Menú principal

miércoles, 31 de julio de 2019

VirnetX gana la apelación de patentes en el caso Apple

VirnetX (empresa dedicada al Software y a tecnología de seguridad en Internet) ha ganado otra batalla en su demanda de patentes con Apple. El Tribunal de Apelaciones del Circuito Federal de los Estados Unidos ya ha dado su veredicto sobre su apelación de patentes en el caso Apple y ha anulado las sentencias de la Junta de Apelaciones y Juicios de Patentes de la Oficina de Patentes y Marcas de los Estados Unidos que invalidaron dos patentes de VirnetX.

Las patentes (6,502,135 y 7,490,151) están relacionadas con la tecnología de comunicaciones seguras que, según VirnetX, fueron infringidas por el iPhone de Apple. Esta sentencia le da a VirnetX acerca a la compañía a recibir los 439 millones de dolares que los tribunales declararon que Apple debe.

Figura 1: Reacción de Kendall Larsen (Inglés)

El CEO y Presidente de VirnetX, Kendall Larsen, ha expresado públicamente la satisfacción sobre esta sentencia, que además, podría tener un impacto considerable contra Apple, dependiendo de lo que los tribunales permitan a VirnetX hacer. Anteriormente estas patentes no se podían usar para demandar a Apple, pero en esta ocasión se abre una vía para que VirnetX pueda volver a intentar la acción legal. Lo que si está claro, es que esta sentencia refuerza el caso de VirnetX a la hora de reclamar lo que debe Apple por la infracción de patentes y que los tribunales ya se pronunciaron.

martes, 30 de julio de 2019

Las conversaciones de Apple Siri son revisadas por empresas externas poniendo en riesgo la privacidad de los usuarios

Ya no es sólo un problema de Google o Amazon, Apple también tiene que revisar su política de seguridad respecto a Siri y las escuchas. Según una filtración realizada a The Guardian, cientos de conversaciones privadas entre por ejemplo, doctores y pacientes, temas de negocios, encuentros sexuales, etc son captadas por el asistente digital. Activar accidentalmente Siri es bastante habitual (no sólo desde el móvil, desde el Apple Watch o incluso el HomePod entre otros) y este "despertar" puede provocar la captura de estas conversaciones privadas no autorizadas.

Pero no sólo se suben la conversaciones, otros datos privados como por ejemplo la localización, detalles de los contactos y datos de las aplicaciones también se suelen descargar en la nube durante el proceso de captación de conversaciones. Apple no especifica en sus condiciones legales de contrato con el usuario si estas conversaciones son monitorizadas también por seres humanos, pero parece ser que una pequeña porción de ellas al parecer sí que están pasando por manos de empresas externas subcontratadas. De hecho, la tarea principal de estas empresas es precisamente detectar si Siri se ha activado accidentalmente o de forma deliberada, para mejorar la experiencia de usuario y las respuestas.

Figura 1. Apple Watch también puede activar Siri de forma accidental. Fuente.

Pero ¿qué dice Apple al respecto?. En principio, sobre estas subcontratas, Apple comenta que son necesarias para justamente eso, entender y reconocer mejor lo que el usuario le está diciendo a Siri. También comentan que sólo una pequeña porción de las peticiones (un 1% y sólo de unos pocos segundos de duración) a Siri son analizadas de esta forma. Las conversaciones no están asociadas con el ID de Apple del usuario y además, afirman que todas las operaciones resultantes de estos análisis están revisadas y bajo las condiciones de confidencialidad de Apple.

Figura 2. Cartel de Apple en la entrada del CES celebrado en Las Vegas este año. Fuente.

Apple se preocupa bastante por su reputación en temas relacionados con la privacidad el usuario. De hecho, es su arma de batalla principal contra Google o Amazon en el mundo de los asistentes digitales. Sólo tenemos que recordar el cartel que colocaron en Las Vegas en el pasado CES que decía "Lo que ocurre en tu iPhone, se queda en tu iPhone..." ¿seguro?

domingo, 28 de julio de 2019

Cómo hacer que Safari cierre automáticamente las pestañas con el paso del tiempo

iOS 13 e iPadOS 13 trae una funcionalidad bastante llamativa, y es la posibilidad de que las pestañas de Safari se cierren cuando pasa un determinado tiempo (1 día, una semana o un mes). Para las personas que son de abrir muchas pestañas y a lo largo del tiempo no saben ni lo que tienen abierto es ideal. Si eres de los que prefieres controlar cuando cerrar una pestaña, también está la opción de hacerlo de manera manual (como hasta ahora).

Sin duda es algo útil, puede ayudar a mejorar nuestra privacidad, ya que en ocasiones podemos olvidar pestañas abiertas y con información sensible. Ahora, veamos cómo se configura esta nueva funcionalidad.
  1. Abre la pestaña de ‘Ajustes’ y busca la configuración de Safari (ver figura 1). 
  2. Entra en los Ajustes de Safari y busca ‘Cerrar pestañas’. 
  3. Entre las 4 opciones que ofrece, elige la que más se adapte a ti. 

Figura 1: Configuración del cierre de pestañas en Safari (Fuente)

Recuerda, si no quieres que las pestañas se cierren automáticamente después de un tiempo, elige la opción manual. Se puede apreciar que la configuración rápida y sin complicación. ¿Qué os parece está funcionalidad? ¿Os aporta valor?

sábado, 27 de julio de 2019

HyperCard, el eslabón perdido de la programación y de la World Wide Web inspirado por un pequeño viaje alucinógeno

La aparición del Macintosh provocó una gran agitación en el mundo de los ordenadores, sobre todo por su revolucionario sistema operativo gráfico. Pero además, también influyó a la hora de acercar la programación visual y sencilla a usuarios no expertos en la materia. HyperCard permitía la creación de documentos multimedia (llamados pilas o stacks) en los cuales era posible agregar imágenes, vídeos, hojas de cálculo, etc, todo esto simplemente arrastrando iconos acumulando estos objetos. Este concepto tiene una gran semejanza con la actual World Wide Web como veremos a continuación.

Bill Atkinson, del cual ya hemos hablado en nuestro blog, fue el desarrollador de Apple que creó HyperCard en 1987 y salió al mercado con un precio de 49.95$ pero lo que hizo popular es que venía incluido en los Macs de la época. Esta aplicación de creación de software multimedia era básicamente una base de datos con una interfaz gráfica la cual se podía modificar a medida por el usuario. Además, incluía un lenguaje de programación llamado HyperTalk el cual permitía manipular con mucho más detalle dichos datos y la interfaz.

Figura 1. Steve Jobs y Bill Atkinson en 1984. Fuente 

El concepto de stack o pilas se asocia también con el concepto de tarjetas. Las tarjetas no eran más que espacios en el escritorio del Macintosh donde era posible colocar objetos. Por lo tanto se podían insertar campos como por ejemplo texto, tablas, imágenes, botones, etc. Cada uno de estos objetos contenía su propio código HyperTalk el cual definía las acciones a realizar o su conexión con otras tarjetas. Esto seguro que os suena a entornos más conocidos como por ejemplo el famoso Visual Basic u otros parecidos que existen incluso hoy día (este vídeo muestra cómo funcionaba HyperCard).

Figura 2. Aspecto original de la pantalla de inicio de HyperCard. Fuente.

¿Y su relación con la World Wide Web? pues básicamente porque HyperCard estaba basada en el hipertexto, que más tarde (en 1989) utilizaría Tim Berners Lee en su flamante ordenador NeXT para crear las bases de la World Wide Web. El concepto hipertexto fue creado en los años cuarenta por Vannevar Bush  pero no fue hasta que el gran Doug Engelbart creó la primera implementación en un ordenador. Además el aspecto de los programas creados con HyperCard tenían la apariencia muy similar a las primeras páginas web, además de utilizar hipervínculo o hipertexto, los cuales también estaban interconectados entre ellos. De hecho, Robert Cailliau, uno de los ayudantes de Berners Lee, ha mencionado alguna vez la influencia de HyperCard a la hora de crear el primer navegador de Internet.

Figura 3. Ejemplo de programación de stacks en HyperCard recreando la WikiPedia. Fuente.

En 2016, Bill Atkinson confesó en una entrevista que la inspiración de HyperCard le llegó después de consumir media dosis de LSD dentro de un postre de gelatina y pasar la noche sentado en un banco en el patio de su casa. Comenta que, viendo millones de galaxias y las estrellas y comparándolas con poetas, artistas, músicos, científicos, etc tendría que haber alguna forma de interconectarlas todas. Esa idea de compartir información entre diferentes áreas totalmente distintas entre ellas, fueron los pilares de HyperCard. En este enlace podéis encontrar mucha más información, tanto técnica como ejemplos de programas creados con HyperCard.

Steve Wozniak llamó a HyperCard "El mejor programa jamás escrito". No tenemos nada más que decir señoría ;)

jueves, 25 de julio de 2019

El pleito entre Apple y VirnetX concluye con una sanción millonaria para la empresa californiana

VirnetX es una compañía que forma parte del holding (NYSE AMERICAN: VHC), su principal ocupación se centra en los campos del software y de la seguridad en Internet. Hace unos días la compañía anunció que el Tribunal de Apelaciones de los Estados Unidos para el Circuito Federal emitió el resultado para la apelación con número de referencia 2017-1368, 2017-1383 relativa a algunas decisiones emitidas por la Oficina de Patentes de los Estados Unidos en las que se le otorgaba a Apple las patentes de FaceTime e iMessage.

Este enfrentamiento comenzó en el año 2010 cuando Apple perdió en un primer juicio y fue condenado a pagar una sanción de 368 millones de dólares tras la que apeló sin éxito suponiendo una gran derrota y haciendo que la sanción aumentase hasta los 625 millones de dólares. Tras esta gran decepción, la empresa californiana decidió volver a apelar lo que ha alargado este proceso hasta hace unos días. En esta segunda apelación un juez federal del condado de Tyler en Texas ha dictado que Apple deberá pagar una cifra final de 302,4 millones de dólares por infringir una serie de patentes relacionadas con la tecnología utilizada en iMessage y FaceTime.

Figura 1: Aplicación de FaceTime

VirnetX es una sociedad conocida por ir acumulando patentes tecnológicas con el fin de luego demandar a las grandes empresas que las “infrinjan”. Aunque el método de financiación utilizado por VirnetX sea cuanto menos de moralidad cuestionable la empresa californiana tendrá que presentarse a una última audiencia en la que se debatirá acerca de si este “robo” de patentes fue realizado de manera intencionada o fue causado por error. En cualquiera de los dos casos el resultado de esta audiencia podría modificar el importe de la sanción final. Esta es sin duda una mala noticia para Apple ya que tendrá que pagar una gran sanción, sin embargo podrá conservar sus aplicaciones Facetime e iMessage a pesar de que VirnetX  haya solicitado al juez su cierre indefinido. 

miércoles, 24 de julio de 2019

Apple soluciona más de 100 vulnerabilidades en las últimas actualizaciones de sus productos

Apple ha lanzado en las últimas horas una serie de actualizaciones dirigidas a sus productos asociados a los sistemas operativos iOS, tvOS, macOS y watchOS. Esta nueva colección de parches solucionan muchos problemas que han afectado a aplicaciones como por ejemplo FaceTime, pero además también se han publicado otros para reparar algunos problemas (como por ejemplo, el GPS) en versiones de sistema operativo tan antiguas como, por ejemplo, iOS 5

La actualización de iOS 12.4 (APPLE-SA-2019-7-22-1 iOS 12.4) soluciona hasta 37 CVEs que afectan a aplicaciones como Siri (CVE-2019-8646), FaceTime (CVE-2019-8648) , Wallet y Webkit en otros. De estas actualizaciones, cuatro de ellas solucionan problemas de ejecución arbitraria de código en aplicaciones como Webkit o Fundation. Safari también se ha actualizado a la versión 12.1.2 (APPLE-SA-2019-7-22-3 Safari 12.1.2) solucionando 23 CVEs asociados sobre todo a Webkit (21 de las 23) y a la interfaz del navegador (CVE-2019-8670).

Figura 1. Mensaje de actualización disponible para macOS 10.14.6

Por otro lado WatchOS 5.3 (APPLE-SA-2019-7-22-4 watchOS 5.3) soluciona 23 CVEs de los cuales 4 de ellos críticos, ya que permitían ejecución arbitraria de código. Destacar también que Apple a reactivado la aplicación de Walkie Talkie después de que fuera desactivada al encontrarse un fallo que permitía escuchar a otra persona sin su consentimiento. El sistema operativo tvOS también se ha actualizado a la versión 12.4 (APPLE-SA-2019-7-22-5 tvOS 12.4)  solucionando hasta 33 CVEs de los cuales 4 de ellos permitían ejecución arbitraria de código. El resto están asociados al núcleo de tvOS y aplicaciones como FaceTime o Siri.

Finalmente, destacar también la actualización para macOS 10.4.6 la cual resuelve problemas que afectaban directamente al rendimiento del equipo como por ejemplo interrupciones durante el reinicio del sistema, un problema relacionado con los gráficos al salir del estado de reposo y otro que impedía crear una partición de Boot Camp en un iMac o un Mac con Fusion Drive. También se ha mejorado la fiabilidad en la función de compartir archivos mediante SMB. Por lo tanto, es una prioridad actualizar todos nuestros dispositivos Apple a estas nuevas versiones lo antes posible, por rendimiento y seguridad.

martes, 23 de julio de 2019

Ivan Krstic: Ingeniero jefe de seguridad en Apple hablará sobre iOS 13 y macOS Catalina en la Black Hat 2019

Se acerca el mes de agosto y con él llega una de las conferencias más importantes para el mundo de la seguridad informática, la Black Hat. Este año se ha confirmado la asistencia de Ivan Krstic, jefe de ingeniería de seguridad y arquitectura de Apple. Ivan impartirá una charla de 50 minutos titulada “Detrás de las escenas de iOS y la seguridad en Mac” en la que abordará diversos temas y aclarará varias dudas acerca de las novedades de iOS 13 y macOS Catalina. El horario estipulado para esta ponencia es el 8 de agosto a las 12:10 PM. Si no puedes asistir al evento o seguirlo en directo no te preocupes, Black Hat publicará los videos de las sesiones en su página web.

Esta no será la primera vez que Ivan participe en este evento, también fue el encargado de representar a Apple en la Black Hat de 2016. Según uno de los adelantos publicado en la página web de Black Hat, Ivan se centrará en tres importantes cuestiones durante su intervención. La primera cuestión abordará el funcionamiento del chip T2, en segundo lugar hablará de la función y aplicaciones Find My para iOS 13 y macOS Catalina y por último abordará el tema de la integridad de la ejecución de código. Sin duda tres interesantes temas que han dado mucho que hablar durante los últimos meses.

Figura 1: Ivan Krstic en Black Hat 2016.

A continuación os dejamos la información publicada en la página web de Black Hat acerca de la sesión de Ivan Krstic:

“Vamos a discutir tres tópicos acerca de la seguridad en iOS y Mac con detalles sin precedentes, ofreciendo el primer debate sobre las nuevas tecnologías que incorporará iOS 13 y Mac. Echaremos un vistazo a como se implementan los códigos de autenticación Pointer Autthentication Code (PAC), también hablaremos de los permisos que se le conceden a las máquinas virtuales y de las tecnologías de protección de páginas que forman parte de la integridad en la estructura de iOS. 

Hablaremos de la secuencia de inicio en iOS Mac con el chip de seguridad T2 y explicaremos cómo funcionan algunos de los ataques y defensas clave en cada punto. 

La función Find My disponible en macOS Catalina e iOS 13 es una función que permite a los usuarios recibir ayuda de otros dispositivos Apple cercanos para encontrar sus Macs extraviados garantizando la protección de los mismos. Discutiremos nuestro eficiente sistema de diversificación de curvas elípticas que deriva claves públicas cortas no-enlazables del keypair de un usuario, y permite a los usuarios encontrar sus dispositivos sin conexión sin divulgar información sensible de Apple.”

lunes, 22 de julio de 2019

Fue Noticia en seguridad Apple: del 8 al 21 de julio

Continúa el verano y aunque haga calor en Seguridad Apple continuamos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el martes 9 hablándoos de un nuevo ataque phishing con el que es posible bypassear 2FA y que se ha presentado en la conferencia Hack in the Box.

El miércoles 10 os avisamos de un fallo en la aplicación Zoom que permite activar la cámara de los usuarios sin su consentimiento.

El jueves 11 os contamos cómo una batería defectuosa ha provocado la combustión espontánea de un MacBook Pro de 15 pulgadas en Florida.

El viernes 12 os informamos de una nueva vulnerabilidad que ha llevado a Apple a deshabilitar temporalmente la función Walkie-Talkie del Apple Watch.

El sábado 13 indagamos en la historia de Apple para presentaros un interesante prototipo de ordenador modular que recibió el nombre de Jonathan.

El domingo 14 os hablamos de las nuevas restricciones comerciales que ha levantado Japón a algunos de los proveedores Coreanos de Apple y de cómo esto podría afectar a la producción de iPhone.

El lunes 15 os explicamos por qué watchOS 6 allanará el camino del Apple Watch para convertirse en un Smartwatch independiente del iPhone.

El martes 16 os avisamos de la posibilidad de que el primer jailbreak para Apple Watch llegue a finales de año de la mano de @ethanpepro.

El miércoles 17 os presentamos PwnedWord, un pequeño truco con Siri que te avisa si tu contraseña se ha filtrado.

El miércoles también os contamos que el esquema URL en los dispositivos iOS es vulnerable al Highjacking.

El jueves 18 os informamos de que se ha encontrado un importante fallo en la placa lógica de algunos MacBook Air de 2018 y os contamos como comprobar si un equipo se encuentra afectado.

El viernes 19 os avisamos de que Pwn20wnd ha confirmado que su jailbreak es compatible con iOS 13 (al menos en su fase beta).

Finalmente, el sábado hablamos de "Sosumi" o cómo la discográrica de los Beattles demandaba a Apple por los sonidos del sistema operativo.

Nos vemos en el próximo Fue Noticia de Seguridad Apple.

Llega el verano y con él las primeras oleadas de robos de productos Apple

Como es habitual en Seguridad Apple cada año os avisamos de que el verano es una de las épocas favoritas de los ladrones para cometer hurtos y robos en tiendas. La gran popularidad de los productos de Apple y el precio que pueden alcanzar en el mercado negro los convierte en uno de los principales objetivos para este tipo de criminales. Por lo general, la mayoría de robos que suceden en las Apple Store suelen ser alunizajes nocturnos o robos rápidos en los que los ladrones entran arrancan los cables de seguridad y corren con los dispositivos sin poner en peligro a la gente que se encuentra dentro de las tiendas.

El pasado 26 de junio tres asaltantes armados irrumpieron en el Apple Store de Valencia, California y se hicieron con varios iPhone y Apple Watche en cuestión de segundos huyendo hacia un vehículo en el que les esperaba en la puerta. Por suerte para las víctimas no todos los ladrones resultan ser tan profesionales como los del primer caso y son detenidos rápidamente. A continuación aprovechamos para contaros algunos de los ultimo casos de robo que han tenido lugar en este comienzo del verano. La policía de Nueva Jersey está buscando a un individuo al que le pareció buena idea publicar un divertido selfie en el Instagram de la víctima a la que había robado el iPhone. Tras saberlo la víctima se lo reportó a la policía y el departamento compartió la imagen en las redes para que la comunidad de Facebook ayudase a reconocer al delincuente. Otro interesante caso es el de un empleado de la universidad de Minnesota el cual hurtó hasta 78 ordenadores portátiles con un valor total de 134.000 dólares para luego revenderlos. El acusado ha logrado evadir la cárcel pero tendrá que pagar una gran multa y pasar un año realizando trabajos para el condado.

Figura 1: Selfie del ladrón de iPhone publicado en el Instagram de la víctima.

Por último os hablaremos de un par de casos en los que la aplicación Find My iPhone ha sido de gran utilidad para atrapar a los criminales en cuestión de horas. Comenzamos con el caso de una mujer de Memphis a la que le robaron el iPhone en una estación de servicio mientras repostaba. La joven de 26 años utilizó Find my iPhone para localizar su móvil, lo que la llevó hasta un bloque de apartamentos donde acompañada de sus amigos vio como los ladrones huían en un camión desde el cual en una ocasión llegaron a apuntarla con un arma, poco después el ladrón fue arrestado y confesó los hechos.

Para terminar os contamos cómo la policía australiana junto con la ayuda de Find my iPhone ha sido capaz de recuperar un BMW robado en tan solo 15 minutos. El propietario del vehículo alertó a las autoridades de que su coche había sido robado y que era posible localizarlo gracias a un iPad que había dejado dentro. Gracias a la ayuda del iPad (que el ladrón no había visto) fue posible localizar el vehículo y detener al ladrón en menos de 15 minutos. Por desgracia para el hombre su coche quedo bastante dañado después del robo (ventanas rotas, capo abollado y elementos electrónicos arrancados de su sitio).

sábado, 20 de julio de 2019

"Sosumi" o cuando la discográfica de los Beattles (Apple Corp.) demandaba a Apple Inc. hasta por los nombres de los sonidos del sistema operativo

En los años 90, Apple Inc. llegó a un acuerdo con la otra empresa Apple Corps, conocida por ser la discográfica de los Beatles, para no entrar en el mundo de la música y así evitar cualquier confrontación debido a su nombre en común. Todo fue bien hasta que apareció el Apple IIgs, el cual tenía un puerto MIDI por defecto, lo que terminó en una denuncia por parte del Apple de los Beatles. A partir de este punto, cualquier cosa que tuviera que ver lo más mínimo con la música (hasta una melodía de arranque) tenía que ser revisado por el equipo de abogados de Apple Inc.

Con el famoso sistema operativo System 7 se incluyó un gestor de sonidos el cual tenía mucha más calidad de audio para reemplazar las viejas APIs, haciendo que fuera posible reproducir audio de playback de calidad. Jim Reekes fue el ingeniero que gestionó el desarrollo todo lo relacionado con el audio del Mac, desde 1990 hasta 1999. Él fue, entre otras cosas, el creador del famoso acorde de arranque tan característico incluso hoy día en los ordenadores de Apple. A pesar de ser sólo eso, un acorde, la empresa Apple de los Beatles advirtió a Apple Inc. que "Xylophone" (nombre final que se le asignó) era demasiado musical y debía de ser renombrado.

Figura 1. Jim Reekes, foto tomada en 2018 en su estudio. Fuente.

Reekes primero hizo la broma renombrado el fichero llamándolo "Let it bleep", pero obviamente, estaba claro que este nombre no sería adecuado y acabaría en una demanda. El enfado de Reekes con este tema era evidente hasta el punto de llamar al fichero esta vez "so sue me"("entonces denúnciame"), el cual finalmente fue renombrado como "sosumi" para que no fuera tan evidente el claro guiño a los abogados de la discográfica de los Beatles.  Al principio, Reekes pensaba que ese nombre no pasaría el corte y sería rechazado por los abogados de Apple Inc. pero sorprendentemente sobrevivió  convirtiéndose parte del folclore que rodea a la empresa de la manzana.

Figura 2. Gestión de sonidos del System 7 de Apple donde aparece el sonido "Sosumi". Fuente.

Esta batalla sin cuartel entre las dos Apple terminó en 2007, cuando llegaron por fin a un acuerdo legal para acabar con esta absurda guerra de nombres. Reekes también es el creador del sonido (además de muchas de otras características) de la cámara que podemos encontrar en los Mac y los iPhone, el cual por cierto, proviene de una cámara Canon AE-1 de finales de los 70. También formó parte del equipo creador de la aplicación QuickTime

viernes, 19 de julio de 2019

Pwn20wnd ha confirmado que su jailbreak es compatible con iOS 13

Desde su lanzamiento, Cydia se ha convertido en una herramienta imprescindible para aquellos que deciden hacer jailbreak en sus dispositivos, por desgracia Saurik, su creador dejó de trabajar en la herramienta hace tiempo, pero permitiendo que los desarrolladores pudiesen trabajar sobre ella y modificarla en función de sus necesidades. Eso mismo es lo que han hecho algunos desarrolladores independientes o equipos como el de Unc0ver o Electra adaptando Cydia para compatibilizarla con sus proyectos e ir lanzando nuevas versiones de jailbreak. La semana pasada el desarrollador Pwn20wnd junto a su equipo anunció en Twitter que Cydia será compatible con iOS 13 si se realizan algunos cambios menores en la herramienta.

Desde que Cydia dejó de estar mantenido han nacido algunos nuevos gestores de archivos como Sileo (desarrollado por el equipo de Electra) o Installer 5 package manager un gestor con un aspecto similar al de la App Store. Estos gestores funcionan bastante bien, pero si eres un usuario reacio a los cambios vas a tener suerte. Pwn20wnd ha dicho a través de Twitter que ha probado Cydia en iOS 13 en un dispositivo sin jailbreak a través de la virtualización de iOS CorelliumHQ y que debería ser compatible realizando algunos cambios menores. Sin duda esta es una gran noticia para el mundo del jailbreak ya que Cydia Substrate es un componente fundamental que permite la instalación de tweaks en los dispositivos “liberados”.


Aunque todavía no haya salido ningún jailbreak que funcione en iOS 13 estas son noticias alentadoras para la comunidad del jailbreak. iOS 13 llegará en septiembre de este año, hasta entonces los desarrolladores no podrán trabajar en el desarrollo de una versión totalmente compatible con iOS 13. Además cada vez que aparece un nuevo jailbreak este pasa por un proceso de preparación para ser lanzado públicamente retrasando un poco más su llegada. Independientemente de lo que tardemos en tener un jailbreak para iOS 13 el hecho de que Cydia Substrate pueda trabajar con la nueva versión del sistema operativo (haciendo cambios menores) es una gran noticia para los desarrolladores y para los amantes del jailbreak.

jueves, 18 de julio de 2019

Se ha encontrado un problema en la placa lógica de algunos MacBook Air de 2018

Hace apenas unos días la firma californiana detectó la existencia de un problema en la placa lógica de algunos MacBook Air del 2018 gracias a un documento interno de la empresa. Por suerte para los propietarios de uno de estos dispositivos el número de equipos afectados parece ser muy pequeño y ya se ha notificado a las tiendas Apple y demás proveedores que trabajan con la marca. Al tratarse de un defecto de fábrica Apple correría a cargo con el coste de la reparación de los dispositivos afectados (habría que sustituir la placa principal) sin coste alguno.

Si tienes uno de estos dispositivos y no sabes si este se encuentra afectado por el problema no te preocupes, Apple ha comunicado que se pondrá en contacto con todos aquellos clientes afectados a través de un correo electrónico en el que se avisa de que sus portátiles deberían llevarse al servicio técnico para la sustitución de la placa afectada. Por el momento Apple no ha querido compartir detalles acerca de este fallo ni de cómo puede afectar al correcto funcionamiento de los dispositivos. 

Figura 1: Aspecto de las placas lógicas afectadas

La reparación solo se llevará a cabo en caso de ser necesaria y siempre y cuando no hayan pasado más de cuatro años de la compra del dispositivo. En el caso de que el equipo tenga algún otro daño ocasionado por el cliente este no será reparado a no ser que el cliente lo solicite (lo tendrá un coste adicional), al igual que si hay algún otro elemento dañado que impida reemplazar correctamente la placa lógica. Si tienes un MacBook Air y quieres salir de dudas acerca de si tu equipo puede estar afectado te recomendamos que programes una cita con el soporte de Apple a través de su página web, ya que cuando se ingresa el número de serie de un equipo afectado en el sistema informatico de Apple este notificará automáticamente a los técnicos de que es necesario el reemplazo de la placa lógica.

miércoles, 17 de julio de 2019

El esquema URL en iOS es vulnerable al Highjacking

El formato o esquema URL en iOS ofrece a los desarrolladores un medio para comunicar apps entre ellas. Pero más allá de la comunicación, con incluir el nombre de la aplicación en la misma URL es también posible abrirla o ejecutarla. Por ejemplo, "facetime://" abrirá FaceTime para realizar por ejemplo, una llamada. Este es sólo uno de los muchos esquemas que existen con este formato para las URL. El abuso de los esquemas URL puede acabar siendo un problema para la seguridad como veremos a continuación.

Apple utiliza un mecanismo de sandbox para la seguridad y privacidad de los datos contenidos en las apps creadas para iOS. Es un sistema bastante seguro pero tiene un pequeño problema: limita demasiado la comunicación entre aplicaciones. Aquí es donde entra el esquema URL. iOS permite un único esquema URL para que dicha aplicación pueda ser llamada por otras, utilizando un sencillo método en el cual se aplica el principio de orden de llegada, es decir, sólo se ejecuta y se registra como auténtica la primera aplicación que utilizó dicho esquema en primer lugar. Aún así, es posible explotar esta vulnerabilidad tal y como explican a fondo en la web de Trend Micro para conseguir un ataque tipo Highjacking (o secuestro)

Figura 1. Aspecto de un token de login robado por la aplicación URLSchemeAttack. Fuente.

Otro de los problemas relacionados con los esquemas URL es que estos pueden ser utilizados para ejecutar aplicaciones, como hemos comentado al principio de este artículo. Es decir, una aplicación maliciosa podría registrar una URL específica, existiendo la posibilidad de que dicho malware se pudiera ejecutar simplemente lanzando dicho esquema URL. Existen muchas aplicaciones de este tipo las cuales intentan reclamar el esquema URL perteneciente a otras aplicaciones conocidas como wechat://, fb://, etc. Esta práctica está muy extendida para conseguir ejecutar pop-ups con publicidad no solicitada.

Figura 2. Algunas aplicaciones maliciosas que intenta sacar provecho de aplicaciones populares. Fuente.

Los esquemas URL pueden ser peligrosos y no se recomiendan para transmitir información sensible o confidencial. Un atacante puede aprovechar la función de "no autenticación" ya que los datos se transfieren independientemente del origen o destino. En su lugar, se recomienda utilizar los llamados universal links, ya que configurando un enlace de este tipo creamos un interfaz de login además de una identificación aleatoria para autenticar el token de inicio recibido. De esta forma es sencillo prevenir un ataque tipo Highjacking además de la reproducción del token de login.

PwnedWord: El atajo de Siri que te dice si tu contraseña se ha filtrado

No debería extrañarnos que se diga que en la red se filtran contraseñas constantemente, y que existen multitud de sitios que permiten consultar si una determinada cuenta o contraseña se ha visto comprometida, algo que todo deberíamos comprobar periódicamente. Ahora podremos hacer está comprobación a través de un atajo en Siri, que se llama PwnedWord, y va a permitir a los usuarios verificar si sus contraseñas se han filtrado con la técnica ‘k-anonymity’.

¿Cómo se realiza la consulta? Envía los 5 primeros caracteres del hash a pwnedpasswords.com, el servicio devolverá todas las contraseñas que coincidan con esos primeros 5 caracteres del hash enviado, para terminar en el propio iPhone se comprobará el hash completo de la contraseña con el hash de todas las devueltas por el servicio.

Figura 1 - Usando PwnedWord (Fuente)

Como resultado, el atajo te mostrará un mensaje felicitándote por tener una contraseña robusta y ‘nunca’ filtrada, o por el contrario, te indicará el número de veces que se ha visto comprometida. Si tu contraseña se ha filtrado, no olvides cambiarla de inmediato, además, si no lo haces ya, ves pensando en agregar un doble factor de autenticación.

Antes de descargar el atajo de icloud y poder hacer uso de él, tienes que activar la opción que permita atajos no confiables, esto se encuentra en el apartado de configuración, dentro de la opción de atajos.

martes, 16 de julio de 2019

El primer Jailbreak para Apple Watch podría llegar antes de fin de año

Ya hace más de cuatro años del lanzamiento de la primera versión del Apple Watch, debido a su gran éxito muchos desarrolladores han decidido trabajar en el desarrollo de un jailbreak para explotar todo el potencial del reloj inteligente de Apple. Por desgracia para los usuarios todos los jailbreaks logrados en el pequeño dispositivo hasta el momento no se han liberado debido a la dificultad que supone su integración. Por suerte para muchos esto parece haber cambiado, el hacker conocido en twitter como @ethanpepro ha anunciado que continuará trabajando en un jailbreak para watchOS 5 que recibirá el nombre de benbreak y que será lanzado en el cuarto trimestre de este 2019.

También se ha habilitado una página web dedicada a este futuro jailbreak con el lema “Libera tu Apple Watch”. En la página de benbreak también se ha mencionado que el este será compatible con todos los modelos de Apple Watch capaces de correr versiones comprendidas entre watchOS 4.0 y watchOS 5.1.2. Puedes visitar la página de bembreak pinchando Aquí. Hace apenas unos días Apple lanzó watchOS 5.2.1, lo que significa que las personas que ya hayan actualizado su Smart watch ya no podrán disfrutar de las novedades que ofrezca este jailbreak a no ser que @ethanpepro logre que su jailbreak sea compatible y lo actualice.

Figura 1: Apple Watch Series 4.

La posibilidad de hacer jailbreak al Apple Watch ofrece a los usuarios la capacidad de personalizar sus dispositivos a su gusto, algo que no ha sido posible hasta ahora desde su lanzamiento. Con este jailbreak será posible utilizar fondos de pantalla y temas que no sean compatibles con las versiones más antiguas del dispositivo, instalar aplicaciones que no se encuentren en la App store y modificar otras funciones y aspectos del reloj. Desde Seguridad Apple aprovechamos para recordaros que un Jailbreak nos hace perder seguridad en el dispositivo, por lo que si te preocupa la seguridad del dispositivo debes tener esto en cuenta.

lunes, 15 de julio de 2019

WatchOS 6 allana el camino a tener un reloj independiente del iPhone

La tendencia que esta llevando Apple con su Watch nos hace prever una ‘independencia’ de este terminal con respecto al iPhone, probablemente lo pensarás cuando agregaron la funcionalidad LTE en el Apple Watch. Ahora con watchOS 6 se puede ver más claro agregando la App Store en el dispositivo, dando la posibilidad a los usuarios de instalar aplicaciones para watchOS directamente desde el reloj, recordamos que en versiones anteriores solo era posible a través de un iPhone.

Además, se ha revelado en la beta del watchOS 6 que dentro de la configuración existe una opción que va a permitir actualizar el software del reloj, se puede apreciar en la figura 1.


Figura 1: Actualización dentro del Apple Wath (Fuente)

No obstante, no es una funcionalidad que dependa completamente del reloj, ya que esta opción de actualización solo va a permitir comprobar si existen actualizaciones, pero a la hora de descargarla, va a seguir exigiendo que los usuarios aprueben dicha descarga desde su iPhone. Por esto, la ‘independencia’ total no se ha conseguido, pero está en camino, y parece que llegará en un futuro muy cercano ¿puede ser con el lanzamiento oficial de watchOS 6 en otoño? Lo iremos viendo.

domingo, 14 de julio de 2019

Japón levanta nuevas restricciones comerciales a los proveedores Coreanos de Apple

A partir del 4 de julio entrarán en vigor las nuevas restricciones impuestas por el gobierno japonés a Corea del sur. Estas medidas afectaran a varias compañías tecnológicas de Corea del sur, incluyendo a algunos de los proveedores clave para Apple, entre los que s encuentran Samsung y LG, todo ello como una represalia después de que la corte coreana dictase que el gobierno nipón debía pagar por el trabajo forzado sufrido por los coreanos durante la segunda guerra mundial.

El gobierno japonés está poniendo fin al trato preferente en la exportación de las poliamidas fluoradas usadas en la elaboración de pantallas y en el fluoruro de hidrogeno utilizado para grabar silicio (dos elementos muy utilizados en la elaboración de dispositivos tecnológicos). Los exportadores japoneses tendrán que solicitar permiso cada vez que deseen enviar un pedido a Corea, un proceso largo cuya aprovación puede llevar hasta 90 días. Esto supone un gran problema para las empresas tecnológicas coreanas, ya que actualmente Japón produce alrededor del 90% de la poliamida fluorada y el 70% del gas de grabado

Figura 1: Posible aspecto que tendrá el iPhone 11.

La solución a esta disputa parece distante, el gobierno japonés insiste en que el conflicto por los trabajos forzados acabó en 1965, cuando se restauraron las relaciones diplomáticas con Corea del sur, aunque desde enero Corea ha rehusado de dialogar con Japón. Samsung y LG se supone que serán los principales proveedores de pantallas OLED para los iPhones, esto puede suponer una grave crisis antes del lanzamiento de los modelos de 2019. En el caso de seguir este bloqueo Apple podría verse obligado a negociar con algunas empresas japonesas para que se encarguen de la fabricación de sus LCDs y de sus paneles OLED, a pesar de que estas empresas se encuentren por detrás de sus rivales coreanos. Nos mantendremos al tanto para saber cómo desenlaza esta tensa situación.

sábado, 13 de julio de 2019

El espectacular prototipo del ordenador modular de Apple (llamado en clave "Jonathan") compatible con Mac, Unix y MSDOS diseñado en 1985

Hoy vamos a contar la historia de un ordenador que nunca se llegó a fabricar pero que, de haberlo hecho, seguramente hubiera sido un gran revulsivo en el creciente mercado informático de la época. A comienzos de 1985 Apple necesitaba un impulso en sus ventas del Macintosh pero aún dependían demasiado del fantástico Apple II, el cual se vendía mucho mejor por aquella época. Unix y MS-DOS eran los sistemas operativos más utilizados así que había que buscar una solución compatible con ellos.

Apple sólo tenía el 15% del mercado de los ordenadores en 1985. El resto se lo repartían entre los compatibles con MS-DOS (la mayoría IBM) y otros (sobre todo mainframes en el mundo de la investigación y la educación) con Unix. Apple necesitaba colocar un Macintosh en cada hogar, oficina, universidad, etc. John Fitch, uno de los ingenieros que trabajó en el diseño del Apple IIgs, estaba preocupado por el poco seguimiento de los productos asociados y compatibles con el Apple II. La era del ordenador de Steve Wozniak había llegado a su fin. Había llegado el momento de reinventarse.

Figura 1. Prototipo original del concepto "Jonathan". Fuente.

Fitch, inspirado en la arquitectura abierta que siempre ha caracterizado al Apple II (incluso abrirlo para acceder a sus componentes internos era realmente sencillo, sin tornillos), propuso a Steve Jobs y a John Sculley (el cual acababa de llegar a la compañía de la mano de Steve Jobs) un producto modular, el cual utilizaría el nuevo microprocesador Motorola 68030, lo suficientemente potente para negocios y aplicaciones más complejas (como investigación) pero que a la vez también fuera asequible para tenerlo en todos los hogares.

El diseño final era realmente espectacular como se puede apreciar en la Figura 1 y 2. Fitch mostró un prototipo el cual tenía una base principal (backbone) sobre el cual se irían conectando, diferentes módulos (como si fueran libros en una estantería) de hardware cada uno ejecutando por ejemplo, un Apple II completo, un hardware compatible con Unix, otro con MS-DOS y dejando abierta la arquitectura para otros sistemas operativos futuros gracias al backbone. Es  decir, cada módulo sería un ordenador completo compatible con un sistema operativo específico. De esta forma, el usuario podría ir actualizando su arquitectura en función de sus necesidades simplemente añadiendo un módulo adicional, comenzando por un hardware básico el cual se iría actualizando si fuera necesario con dichos módulos.

Figura 2. Prototipo final presentado al staff de Apple del "Jonathan". Fuente.

Fitch llamó a este concepto "Jonathan" y pregunto la famosa empresa Frog Design si podían preparar un prototipo del mismo, utilizando como base la metáfora de los libros. Finalmente, después de nueve meses de trabajo, en junio de 1985, Fitch presentó al staff directivo de Apple un prototipo de su concepto. La verdad es que inicialmente, tuvo un impactó bastante positivo entre los directivos de la empresa ya que su diseño e hipotética compatibilidad con todo eran unas características imbatibles en el mercado. Seguramente pensaréis que fue Steve Jobs quien puso los inconvenientes principales al producto pero no, esta vez fue Jean-Lous Gassée, jefe de desarrollo de productos el cual dijo que vender dos o tres "Jonathans" equivaldría a obtener el mismo beneficio que vender un Macintosh II. Además John Sculley también secundó las afirmaciones de Gassée por lo que el proyecto finalmente se canceló.

Figura 3. Jean-Louis Gassée y John Scully en las oficinas de Apple en 1986. Fuente.

Por lo menos, todo el trabajo realizado por los diseñadores e ingenieros no quedó en nada. Fitch lo reutilizó más tarde con el Motorola 68030 en el Mac IIx y el IIfx, además del diseño utilizado en el Jonathan. De hecho, se convirtió en una línea que Apple utilizaría durante mucho tiempo en sus productos. Esta línea de diseño se llamó "snowwhite", pero esta es otra historia ;)

viernes, 12 de julio de 2019

Una vulnerabilidad en el Apple Watch fuerza a Apple a deshabilitar temporalmente la app Walkie-Talkie

La aplicación Walkie-Talkie del Apple Watch ha sido deshabilitada después de que Apple encontrase una vulnerabilidad que permitiría a las personas escuchar los iPhone de otros, eso es lo que la compañía ha explicado a TechCrunch. Por el momento la compañía de la manzana no tiene indicios de que esta vulnerabilidad haya sido explotada y por el momento no ha querido dar detalles de cómo funciona. La única información que ha revelado Apple es que para explotar la vulnerabilidad tienen que darse unas condiciones específicas junto a una determinada secuencia de eventos.

“Acabamos de darnos cuenta de que existe una vulnerabilidad relacionada con la App Walkie-Talkie del Apple Watch por lo que hemos deshabilitado la aplicación hasta que logremos solucionar el problema. Nos disculpamos con nuestros clientes por las molestias causadas, volveremos a activar esta funcionalidad lo antes posible. De todas formas, no somos conscientes de que esta vulnerabilidad haya sido explotada, además para explotarla es necesario que se cumplan una serie de condiciones específicas, nos tomamos la seguridad y la privacidad de nuestros clientes muy en serio. Consideramos que deshabilitar la aplicación era la decisión correcta ya que este bug permitiría a un atacante realizar escuchas a través del iPhone de otro cliente sin su consentimiento. Nos disculpamos de nuevo por las molestias.”

Figura 1: App Walkie-Talkie en Apple Watch.

Walkie-Talkie es una app para Apple Watch que permite realizar “llamadas” y mantener una conversación de la misma forma que lo harías con un walkie-talkie tradicional (es una forma modificada de Facetime). Esta función se añado hace apenas un año con la llegada de watchOS 5.0. Por el momento la aplicación se mantendrá instalada en los Apple Watch pero no será posible realizar llamadas a través de ella hasta que se solucionen los problemas. Esta es la segunda vez que Apple ha tenido que deshabilitar Facetime o alguna de sus funciones durante este año. A comienzos de año Apple deshabilitó la aplicación durante unos días por un fallo que permitía escuchar a través del micrófono de los usuarios antes de que estos contestasen la llamada. Por el momento Apple parece haber salido airoso de este problema, sin embargo hace apenas unos días la empresa californiana tomó la decisión de eliminar su servidor web de Zoom tras descubrir que su aplicación de videoconferencia en Mac tenía una importante vulnerabilidad.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares