiencia de sus usuarios. Del mismo modo, será posible integrar los mandos con tvOS ya sea para moverse por el interfaz de nuestra Apple TV o por el menú aplicaciones como Netflix o HBO.

sábado, 29 de junio de 2019

Steve Jobs y la rocambolesca historia detrás del póster del Apple Pascal (o cómo quitarle utilidad a un documento técnico en nombre del arte)

Hoy día las "chuletas" o cheat sheets son un tipo de documentación muy utilizada como hoja de referencia rápida en campo de la informática. Pero al comienzo de los ochenta,  no era algo tan común (de hecho no existían ni los post-it) y el departamento de documentación de Apple quería imprimir la sintaxis del nuevo Apple Pascal de una manera clara y efectiva. Fue entonces cuando contactaron con Jeff Raskin (padre original del Macintosh) el cual optó por crear un esquema muy claro basado en colores de dicha sintaxis en formato póster. Hasta que se lo enseñó a Steve Jobs.

Jeff Raskin se basó para crear el póster de Apple Pascal en el libro de Niklaus Wirth (creador original de dicho lenguaje) llamado "PASCAL - User Manual and Report". Jeff creó un póster muy detallado y sencillo de entender (basándose en los esquemas publicados en el libro, como el que se puede apreciar en la figura 1), utilizando diferentes colores para identificar, de un golpe de vista, la parte que el programador quería consultar así como los diferentes componentes del léxico del Pascal. Aquellos lo vieron en su día en su versión original comentaban que era un documento excepcional, claro y muy útil.

Figura 1. Esquema de la gramática del Pascal original. Fuente

Por aquella época, en concreto en 1981, Steve Jobs se incorpora al proyecto Macintosh enfrentándose directamente con Jeff Raskin, que ya se incorporó al mismo en 1979, como mostramos en este artículo cuando Jeff envió una dura carta en contra de Jobs. Jeff tenía que dar cuenta a Jobs de todos los proyectos relacionados con el Macintosh, y este póster era uno de ellos. Así que se aproximó a él para explicarle y mostrarle el póster, pero fue imposible que entendiera el código de colores que había diseñado Jeff. Era demasiado técnico para él, pero además, no le gustaban esos colores.

Así que Jobs, en vez de esforzarse un poco en entender el código de colores del póster diseñado por Raskin, contrató a un artista de San Francisco llamado Tom Kamifuji, para que creara otro póster un poco más artístico (ya conocemos la manía de Jobs por el diseño) pero este no fue capaz de explicarle correctamente el código de colores que había creado Jeff y sobre todo, transmitirle la importancia de estos para el correcto entendimiento del póster.


Figura 2. Póster final del Apple Pascal, retocado por Tom Kamifuji. Fuente.

El resultado (que se puede observar en la figura 2) fue un auténtico caos de color. Los colores se utilizaron de forma aleatoria, sin sentido ninguno, con combinaciones imposibles de rosa-rosa, amarillo-púrpura-naranja, etc. Eso sí, el resultado era bastante bonito pero algo complicado de interpretar. Para ahondar en el enfrentamiento entre ambos, Jobs ordenó quitar el nombre de Jeff del póster (a pesar de haberlo creado él) y dejar en su lugar el del artista, Kamifuji, algo que realmente enojó a Jeff llamándolo "una maniobra inmoral". 

Figura 3. Foto de Jeff Raskin con el póster del Apple Pascal detrás sobre su escritorio. Fuente.

Al final el póster acabaría colgado en el escritorio de cada programador de Apple de la época, e incluso se entregó como publicidad oficial del Apple Pascal. Otro episodio más que detalla perfectamente la fuerte personalidad de Steve Jobs y su mala relación con los ingenieros. 

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares