Fue Noticia en seguridad Apple: del 2 al 14 de julio

Ya es verano y en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de cupertino. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 2 presentándoos OSX.Dummy, un malware enfocado a los usuarios de Slack y Discord que utilizan criptomonedas. 

El martes 3 os avisamos del lanzamiento de una nueva patente de Facebook que permitiría la activación del micrófono de nuestros smartphones para realizar escuchas de nuestro entorno.

El miércoles 4 os contamos cómo Apple ha demostrado que se equivocaba a un investigador que aseguraba ser capaz de evitar el borrado de datos durante los ataques de fuerza bruta en los iPhone.

El jueves 5 os contamos cómo un informe publicado por Appthority ha revelado que miles de Apps en iOS y Android filtran datos a través de Firebase debido a unas bases de datos mal configuradas.

El viernes 6 os planteamos una interesante pregunta: ¿es realmente necesario un antimalware para tu Apple Watch?

El sábado 7 indagamos un poco más en la historia de Apple, esta vez para hablaros del verdadero origen y significado que hay detrás del logotipo de la manzana mordida.

El domingo cerramos la semana alertándoos del descubrimiento de un nuevo ataque phishing que afecta directamente a los usuarios de family Sharing.

El lunes 9 os hablamos de la aparición de un nuevo problema relacionado con las baterías de los iPhones, en este caso el problema surge tras actualizar el sistema operativo a iOS 11.4.

El martes 10 os avisamos de que ya han sido solucionados los problemas que estaba generando Electra Jailbreak para iOS 11.2 y 11.3.1

El miércoles 11 os informamos de la resolucion del juicio entre Apple y la justicia Australiana por el caso del brickeo de iPhones reparados por empresas de terceros.

El jueves 12 os contamos como podéis instalar aplicaciones fuera de la App Store de iOS y os lo mostramos a traves de una pequeña prueba de concepto.

El viernes 13 os enseñamos como podéis instalar Electra Jailbreak en vuestros dispositivos que corran iOS 11.2 hasta iOS 11.3.1. y os recordamos los riesgos que esto conlleva.

Finalmente, ayer sábado contamos cómo un grupo de ingenieros intentó "colar" un puerto de expansión en el Macintosh como si fuera un puerto de diagnóstico.

Miles de apps en iOS y Android filtran datos a través de Firebase

Un informe generado y distribuido por la firma de seguridad móvil Appthority, ha revelado que miles de aplicaciones iOS y Android están dejando al descubierto una gran cantidad de datos de los usuarios a través de bases de datos de Firebase mal configuradas. No es la primera vez que Appthority encuentra bases de datos mal configuradas en la nube. La compañía de seguridad encontró en su día información crítica expuesta en servicios como MongoDB, CouchDB, Redis, MySQL y Twilio.

En enero de este año, Appthority comenzó a escanear un gran número de apps para móvil que hacían uso de los sistemas de Firebase para almacenar datos, analizando los patrones de comunicación de las aplicaciones con los dominios de Firebase. Tras encontrar el problema, se reportó que el origen del mismo estaba causado por los en wl proceso de desarrollo de apps, pues los desarrolladores tendían a optar por no exigir la autenticación para las bases de datos en la nube de Google Firebase; esta opción no está marcada por defecto cuando los developers hacen uso de este entorno de desarrollo. De las 2,7 millones de apps iOS y Android analizadas, se identificaron 28,502 aplicaciones (1,275 de iOS y 27,227 de Android) que hacían uso de bases de datos Firebase. En el caso de las aplicaciones desarrolladas para iOS, la información vinculada a 600 de ellas era vulnerable. En total, más de 3,000 apps filtraban datos desde 2,271 bases de datos mal configuradas dejando al descubierto más de 100 millones de registros de usuario. En total, la información filtrada ocupa más de 113 GBs e incluye datos como:

• 2.6 millones de credenciales en texto plano (user IDs y contraseñas);
• 4 millones de registros PHI (Protected Health Information); 
• 25 millones de localizaciones GPS; 
• 50,000 registros financieros entre los que se incluyen movimientos bancarios y transacciones de Bitcoin; 
• 4.5 millones de user tokens corporativos y también de Facebook, LinkedIn y Firebase.

Para evitar que esta filtración de datos vuelva a ocurrir, desde Google recomiendan que los desarrolladores abandonen la práctica de no implementar la autenticación a todas las bases de datos, pues de lo contrario resultaría muy sencillo para cualquier atacante capacitado a accedes a una ingente cantidad de datos privados almacenados en las aplicaciones. A raíz de esta incidencia, Google ha publicado una guía completa sobre cómo hacer bases de datos seguras con Firebase. Google no sólo fue avisado del leak encontrado antes de la publicación del artículo, sino que también se le facilitó la lista de apps y servidores de bases de datos de Firebase afectados.