Menú principal

jueves, 31 de octubre de 2019

Surgen nuevos problemas de batería y cobertura en iOS 13.1.3

El año pasado con el lanzamiento de iOS 12 muchos usuarios reportaron un problema en la duración de la batería de sus dispositivos, algo que Apple acabó solucionando a través de una serie de actualizaciones de software. Apenas un año después y con la llegada de iOS 13 la historia parece estar repitiéndose. Hace unos días se publicó la versión 13.1.3 de iOS y desde ese momento son numerosos los usuarios que no han dudado en contactar con el soporte de Apple vía Twitter para reportar problemas en la duración de su batería.

Al parecer con la llegada de iOS 13.1.3 la batería de los iPhone puede llegar a agotarse en tan solo 3 horas, algo preocupante si tenemos en cuenta que realizando un uso normal del dispositivo antes de la actualización la duración de la batería podía alcanzar sin problema las 18 horas. Este fallo podría deberse a la realización de tareas en segundo plano, de hecho se ha podido comprobar que algunos módulos relativos a la localización se activan cuando no son necesarios y sin el consentimiento del usuario. Otro de los problemas que han surgido con la llegada de esta actualización es la pérdida de cobertura, al parecer algunos dispositivos son incapaces de detectar las redes 4G impidiendo la realización de llamadas. Al reiniciar los dispositivos la conexión parece haberse reestablecido pero tras unos 15 o 20 segundos el problema surge de nuevo.

Figura 1: Aviso de batería baja en iPhone.

Desde la página de soporte de Apple se admite que es posible que el problema se trate de un fallo de software y se proponen una serie de posibles soluciones en caso de que no fuese así. La primera de ellas es el reinicio del dispositivo, en caso de que esto no funcione Apple explica cómo hacer un reinicio forzado en todos aquellos dispositivos que soportan iOS 13. Si el segundo método tampoco funciona Apple recomienda realizar una restauración del sistema a través de iTunes utilizando un ordenador. Por último se explica que a partir de un determinado número de ciclos de recarga la batería del dispositivo se verá mermada y se facilita una serie de consejos con los que alargar la duración de tu batería. Evidentemente las soluciones propuestas por la compañía no han sido muy bien recibidas por la comunidad ya que el problema está afectando también al nuevo iPhone 11 y sus diferentes versiones lo que deja claro que se trata de un problema de software que tendrá que solucionarse a través de una actualización.

miércoles, 30 de octubre de 2019

Así fue cómo 18 aplicaciones de malware se colaron en el Apple Store

El ecosistema de aplicaciones del iPhone es uno de los más seguros que pueden adquirirse hoy día, gracias al gran control que ejerce Apple sobre su App Store. Aún así, es posible que algunas aplicaciones lleguen a superar los severos controles de seguridad. Recientemente, unas 18 aplicaciones consiguieron diseñar técnicas de evasión para esquivar todos esos procesos de defensa. Vamos a ver cómo lo consiguieron.

Una serie de aplicaciones, las cuales iban desde una calculadora hasta incluso uno sobre cómo realizar ejercicios de yoga, aparentemente inocuas, realizaban una serie de tareas en background un tanto oscuras. Por ejemplo, creaban anuncios invisibles los cuales generaban clicks falsos en un sitio web para aumentar sus ingresos por publicidad. Este tipo de malware se llama adware y realmente el único impacto sobre el usuario sería una disminución de la duración de la batería y posiblemente mayor consumo de datos. No existe un daño directo a la confidencialidad ni a la integridad del dispositivo, están enfocadas únicamente a sacar un beneficio económico indirecto por publicidad.

Figura 1. Iconos de las aplicaciones afectadas por el adware. Fuente.

Pero lo importante no es realmente lo que hacían, sino cómo consiguieron llegar al App Store. La empresa de seguridad Wandera detectó una actividad inusual en una aplicación aparentemente normal, como es un simple velocímetro. Pero de repente, la aplicación conectó con un servidor de "Command and Control", que también ejercía la tarea de emisor de la publicidad que antes hemos mencionado. Consiguieron identificar al desarrollador de la aplicación llamado AppAspect Technologies (India) y además vieron que tenían otras aplicaciones (17 más). Así que las instalaron y comenzaron también a monitorizarlas.

Lo curioso es que en principio, no detectaron nada extraño. De hecho durante varios días ejecutaron las aplicaciones en varios dispositivos y no vieron ninguna comunicación extraña con ningún servidor. Y aquí viene lo mejor. Las pruebas se realizaron utilizando WiFi y durante ese periodo no se activó ninguna acción maliciosa. En cambio, cuando los desarrolladores añadieron una tarjeta SIM, y después de un tiempo, comenzaron a ver actividad enviada a ese servidor de adware. Es decir, estaban programadas para detectar una SIM, pero además, estaban programadas para esperar un tiempo razonable antes de realizar la conexión. Este es el listado de dichas aplicaciones:

• RTO Vehicle Information
• EMI Calculator & Loan Planner
• File Manager - Documents
• Smart GPS Speedometer
• CrickOne - Live Cricket Scores
• Daily Fitness - Yoga Poses
• FM Radio PRO - Internet Radio
• My Train Info - IRCTC & PNR​ (not listed under developer profile)
• Around Me Place Finder
• Easy Contacts Backup Manager
• Ramadan Times 2019 Pro
• Restaurant Finder - Find Food
• BMI Calculator PRO - BMR Calc
• Dual Accounts Pro
• Video Editor - Mute Video
• Islamic World PRO - Qibla
• Smart Video Compressor

Si un dispositivo tiene una SIM quiere decir que pertenece a una persona real con un número de teléfono y una línea, y no a un ecosistema montado para detectarlo. Es decir, estaba perfectamente programado para calcular los tiempos de espera y detectar la tarjeta SIM. Cuando contactaron con la empresa AppAspect Technologies estos comentaron que no tenían ni idea de este comportamiento. Lo más inquietante de toda esta historia es que podemos creer perfectamente a la empresa AppAspect, ya que la mayoría de empresas compran e insertan código de terceros en sus programas, muchas veces, como podría ser este caso, sin analizarlos previamente.

Apple ha retirado las aplicaciones y lo mejor de esta historia es que a partir de ahora, no sólo se centraran en comportamientos asociados al malware y se ha abierto un nuevo enfoque poniendo en el punto de mira al adware. Todo lo que sea mejorar los sistemas de detección de malware es bienvenido en el ecosistema de Apple.

martes, 29 de octubre de 2019

iOS 13.1.2 sigue causando problemas a los usuarios de iPhone

Desde el lanzamiento de iOS 13 Apple no ha parado de enfrentarse a numerosos problemas que ha tratado de abordar por medio de actualizaciones de software. A pesar de llevar tres actualizaciones relámpago los problemas con el nuevo sistema operativo persisten haciendo que muchos usuarios hayan decidido permanecer en la última versión de iOS 12 hasta que Apple logre solucionarlos definitivamente. A lo largo de la última semana se han dado a conocer nuevos problemas en iOS 13, algunos de ellos bastante graves.

El mayor problema conocido hasta la fecha afecta a las llamadas telefónicas. Al parecer son varios los usuarios de iPhone que están experimentando caídas del servicio durante los primeros minutos de sus llamadas. A parte de ser un problema para los usuarios comunes de iPhone esto también puede afectar directamente a numerosas empresas que utilizan dispositivos de Apple. A parte de las molestias causadas por una llamada interrumpida un problema así podría afectar a la imagen de la compañía. El problema no tardó en darse a conocer a través de la red social Twitter, donde varios usuarios con el mismo problema no dudaron en pedir explicaciones y cargar contra la cuenta de soporte de Apple.

Figura 1: Llamada en iOS 13.

Con este tipo de acciones los usuarios ya han forzado a Apple a lanzar actualizaciones fantasma (de urgencia) en otras ocasiones, estas actualizaciones en la mayoría de los casos resultan ser un arma de doble filo ya que aunque se utilicen para solucionar una vulnerabilidad o un fallo grave tienden a incluir otros fallos. Actualmente se sabe que la beta de iOS 13.2 también se encuentra afectada por este problema, lo que sugiere que Apple puede estar trabajando en solucionar problemas mayores. Un iPhone que no puede funcionar como teléfono es sin duda un problema bastante grave, por eso mismo Apple ha habilitado una página de soporte en la que ofrece posibles soluciones al problema por lo menos hasta que este pueda resolverse definitivamente.

lunes, 28 de octubre de 2019

¿Merece la pena la carga inalámbrica desde el punto de vista de la seguridad?

Durante este último año se ha hecho bastante popular la carga inalámbrica para los dispositivos móviles, con empresas como Apple o Samsung apostando por este innovador y llamativo método de carga para nuestros teléfonos, es posible que en cuestión de tiempo acabemos dejando de lado nuestros métodos de carga convencionales. La idea de la carga por inducción puede parecer una buena noticia para todas aquellas personas descuidadas que pierden su cable, lo rompen constantemente o arañan el puerto de carga de su Smartphone nuevo. ¿Pero este nuevo método de carga es seguro para nuestros dispositivos?

A la hora de pensar en la carga inalámbrica merece la pena recordar cuánto dinero hemos invertido en cables a lo largo de nuestra vida, probablemente ahora mismo lleves uno encima, ya sea en tu bolsillo, en tu coche o en tu mochila. Aunque al ser una tecnología “anticuada” y su precio haya disminuido bastante en los últimos años el dinero invertido en ellos sigue siendo bastante. Por otro lado la carga inalámbrica cuenta con dos claras desventajas, la primera de ellas es que al ser una tecnología relativamente nueva este tipo de cargadores son un poco caros. La segunda es la necesidad de tener un espacio donde colocar la plataforma de carga y no poder utilizar tu dispositivo (cómodamente) mientras esté cargando. Ahora que ya hemos hablado de las desventajas de la carga inalámbrica hablemos de sus puntos fuertes.

Figura 1: Base de carga para dispositivos Apple.

El mayor de estos puntos fuertes es la seguridad, cuando conectamos un cable de carga este realiza dos funciones, la primera es cargar la batería y la segunda es la transferencia de datos. Si eres el único en utilizar tu cargador no hay problema, pero conectar otros dispositivos a tu cargador puede generar serios problemas de seguridad. La mayoría de las herramientas más potentes de hacking requieren acceso físico al dispositivo, a través del puerto de carga se puede extraer información importante de tu dispositivo o inyectarle malware. Este mismo método lo utilizan empresas como Elcomsoft para desbloquear los dispositivos de criminales y terroristas para el FBI.

Muchos investigadores han demostrado que es posible modificar cables USB y engañar a la gente para utilizarlos comprometiendo sus equipos. Al cambiarse a la carga inalámbrica se cerraría de golpe esta puerta para los criminales, ya que las bases de carga se basan en la inducción y llevan un circuito cerrado e independiente con el que no existe la transferencia de datos.

domingo, 27 de octubre de 2019

Fue Noticia en seguridad Apple: del 15 al 27 de octubre

Con noviembre a la vuelta de la esquina en Seguridad Apple continuamos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el martes 15 contándoos que MacOS Catalina ha revelado los primeros indicios de la posible incorporación de Face ID en ordenadores de Apple.

El miércoles 16 os avisamos de que Safepost ha sido actualizado y optimizado para funcionar correctamente en iOS 13 y de que ya está disponible en la App Store.


El jueves 17 os contamos por qué es peligroso conectar un cable lightning cualquiera a nuestro Mac.

El viernes 18 os explicamos cuales son las nuevas funciones de seguridad que incorpora el nuevo MacOS Catalina.

El sábado 19 indagamos un poco más en la historia de Apple para hablaros de la primera oficina de la compañía, la cual aún sigue siendo propiedad de Apple.


El domingo 20 comenzamos la semana contándoos que China ha acusado a Apple de dar soporte a las protestas de Hong Kong.

El lunes 21 os avisamos del lanzamiento de iOS 13.1.3 una actualización lanzada para realizar mejoras de rendimiento y solucionar algunos fallos graves.

El martes 22 os contamos cómo surgió la función de autorrellenado de códigos de seguridad de Apple según uno de los ingenieros que la desarrolló.

El miércoles 23 os explicamos las razones por las que Safari comparte algunos historiales de navegación de sus usuarios con Google y Tencent.

El jueves 24 os hablamos de los routers habilitados para HomeKit que planea lanzar Apple para aumentar la seguridad de sus usuarios.

El viernes 25 os alertamos de la aparición de un sitio web fraudulento que ofrece la realización de jailbreak para atraer usuarios de Apple.

Finalmente, ayer sábado nos adentramos en los años 80 para hablaros de Diversi-Dial, un servicio de chat online desarrollado con el Apple II

sábado, 26 de octubre de 2019

Diversi-Dial, el servicio de chat online de los ochenta creado con ordenadores Apple II

Hoy día nos parece algo normal y trivial conectarnos con un ordenador remoto, en prácticamente cualquier parte del mundo en cuestión de segundos. Si hablamos del chat y las comunicaciones online entre usuarios, aún más, ya que esta práctica ya es parte habitual del día a día en nuestra sociedad hiper-conectada. Pero en los años ochenta esto no era tan fácil pero sí posible. Podías utilizar un modem y conectarte a servicios como Compuserve (realmente caros), pero había otra alternativa más barata: Diversi-Dial, orientada a usuarios del Apple II. Vamos a conocer un poco más de este servicio.

Diversi-Dial o DDial fue una empresa norteamericana especializada en BBS pero además ofrecía un servicio de chat online el cual te permitía enviar cadenas de texto a otro destinatario. De hecho era una especie de proto-IRC, del cual comparte muchas de sus características iniciales como por ejemplo utilizar diferentes canales. La conexión era normalmente a 300 baudios y la configuración para dar el servicio estaba compuesto por un clúster de varios ordenadores Apple II, con siete conexiones por ordenador. Pero ¿por qué siete conexiones por ordenador? pues simplemente porque estos son los slots libres que trae de serie el Apple II y en cada era posible conectar un modem con una línea de teléfono dedicada.

Figura 1. Detalle del interior de un Apple IIe y los slots de expansión. Este modelo tenía 8 aunque realmente eran 7 más 1 auxiliar con funciones específicas. Fuente.

Pero realmente lo que hacía realmente especial a DDial era su atractivo precio. Mientras otros servicios de la época como el mencionado Compuserve eran realmente caros (había que hacer una llamada de teléfono con diferentes costes por minuto según qué zona geográfica utilizaras), DDial ofrecía una única llamada de coste local la cual se podía conseguir a un precio fijo entre 5 y 10 dólares al mes. Toda una ganga. Eso sí, ya os podéis imaginar el problema que acarreaba no tener límite de conexión con el resto de integrantes de la familia, ya que el teléfono estaría todo el día ocupado. Una opción para evitar esto era tener tu propia línea de teléfono, pero era una solución un poco cara, ya que costaba unos 70 dólares de la época al mes y por ese precio, mejor te montabas tu propia BBS al tener una linea personal.

Figura 2. Modem Apple-Cat a 300 baudios (aunque permitía también una conexión síncrona de 1200 baudios), el más común en la época de DDial. Fuente.

Incluso llegaron a ofrecer una forma de ganar dinero desde casa gestionando uno de los nodos de DDial. Sólo tenías que tener una línea de teléfono dedicada y el software de DDial específico para nodos del servicio. El beneficio vendría a través de diferentes anuncios que irían apareciendo en las conexiones que iban realizando los clientes. Esto no funcionó muy bien, sobre todo por el coste de una línea fija adicional y el poco beneficio obtenido de la publicidad, pero recordemos que estamos hablando de los primeros años del inicio de la revolución informática y ya había servicios de comunicaciones e intercambio de ficheros sin existir, aún, Internet. Además, con una sola línea, sólo podías tener un usuario conectado a la vez y posiblemente estuviera todo el día ocupándola.

Figura 3. Pantalla de conexión habitual para este tipo de servicios. Fuente.

DDial se llegó a convertir incluso en una alternativa al recién creado servicio de correo electrónico, el cual era realmente caro. Vendían un kit de instalación a un coste de 475 dólares el cual utilizaba un software especial y daba acceso hasta siete usuarios (aquí el número siete es lo mismo que comentamos antes, los slots de expansión en este caso de un Apple IIe, el mismo que tiene Chema Alonso en el escritorio de su despacho y que podéis ver abajo en su Instagram) para recibir correo electrónico utilizando un Apple IIe, digamos, como servidor. Lo realmente innovador es que no hacía falta tener un Apple IIe para llamar y obtener tu correo, se podía utilizar con otro tipo de ordenadores de la época.

Figura 4. Foto en el Instagram de Chema Alonso mostrando su Apple IIe. Fuente.

Este servicio se hizo muy popular en la época sobre todo en adolescentes, desde el cual se pasaban horas hablando con extraños (esto me suena de algo). De todas formas, eran otros tiempos y no había ese miedo actual a quién de verdad estaba detrás de la línea. Pero como habéis podido comprobar, los chats online y algunos servicios de este tipo se crearon hace mucho tiempo. Uno de ellos, como DDial, además utilizando nuestro querido Apple II y Aple IIe como base del negocio.

viernes, 25 de octubre de 2019

Una página falsa de jailbreak hace de señuelo para atraer usuarios de Apple hacia una estafa

Hace unos días se ha sabido de la existencia de un sitio web fraudulento que utiliza como gancho la posibilidad de hacer jailbreak a los iPhone. Algunos cibercriminales están aprovechándose de uno de los últimos bugs encontrados (que garantiza la posibilidad de realizar jailbreak a cualquier dispositivo con chip A11 o inferior) para crear páginas web fraudulentas en las que ofrecer a los usuarios de iPhone la posibilidad de hacer jailbreak, los investigadores han descubierto que la mayoría de estas páginas conducen a un fraude. El jailbreak es un método para escapar a las limitaciones que impone Apple en sus dispositivos.

Esto lo convierte en una práctica bastante atractiva para algunos usuarios de iPhone que quieren instalar código personalizado, añadir algunas características o realizar investigaciones de seguridad fuera del ecosistema de Apple. El fraude se centra en la vulnerabilidad checkm8 la que se dio a conocer hace unas semanas, que afecta a cientos de millones de iPhones y que no puede ser arreglada. La página fraudulenta en cuestión ofrece a los usuarios la posibilidad de realizar jailbreak en sus dispositivos descargando checkra1n, un nuevo jailbreak que no tardará mucho en lanzarse públicamente. La página fraudulenta (checkrain[.]com) se registró apenas 24 horas después de la aparición de la página web legítima (checkra1n[.]com), Sin embargo, a diferencia del sitio web real, el falso no descarga el jailbreak, en su lugar trata de engañar al usuario para realizar pagos en un click, una técnica común en los fraudes publicitarios en línea.

Figura 1; Boton de descarga de Checkra1n.

Para engañar mejor a las víctimas la página asegura estar trabajando con algunas personalidades en el mundo del jailbreak como Coolstar o el integrante de Google Project Zero Ian Beer. En la página aparece un botón que al pulsarlo supuestamente descarga la aplicación desde la que se realizaría el jailbreak, sin embargo descarga un perfil de configuración malicioso con el que se pueden apuntar dispositivos a servidores infectados o instalar certificados. Por suerte la página también contiene un par de pistas que la delatan, como el asegurar que el jailbreak funciona en todos los dispositivos que corran con chips comprendidos entre el A5 y el A13 cuando checkm8 solo afecta a los dispositivos con chips desde el A5 al A11. Otra de las pistas es que la página asegura al usuario la posibilidad de instalar el jailbreak sin utilizar ordenador cuando para explotar checkm8 es necesario conectar el dispositivo a un equipo en modo DFU usando un cable USB de Apple.


Si las pistas mencionadas anteriormente no alertan al usuario del fraude lo que sucede es lo siguiente. Una vez descargada e instalada la aplicación el icono de checkra1n aparece en el teléfono del usuario. El icono parece una aplicación para el usuario, pero en realidad es un marcador de página web. Cuando el usuario hace clic en el icono, una página web se carga en pantalla completa (simulando ser una app) y se producen múltiples redirecciones hasta llegar al App Store, donde pide a los usuarios que descarguen una aplicación llamada "Pop" (una aplicación de máquina tragaperras). La página web dice a los usuarios que se diviertan con la aplicación de juegos durante siete días para asegurarse de que su jailbreak se realiza correctamente. Este sitio web malicioso te conduce a un fraude pero la misma técnica puede ser utilizada con propósitos peores como la instalación de malware o softwares MDM (Mobile Device Management) en nuestros dispositivos.

jueves, 24 de octubre de 2019

El router habilitado para HomeKit que lanzará apple

Es probable que muchos usuarios de dispositivos de domótica no hayan pensado en la seguridad de estos. El crecimiento de esos dispositivos, y en muchos casos mal protegidos, junto con la poca seguridad que traen los routers, hacen que sean un objetivo muy goloso para los cibercriminales, ya que es un buen blanco para convertirlo en un zombie de sus botnets. Además, se pueden usar para acceder a la red y conseguir datos privados.

Es aquí donde entran en juego los routers habilitados para HomeKit, que ayudarán a mejorar la protección. La pregunta que nos haremos es: ¿cómo va a trabajar este router? Una de las medidas que traerán es que están diseñados para proteger tus accesorios con un cortafuegos a nivel de router. Se puede ver en el siguiente tweet algunas capturas:

Figura 1. HomeKit Router, captura de Khaos Tian en Twitter. Fuente.

Se puede ver que existen 3 permisos de seguridad para los dispositivos:
  • Restringir a casa: en esta opción los dispositivos solo podrán hablar entre sí.
  • Automático: los dispositivos se podrán conectar al router, el resto de accesorios y los servicios aprobados.
  • Sin restricciones: como su nombre indica, sin reglas.
Las restricciones se pueden ajustar para cada dispositivo agregado al HomeKit. Estas restricciones que agrega Apple son muy importantes, una decisión acertada, sobre todo si tenemos en cuenta la investigación de Kaspersky que habla de que los ataques en contra de dispositivos inteligentes han aumentado cerca de un 700% en el último año. Se indica que los ataques no son muy elaborados, parece ser que buscan no ser detectados para futuras botnets.

Figura 2. Una de las opciones de configuración de HomeKit Accesory Security. Fuente.

Mientras llega el dispositivo de Apple, hay algunas medidas importantes a tener en cuenta, se enumeran a continuación:
  • Evita configuraciones por defecto.
  • Mantener los dispositivos actualizados.
  • Usa contraseñas robustas
  • Usar cortafuegos 
Desde luego medidas necesarias, pero a veces no triviales, y no todos los usuarios tienen porque entender o saber llevarlas a cabo, por ello es de agradecer las medidas de protección del futuro dispositivo de Apple. Aún no sabemos de fecha oficial para el lanzamiento de este dispositivo, parece que se está retrasando, ya que a priori llegaría este año.

miércoles, 23 de octubre de 2019

Apple defiende las razones por las que Safari comparte información con Google y Tencent

Apple ha querido aclarar las razones por las que comparte la información privada de navegación de algunos usuarios de Safari con Google y la compañía china Tencent. Según la empresa californiana la información compartida es almacenada en la base de datos de estas dos compañías con la intención de ayudar a proteger a los usuarios. Las primeras quejas surgieron a lo largo del fin de semana pasado y se centraban en el sistema de “aviso de sitio web fraudulento” de Apple. Esta función está implementada en el navegador Safari de los ordenadores Mac, iPhones e iPads y está diseñada para alertar a los usuarios cuando visitan sitios web en los que cibercriminales pueden tratar de obtener sus credenciales o información bancaria.

Este servicio está activado por defecto pero puede deshabilitarse desde los ajustes del navegador. Este sistema de protección funciona en parte gracias al servicio de navegación segura de Google que lleva más de una década en funcionamiento y que realiza un seguimiento de las páginas que pueden ser fraudulentas, al igual que hace Tencent en China. En la documentación facilitada por Apple, el fabricante explica que el navegador Safari debe enviar información relativa a la dirección del sitio web a los servicios de navegación segura de Google y Tencent para comprobar si estos pueden ser fraudulentos. Hace un tiempo Apple aseguró que no compartía información con Google ni Tencent sino que recibía un listado de los sitios web peligrosos registrados por ambas compañías y que luego lo utilizaba para garantizar una navegación más segura. Sin embargo durante la semana pasada Apple ha confirmado que las tres compañías comparten los listados de las direcciones IP que visitan ciertos sitios web que pueden suponer algún riesgo.

Figura 1:Safari alerta de un sitio web no seguro.

Este episodio es un recordatorio de que la gente cada vez está más preocupada con la forma en la que las compañías tecnológicas tratan con sus datos. Esta concienciación por la información y los derechos humanos es uno de los causantes de las protestas que están teniendo lugar en Hong Kong desde hace unas semanas. Desde sus comienzos Apple ha hecho de la privacidad y la seguridad uno de los pilares fundamentales de su marketing argumentando que sus dispositivos son los más seguros de la industria, de hecho ha comenzado a incorporar funciones en el navegador para que paginas como Facebook no puedan realizar un seguimiento de los usuarios por la red. Apple ha querido recordar que este servicio es opcional y que los usuarios que no se sientan cómodos utilizándolo pueden desactivarlo en cualquier momento desde las preferencias de Safari tanto en dispositivos iOS/iPadOS como en Mac.

martes, 22 de octubre de 2019

Un ingeniero de Apple explica en Twitter como surgió la idea del autorrellenado de códigos de seguridad de iOS

Desde hace ya unos años está disponible en iOS la función de autorrellenado de códigos de seguridad. Esta interesante función se añadió al sistema operativo en iOS 12 y es muy útil cada vez que estamos realizando alguna operación o tramite que requiera de una confirmación a través de un mensaje de texto (operaciones bancarias o confirmar una suscripción a algún servicio). Durante la semana pasada uno de los ingenieros de software de Apple explicó a través de Twitter cómo fue desarrollada esta herramienta y como esta brillante idea fue olvidada  por los desarrolladores durante varios meses.

El ingeniero se llama Ricky Mondello y explicó que la idea del Autofill formaba parte de un proyecto mucho más ambicioso y fue archivada durante un tiempo. Al ver que el proyecto principal no salió como debería se rescató la idea y se comenzó a trabajar en ella.

“La idea del autorrellenado de códigos de seguridad salió de un pequeño grupo de ingenieros de software que trabajábamos en lo que pensábamos que era un proyecto mucho más ambicioso y no era lo que teníamos previsto hacer inicialmente. Comenzó como una pequeña idea mientras diseñábamos algo bastante diferente, escribimos la idea, la archivamos durante semanas y la rescatamos cuando vimos que el otro proyecto no estaba dando resultados. Fue una decisión difícil pero me alegro de haber cambiado nuestro objetivo”. 

Figura 1: Funcionamiento de Autofill.

Tras esta declaración Mondello quiso enfatizar el hecho de que el autorrellenado de códigos de seguridad funciona sin que los desarrolladores tengan que intervenir y así preservar la privacidad del usuario. También dijo que estaba orgullosos de haber trabajado en el equipo que desarrollo la herramienta. Según Mondello el equipo, conformado por expertos en diferentes áreas, fue capaz de hacer funcionar la herramienta desde el día 1 sin tener que interactuar con otras aplicaciones o compartir la información de los mensajes con los desarrolladores. Esta función también está disponible desde hace tiempo en dispositivos Android

lunes, 21 de octubre de 2019

Apple lanza iOS 13.1.3 para realizar mejoras de rendimiento y solucionar algunos fallos graves.

Desde la llegada de iOS 13 Apple no ha parado de actualizar la nueva versión de su sistema operativo, en apenas un mes desde su presentación han sido 4 las actualizaciones recibidas por iOS. Algunas de estas actualizaciones han llegado con tan solo 3 días de diferencia, lo que nos hace preguntarnos: ¿Será esta la última actualización antes de iOS 13.2? Desde Seguridad Apple siempre os recomendamos que os mantengáis actualizados para mantener vuestros equipos a salvo. Si tu dispositivo todavía no se ha actualizado podrás descargarte la actualización desde la aplicación de Ajustes en el apartado “General” y luego “Actualización de software”.

En el registro de esta actualización se habla de la introducción de algunas mejoras y la solución de fallos menores. A continuación os contamos cuales han sido todos los cambios realizados. Comenzamos con la resolución de un problema grave que afectaba a la aplicación Telefono, el fallo en cuestión hacia que algunos dispositivos no sonasen ni vibrasen al recibir las llamadas. Otro de los fallos más graves solucionados afectaba a la aplicación Health, la cual no mostraba los datos correctamente si teníamos configurado el horario de verano para Reino Unido. Ya es posible abrir invitaciones a reuniones y eventos desde el correo electrónico.

Figura 1: Actualización a iOS 13.1.3.

Se ha arreglado un bug que hacía que no se descargasen algunas aplicaciones y las notas de audio tras la realización de un backup. También se ha solucionado los problemas a la hora de emparejamiento y sincronización del iPhone con algunos Apple Watch y el fallo que hacía que no se mostrasen las notificaciones en la pantalla del reloj. Se ha arreglado los problemas a la hora de vincular el iPhone al Bluetooth de algunos fabricantes de vehículos y se ha mejorado la conexión con altavoces y auriculares inalámbricos. Por último se ha acelerado el lanzamiento de las aplicaciones (juegos mayoritariamente) que utilizan Game Center. Estas han sido todas las novedades relativas a la seguridad en esta ultima actualización, os mantendremos informados en futuras actualizaciones.

domingo, 20 de octubre de 2019

China acusa a Apple de ayudar y proteger a los participantes de las protestas de Hong Kong

Las autoridades estatales chinas han acusado a Apple de ayudar y proteger a los alborotadores y manifestantes que participan en las protestas de Hong Kong. Los chinos han proporcionado como prueba contra Apple un listado de aplicaciones (disponibles en el App Store) que utilizan los manifestantes para saber los movimientos de la policía. Esta grave acusación hecha por el Diario del Pueblo, portavoz del Partido Comunista Chino, parece ser el último movimiento de China para presionar a las compañías extranjeras a seguir las normas de su televisión estatal después de que las compañías chinas cancelaran su colaboración con la NBA porque el manager de los Houston Rockets mostró su apoyo a los participantes de las protestas de Hong Kong en un Tweet

La aplicación HKmap.live, la cual muestra a tiempo real la localización de la policía y de los manifestantes fue aprobada por Apple el 4 de octubre y comenzó a estar disponible en el App Store al día siguiente, justo después de revocar la decisión de rechazar la solicitud, según un desarrollador anónimo citado en el South China Morning Post. La aplicación muestra puntos calientes en un mapa de la ciudad que se actualiza continuamente a medida que los usuarios informan de incidentes, lo que permite a los manifestantes evitar a la policía. De hecho Hkmap.live es al parecer la aplicación más descargada en la categoría de viajes en la App Store de iOS para Hong Kong. En un titular publicado por el People’s Daily el pasado miércoles en su microblog oficial se decía: "Proteger a los alborotadores, ¿Ha pensado Apple claramente sobre esto? Permitir que la aplicación venenosa florezca es una traición a los sentimientos del pueblo chino."

Figura 1: Aplicación  HKmap.live.

Sin nombrar específicamente la aplicación, el People’s Daily la acusó de permitir a los alborotadores de Hong Kong cometer crímenes y escapar tranquilamente evitando las detenciones. También afirmó que la aprobación de Apple de la aplicación lo convirtió en un cómplice en las protestas porque protege descaradamente y respalda a los alborotadores. El periódico chino cuestionó las intenciones de la compañía y no dudó en criticar a Apple por permitir que Glory to Hong Kong, un himno no oficial frecuentemente cantado por los manifestantes durante el movimiento estuviese disponible para descargar en la App Store.

En lo que parece una amenaza para su acceso al mercado chino la involucración de Apple en actividades políticas y comerciales puede parecer imprudente y podría atraer turbulencias para la compañía californiana. Apple ha sido la última empresa extranjera en meterse en problemas con China por las protestas antigubernamentales de Hong Kong, ahora en su semana 18. Por el momento como medida cautelar Apple ha eliminado la polémica aplicación de su App Store. Os mantendremos informados acerca de este tema.

sábado, 19 de octubre de 2019

La historia de la primera oficina de Apple o la única vez que Wozniak y Jobs se sentaban juntos

Desde la fundación de Apple Computer Company en 1976 (luego pasaría a llamarse Apple Computer Inc. en 1977) la mayoría del trabajo de diseño y fabricación, tanto del primer Apple I como de los primeros Apple II, se realizó entre las oficinas de HP (donde Wozniak hizo la mayoría del trabajo de hardware) y la casa y el garaje de Steve Jobs (básicamente como almacén, ensamblado de piezas y posiblemente alguna reunión). El negocio del Apple II parecía que iba a ser todo un éxito y ya eran 10 empleados, era hora de buscar unas oficinas.

A Steve Jobs le gustaba comer en una cadena de restaurantes llamada Good Earth (de hecho la oficina llegó a tomar este mismo nombre), los cuales ofrecían comida saludable y también vegetariana. Uno de ellos estaba justo al lado de unas oficinas disponibles en el 20863 Stevens Creek Boulevard Suite C en Cupertino, California, muy cerca de las oficinas actuales de Apple. Así que en enero de 1977 se mudaron y la prepararon como cuartel general de su nuevo producto Apple II, aquí se ensamblaba , empaquetaba y se enviaba a mano, por todos los empleados. Apple ya tenía oficinas, ahora sí que se había convertido en una empresa.

Figura 1. Distribución de las oficinas en el 20863 Steves Creek (Good Earth). Fijaros como arriba a la izquierda en rojo, Wozniak estaba sentado al lado de Jobs. Fuente.

Allí se realizaba todo el trabajo. El ritmo de fabricación de un Apple II era entre 7 y 10 por día (incluso llegaron a 57 en una semana) en un entorno muy familiar. Es curioso que esta sería la primera y la única oficina de Apple en la cual Steve Jobs estaría sentado junto a Steve Wozniak, tal y como se puede ver en el esquema de distribución de la misma que podéis ver en la imagen de arriba (figura 1). Por cierto, Chrisann Brennan que tenía 22 años por aquella época, era la novia de Steve Jobs desde que tenía 17, trabajó también en estas oficinas. Brennan era la madre de Lisa, la hija de Steve Jobs que al principio no reconoció hasta que ella fue adolescente.

Figura 1. Chrisann Brennan, Mark Johson y Robert Martinengo en las oficias Good Earth junto a una pila de cajas de Apple II. Fuente.

Chris Espinosa cuenta que cuando Wozniak recibió las llaves y fue por primera vez a sus nuevas oficinas, al ver todo ese espacio diáfano con alfombra en el suelo, llamó a los empleados para jugar al juego de balón prisionero. También parece ser que había unos teléfonos de la serie Bell 256HK que estaban conectados con una centralita Centrex, los cuales fueron objetivo de algunos juegos y hacks por parte de Wozniak. Finalmente llegaron los muebles y todos se mudaron a sus respectivos puestos de trabajo. Pero en menos de un año, tuvieron que cambiar de oficinas debido al gran éxito de ventas del Apple II el cual requería más empleados y espacio para su fabricación.

Figura 3. Aspecto de varias oficinas de Good Earth. Fuente.

A pesar de la mudanza, Apple mantuvo (incluso hoy día es de su propiedad) esta ubicación como una oficina paralela para futuros proyectos. Y así fue, en otoño de 1980, todo el equipo Macintosh, con Jeff Raskins a la cabeza, se mudó a esta misma ubicación. A Jeff le gustaba mucho motivar a su equipo para que fuera lo más creativo posible, así que pronto aquellas oficinas se convirtieron más en una zona de juegos que en un laboratorio de informática. Todos llevaron diferentes juguetes de todo tipo pero el favorito de todos eran las pelotas Nerf (sí, igual que las pistolas actuales pero en este caso eran bolas de goma espuma de poco peso). El juego era parecido al "tú la pillas", si alguien te golpeaba con la pelota tenías que pasarle el turno a otra persona.

Figura 4. Steve Jobs en las oficinas Good Earth. Fuente.

Pronto las oficinas se llenaron de barricadas hechas con cajas de cartón convirtiendo las oficinas en un auténtico laberinto. Además Jeff y alguno más del equipo, eran músicos así que llevaron muchos instrumentos musicales a las oficinas donde se improvisaban conciertos. También eran aficionados a los coches y aviones por radio control, por lo que no era raro ver alguno por debajo de la mesa o incluso fuera de las oficinas viendo como volaba uno de los nuevos aviones radiocontrol de alguno de los empleados. Si pensabas que eso de las oficinas con juguetes, futbolines y ambiente distendido y creativo lo creó Google, estabas equivocado/a. Apple y Atari ya lo hacían en los años 70.

Figura 5. Fotos actuales del exterior de las oficinas Good Earth. Fuente.

En prácticamente dos meses, el equipo decidió utilizar el microprocesador Motorola 68000 para el nuevo Macintosh en vez del Motorola 6809. Esto llamó la atención de Steve Jobs el cual, como ya hemos hablado alguna vez, tomó el control del equipo y se llevó a mucha parte del personal del Apple II. Por lo tanto tuvieron que mudarse pronto a otro legendario lugar llamado las Torres Texaco (donde ocurrieron cientos de anécdotas relacionadas con el Macintosh, de las cuales ya hemos contado alguna aquí, como esta de la máquina recreativa Defender), de la cual también hablaremos algún día. Apple mantiene incluso hoy día todas esas oficinas Good Earth como parte de toda su gran infraestructura de edificios dentro de Cupertino.

Figura 6. Ubicación de los despachos de Wozniak y Jobs en la siguiente oficina de Apple en el 10260 Badley Drv. En rojo la ubicación de ambos en las oficinas. Fuente.

Por cierto, y para finalizar, cuando se mudaron a Bandley Drive, después de las oficinas en Stevens Creek, los despachos de Steve Wozniak estaban lo más separados posibles (ver figura 6 arriba y los círculos rojos). Este hecho nos sirve para simbolizar el gran distanciamientos entre ambos que provocó más de un enfrentamiento e incluso la marcha de Wozniak. Pero eso es otra historia. ¡Feliz sábado!

viernes, 18 de octubre de 2019

Estas son las nuevas funciones de seguridad de macOS Catalina

Hace unos días os hablamos de la llegada del nuevo sistema operativo de escritorio liberado por Apple y de algunas de sus novedades y características más interesantes. El día de hoy nos centraremos en el aspecto de la seguridad y os contaremos cuales son las técnicas que utilizará macOS Catalina para mantener nuestros equipos a salvo de las amenazas que hay dentro y fuera de la red. A continuación os contamos detalladamente en que consisten algunas de las nuevas funciones de seguridad incorporadas en macOS Catalina.


Mejor protección de datos: Catalina forzará a todas las aplicaciones a solicitar permisos cada vez que quieran realizar cambios o acceder a la información almacenada en tu equipo, incluyendo los archivos almacenados en iCloud y dispositivos externos.

Mejor límite de uso de la pantalla: Cuando utilizamos el ordenador durante mucho tiempo a lo largo del día está bien establecer límites de tiempo para no dañar nuestra vista y la de las personas que más queremos, con estas mejoras podrás establecer una contraseña para que bloquee el equipo al sobrepasar el límite de tiempo establecido o para evitar la visualización de contenido para adultos.

Figura 1: Aplicación Find My Smarts.

Nueva aplicación Find My Smarts: Esta función actúa de manera similar a la aplicación Find My iPhone, solo que ha sido mejorada haciendo que se pueda triangular la posición de tu equipo a través de la señal Bluetooth de otros productos Apple de terceros.

Mejor seguridad en Home Video: Como HomeKit se ha convertido un referente en la creación de un hogar inteligente se han introducido también nuevas guidelines para cualquier cámara domestica que interactúe con su aplicación para macOS.

Alerta de contraseñas débiles: Apple lleva años recomendando el uso de contraseñas más robustas en sus servicios, ahora con la llegada de Catalina tu propio navegador (Safari) te alertará de cuando tu contraseña sea débil y te sugerirá el uso de una más robusta.

Figura 2: MacOS te ayudará a establecer contraseñas mas seguras.

Mejora en la tecnología de Gatekeeper: Las nuevas mejoras en el Gatekeeper de macOS hacen que sea más difícil para los malware infectar los equipos, además todos los programas deberán solicitar permisos para saber que estás tecleando o viendo en la pantalla.

Activation Lock: Con esta funcionalidad podrás brickear tu equipo remotamente en caso de que lo hayas perdido o te lo hayan robado (esta función está disponible para equipos con el chip T2).

Bloquear usuarios en el e-mail: La nueva versión de macOS te permitirá seleccionar aquellos contactos de los que no quieras recibir e-mails haciendo que todos aquellos que te manden vayan directos a la papelera.  

jueves, 17 de octubre de 2019

Cuidado con el cable Lightning que conectas a tu ordenador Apple

En la pasada DEFCON 2019, un investigador llamado Mike Grove, demostró que los cables USB, incluso aquellos que son idénticos a los Lightning, pueden poner en riesgo tu dispositivo. Algunos de ellos incluso se vendieron durante la conferencia, pero ahora una tienda de dispositivos para la ciberseguridad online llamada Hak5 también los vende para todo el mundo. Eso sí, no son baratos, el precio ronda los 100$. Vamos a ver un poco más en profundidad el peligro de estos cables "fake" (aunque hacen su función).

Estos cables son exactamente iguales que los cables Lightning originales que vienen con un iPhone o un iPad. La diferencia es que este cable tiene "embebido" un punto de acceso inalámbrico dentro del conector USB además de otras características como permitir payloads en el arranque o incluso borrar la firmware del mismo cable para volverse totalmente inofensivo y así borrar huellas. En el momento que el cable se conecta al ordenador (para acceder al iPhone o cargarlo, por ejemplo), puede ser activado de forma remota para intentar robar las credenciales del usuario o incluso instalar malware.

Figura 1. Anuncio de venta del cable O.MG. Fuente.

Cables de este tipo llevan existiendo desde hace bastantes años y hemos hablado incluso alguna vez en este blog (mira este ejemplo de 2015). De hecho, la misma NSA fabricó un cable bastante parecido a este el cual llamó CottonMouth para permitir instalar software a través del mismo. Pero Mike no ha necesitado los recursos de la NSA, de hecho lo fabricó en su cocina como un proyecto personal abriendo el conector e instalando el hardware necesario (el cual no es difícil de encontrar). Antes de fabricar este cable Lightning ya estuvo probando modificando los cargadores USB-C de los portátiles Apple. 

Figura 2. Detalle del "implante" dentro de la carcasa del conector USB. Fuente.

Como siempre se dice en estos casos, este cable está destinado a investigadores de ciberseguridad o equipos de Red Team. Según MG, Mike Grove, el cual lo ha bautizado como O.MG, al vender el cable en tiendas online permitirá que todo el mundo se tome en serio este problema y de esa forma encontrar una posible solución para proteger los equipos ante este problema. Así que a partir de ahora, conectar un cable del cual no estemos seguros que está totalmente verificado, puede ser un riesgo más de seguridad. Por cierto, si ya estabas pensando en comprarlo, tendrás que esperar un poco porque está "sold out". 

miércoles, 16 de octubre de 2019

Safepost actualizado para iOS 13

Hoy podemos anunciar que después de un largo proceso de desarrollo ya tenemos la versión 1.1.0 de Safepost en la Apple Store. Esta versión acompaña a la 1.0.8 con una serie de novedades como el soporte para México, un proceso de login mejorado, nuevas animaciones y un modo oscuro para iOS 13, al igual que fallo de bugs incómodos y una refactorización interna para futuras versiones.

Sin entrar en todo el desarrollo interno de la aplicación, vamos a hablar un poco de todo lo que nos hemos podido beneficiar de iOS 13 adaptando ligeramente la aplicación. Y es que Apple ha añadido bastantes mejoras invisibles que hacen que nuestra app sea sustancialmente mejor con poco esfuerzo. 

Como hemos podido adelantar en otras entradas, en esta nueva versión del sistema operativo móvil de Apple da soporte para que las apps se adapten al nuevo modo oscuro del sistema. El proceso de desarrollo es sencillo, Apple recomienda usar colores semánticos (colores como labelColor o backgroundColor) para unificar la aplicación con el sistema, al igual que colores personalizados en el caso de necesitar colores únicos para la aplicación, de esta manera podemos colocar el color deseado para el aspecto claro y su contrapartida para el modo oscuro e iOS cambiará automáticamente entre ellos sin necesidad de escribir código. 

Figura 1. Storyboard en modo oscuro

Por otro lado, solo con compilar la aplicación para iOS 13, las presentaciones modales de la aplicación se transformarán al nuevo estilo del sistema operativo, aportando nuevas animaciones y la capacidad de descartar la vista con un gesto hacia abajo perfecto para pantallas grandes. Otro detalle a tener en cuenta es la reducción del tamaño de aplicación, gracias a la introducción de la estabilidad del ABI en Swift 5, la reducción del tamaño de algunos Frameworks y la optimización de los recursos de la interfaz la aplicación ha pasado de 15MB a 8MB. Esta es una gran mejora que agradecerán muchos usuarios, ya que verán como ganan bastante espacio en sus dispositivos a medida que se vayan actualizando sus aplicaciones. 

Y hasta aquí el repaso de las novedades de iOS 13 de cara a desarrolladores, hay muchas otras características interesantes como la librería CriptoKit para cifrar las comunicaciones, Sign In With Apple para autenticación y las mejoras en accesibilidad que estamos evaluando en adaptar para continuar mejorando la aplicación. Si tenéis curiosidad de probar la app, aquí tenéis el video y el enlace de descarga

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares