Llega el verano y con él las primeras oleadas de robos de productos Apple

Como es habitual en Seguridad Apple cada año os avisamos de que el verano es una de las épocas favoritas de los ladrones para cometer hurtos y robos en tiendas. La gran popularidad de los productos de Apple y el precio que pueden alcanzar en el mercado negro los convierte en uno de los principales objetivos para este tipo de criminales. Por lo general, la mayoría de robos que suceden en las Apple Store suelen ser alunizajes nocturnos o robos rápidos en los que los ladrones entran arrancan los cables de seguridad y corren con los dispositivos sin poner en peligro a la gente que se encuentra dentro de las tiendas.

El pasado 26 de junio tres asaltantes armados irrumpieron en el Apple Store de Valencia, California y se hicieron con varios iPhone y Apple Watche en cuestión de segundos huyendo hacia un vehículo en el que les esperaba en la puerta. Por suerte para las víctimas no todos los ladrones resultan ser tan profesionales como los del primer caso y son detenidos rápidamente. A continuación aprovechamos para contaros algunos de los ultimo casos de robo que han tenido lugar en este comienzo del verano. La policía de Nueva Jersey está buscando a un individuo al que le pareció buena idea publicar un divertido selfie en el Instagram de la víctima a la que había robado el iPhone. Tras saberlo la víctima se lo reportó a la policía y el departamento compartió la imagen en las redes para que la comunidad de Facebook ayudase a reconocer al delincuente. Otro interesante caso es el de un empleado de la universidad de Minnesota el cual hurtó hasta 78 ordenadores portátiles con un valor total de 134.000 dólares para luego revenderlos. El acusado ha logrado evadir la cárcel pero tendrá que pagar una gran multa y pasar un año realizando trabajos para el condado.

Figura 1: Selfie del ladrón de iPhone publicado en el Instagram de la víctima.

Por último os hablaremos de un par de casos en los que la aplicación Find My iPhone ha sido de gran utilidad para atrapar a los criminales en cuestión de horas. Comenzamos con el caso de una mujer de Memphis a la que le robaron el iPhone en una estación de servicio mientras repostaba. La joven de 26 años utilizó Find my iPhone para localizar su móvil, lo que la llevó hasta un bloque de apartamentos donde acompañada de sus amigos vio como los ladrones huían en un camión desde el cual en una ocasión llegaron a apuntarla con un arma, poco después el ladrón fue arrestado y confesó los hechos.

Para terminar os contamos cómo la policía australiana junto con la ayuda de Find my iPhone ha sido capaz de recuperar un BMW robado en tan solo 15 minutos. El propietario del vehículo alertó a las autoridades de que su coche había sido robado y que era posible localizarlo gracias a un iPad que había dejado dentro. Gracias a la ayuda del iPad (que el ladrón no había visto) fue posible localizar el vehículo y detener al ladrón en menos de 15 minutos. Por desgracia para el hombre su coche quedo bastante dañado después del robo (ventanas rotas, capo abollado y elementos electrónicos arrancados de su sitio).

Cuando la gestión de los permisos es mucho más que un juego

Desde hace unos años, concretamente desde la llegada de los smartphones, adquirimos aplicaciones para nuestros dispositivos, muchas de estas apps solicitan una serie de permisos para su correcto funcionamiento. Con estos permisos algunas aplicaciones pueden hacer cosas como guardar la localización donde se tomó una foto, recomendarte un restaurante cercano o sugerirte agregar a una persona que posiblemente conozcas en las redes sociales. Aunque en la mayoría de estos casos nos convenga compartir nuestros datos personales para disfrutar de estas interesantes funcionalidades también es importante que tengamos un control sobre ello.

Al instalar y ejecutar por primera vez una app se muestra una solicitud en la que se detallan los permisos requeridos (y las razones por las que son necesarios) para su funcionamiento. En algunos casos estos permisos son fundamentales para que las aplicaciones funcionen correctamente, sin embargo en algunas ocasiones pueden incurrir en una filtración de datos. Según un estudio realizado por la empresa de ciberseguridad Wandera, al menos el 62% de las aplicaciones solicitan acceso a la galería de fotos, el 55% a la cámara y el 51% a la localización. Si tenemos en cuenta la proliferación de redes sociales como Instagram o Tik Tok durante los últimos años no es sorprendente que haya varias aplicaciones que soliciten acceso a la cámara de nuestros dispositivos. El problema de esto reside en que en muchas ocasiones ofrecemos a estas aplicaciones permisos que se necesitan muy puntualmente de manera indefinida (en algunas apps el acceso a la galería solo es necesario para escoger tu foto de perfil), dejando una puerta abierta hacia nuestra vida personal y corporativa.

Figura 1: Permisos de acceso a micrófono

En su estudio Wandera también ha aclarado cuales de estos permisos son los más utilizados y peligrosos. Entre ellos se encuentran el acceso indefinido a la localización, el acceso al micrófono y el acceso a la galería y contactos. En el estudio también se ha podido comprobar que las aplicaciones que más permisos solicitan son las aplicaciones gratuitas y las de redes sociales o relacionadas con la salud. En muchas ocasiones el abuso de estos permisos ha tenido una repercusión mediática, en 2016 la aplicación de Uber implementó una actualización que permitía a la app realizar un seguimiento de sus usuarios durante 5 minutos tras haber finalizado un viaje (incluso habiendo cerrado la aplicación). Esta información podía utilizarse para saber qué lugares frecuentaban sus usuarios tras el viaje y saber a qué horas podrían tener un mayor volumen de clientes. Es importarte recordar que en los dispositivos iOS es posible gestionar todos los permisos de nuestras apps desde una utilidad del sistema, con ella podremos comprobar que permisos solicita cada aplicación y gestionarlos de tal manera que no pongan en riesgo nuestra información personal.

Cómo saber cuándo se conecta un usuario a Instagram

Si alguna vez has estado curioseando en el perfil de alguien en Instagram y te gustaría saber cuándo esa persona está en línea o no, has de saber que existe un tweak diseñado precisamente para eso. Los usuarios de Jailbreak podrán encontrar e instalar InstaOnlineMonitor desde su aplicación Cydia. Una vez que el tweak es instalado y configurado recibirás una notificación cuando algún usuario en particular (que hayas seleccionado previamente) se conecte o se desconecte. Con este tweak podrás monitorear el estado (online/offline) de cualquier usuario con el que tengas conversaciones.

Tras su instalación podrás añadir a todos los usuarios que te interese monitorear en una lista, en ese mismo instante el tweak comenzará a seguir su actividad y te hará saber cualquier cambio de estado. La mejor característica de InstaOnlineMonitor, que también es la más efectiva, es que no necesitas tener la aplicación abierta para que funcione correctamente. La herramienta trabaja en segundo plano y te notificará cualquier cambio a pesar de que en ese momento no estés utilizando Instagram. InstaOnlineMonitor no establece ningún límite de usuarios a los que monitorear, por lo tanto podrás añadir a la lista de seguimiento tantos como quieras.

Figura 1: Aplicación de InstaOnlineMonitor

Desde la configuración del tweak podrás personalizar las notificaciones según tus preferencias. Esta herramienta no se limita a informarte del estado de conexión de los usuarios a los que sigues, sino que también te mostrará su historial de conexiones y desconexiones. Para que el tweak pueda funcionar es importante que tú mimo tengas activado tu estatus de actividad y debes de haber abierto una conversación de al menos un mensaje con la persona a la que quieras monitorear. El coste de este tweak es de 2.49 dólares y es compatible con todos los dispositivos que corran versiones comprendidas entre iOS 9 e iOS 11.

Fue noticia en Seguridad Apple: del 11 al 23 de septiembre

Comienza el otoño y desde Seguridad Apple nos disponemos a traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 11 hablandoos del comienzo de una nueva serie de Talks llamada Code Talks for Devs. En ellas se hablarán de muchos temas interesantes como la programación, las intergaciones técnicas o APIS. Podreis seguir la serie en nuestro canal de YouTube y consultar vuestras dudas en la Comunity.

El martes día 12 os contamos como la filtración y el ataque a Equifax podría afectar a algunos de los posibles compradores del iPhone 8 a la hora de realizar la compra a través de un crédito, una práctica muy común en EEUU.

El miércoles 13 os hablamos de la quinta edición del security Innovation Day, la cual se celebrará el próximo 5 de octubre. El lema de este año es Security Rocks y contaremos con la presencia de Mikko Hypponen, CRO de F-Secure.

El jueves 14 os presentamos XNSPY, un nuevo Spyware para iOS que funciona tanto en dispositivos con jailbreak como en dispositivos sin el. Gracias a este Spyware podrás monitorear cuentas de Whatsapp, Instagram, Facebook y de muchas otras redes sociales además de poder activar el microfono de tu victima.

El viernes 15 os hablamos del impacto que podría causar el lanzamiento del nuevo Apple Homepod, en su segunda versión podría ofrecer unas prestaciones superiores a las de su competencia en el mercado.

El sábado 16 os informamos de que se esta llevando a cabo una nueva oleada de estafas con os usuarios de Apple como objetivo y os daremos una serie de útiles consejos para evitar caer en la trampa.

El domingo finalizamos la semana hablándoos de las ofertas de trabajo de Apple que se encuentran ocultas en la red y os contamos como un joven estadounidense logró encontrar una de estas ofertas.

El lunes 18 os avisamos de la posible llegada de un nuevo jailbreak para iOS 10.3.2 de la mano del equipo XigTeam además de recordaros el riesgo de hacer jailbreak antes de comprobar que esa versión es estable.

El martes 19 os informamos de que Apple publicará un informe detallado sobre el funcionamiento del nuevo Face ID antes de que el nuevo iPhone X salga a la venta.

El miércoles 20 os avisamos de la llegada de iOS 11 y hacemos un pequeño repaso sobre cuales han sido las actualizaciones de seguridad.

El jueves 21 os hablamos de como Apple ha publicado actualizaciones y boletines para 6 de sus productos y de la problemática real que suponían algunos de los fallos de seguridad ya arreglados.

El viernes 22 os contamos que Apple está eliminando algunas aplicaciones de la App Store por ofrecer algunos servicios que luego no realizan, como es el caso de algunas aplicaciones de análisis de antivirus.

Finalmente, el sábado hablamos del Face ID y su incidente en la presentación en el evento de Apple. Se ha hablado mucho sobre las teorías del fallo, pero tendremos que esperar a tenerlo en las manos para poder ver qué es lo que realmente ocurrió.

XNSPY: Un Spyware para iOS nuevo en la ciudad

Cuando hablamos de iPhone o iPad, muchos lo asocian a “Seguridad” y a un mundo sin malware. Para muchos desde hace unos años los terminales de Apple encabezan el mercado en lo que a seguridad se refiere. Actualmente es muy difícil espiar un iPhone si este no está jailbreakeado, pero los tiempos cambian y los hacks con ellos. En el día de hoy os haremos una pequeña muestra de iPhone Spyware App XNSPY, un spyware con el que pueden espiar dispositivos iOS y Android independientemente de si estos han sido rooteados previamente o no.
 

Según las pruebas realizadas, esta herramienta es capaz de espiar dispositivos con jailbreak desde la versión 6 hasta la 9.0.2 de iOS, y sin jailbreak desde la 6 hasta la 10.3.3. Adquirir e instalar la aplicación es un proceso sencillo, dispondremos de dos opciones, la herramienta para dispositivos con jailbreak y la herramienta para dispositivos “de serie”. Una vez seleccionada la que más se adapte a nuestras necesidades, solo tendremos que seguir los pasos marcados en el tutorial que podemos encontrar en su página web.

Figura 1: Iniciando XNSPY

La principal prestación de esta aplicación es el sigilo, una vez un atacante tiene XNSPY instalado no hay signo visible de su existencia. El spyware se instala sin dejar rastro, es decir en modo oculto, no aparece en la página de aplicaciones del dispositivo. Cuando hablamos de dispositivos sin jailbreak, el hecho de monitorear la posición de alguien es especialmente difícil. Esta aplicación ofrece un sistema capaz de monitorear a las personas con iPhone o iPad, de hecho te ofrece la posibilidad de ver el trayecto realizado por la víctima. XNSPY también permite crear zonas restringidas en las que al entrar el teléfono de la víctima nos llegará un aviso, una funcionalidad cuanto menos curiosa. Aunque otros spyware ofrecen esta opción lo que hace que XNSPY sea diferente es la posibilidad de guardar una o varias listas de observación que contengan nombres clave o ubicaciones relevantes.

Figura 2: Menú principal de XNSPY.

Otra característica importante que utilizan los delincuentes a la hora de espiar a alguien es poder acceder a sus perfiles en las redes sociales, con esta aplicación podrás monitorear los mensajes de aplicaciones como Facebook, Tinder, Whatsapp, Instagram y muchas más. Por si no fuese suficiente también te dará acceso a los mensajes de texto y los chats de iMessagge. Como cualquier otra aplicación espía, XNSPY también ofrece la posibilidad de grabar llamadas, con esta función se puede escuchar las conversaciones del objetivo además de localizar el origen de la llamada e identificar con que persona de su lista de contactos habla. Siempre y cuando el dispositivo en el que se instala  XNSPY no esté realizando una llamada se puede activar su micrófono y enterarnos de todo lo que sucede a su alrededor.

Hay que estar precabido y conocer este tipo de herramientas para poder detectarlas. Conocerlas es el principio para protegerse, por lo que hay que entender que el malware en iOS existe y como se puede ver en este artículo está al alacance de cualquiera.

Como crear borradores en Instagram para publicarlos posteriormente con un solo toque

Instagram es una red social que se basa en la publicación de fotos y videos que ha adquirido una gran popularidad durante los últimos años. Si eres usuario de Instagram y posteas en tu perfil de manera regular, tenemos un pequeño consejo o truco para ti, el cual puede ser muy útil para ahorrarte tiempo a la hora de subir una publicación. Por el momento esta función solo se encuentra disponible para dispositivos iOS, pero es muy probable que llegue a las versiones de Android en posteriores actualizaciones.

Mucha gente desconoce que Instagram para iOS tiene una función para crear borradores, esta función permite dejar publicaciones preparadas para publicarlas mas tarde solo con un toque. La posibilidad de crear borradores en Instagram puede ser super útil si quieres trabajar en varias publicaciones simultáneamente y dejar unas cuantas listas para publicarlas mas tarde. Desde hace un tiempo publicar a unas determinadas horas puede hacer que recibas mas likes y este pequeño tip te permite tener las fotos ya listas para publicarlas en el mejor momento. A continuación os mostraremos como crear borradores en Instagram y como publicarlos.

Figura 1: Menú de borradores.

Para comenzar deberemos entrar en Instagram y pulsar el botón “+” del menú principal, a continuación seleccionaremos la foto y pulsaremos en “next”, ahora es el momento de editar la publicación y añadir los filtros que deseemos, hecho esto pulsaremos de nuevo en “next” y escribiremos el titulo o la descripción de la imagen o video. Para terminar deberemos pulsar “back”, lo que nos hará volver a la página de edición, volveremos a pulsar en “back”, acto seguido se abrirá un menú ofreciéndonos tres opciones: “guardar borrador”, “descartar” y “cancelar”. Seleccionaremos la primera de ellas. Ahora que ya sabes crear borradores de Instagram podrás escoger el mejor momento para publicarlos, es tan sencillo como pulsar sobre el botón “+” del menú y seleccionar el borrador que queremos postear, al seleccionar un borrador este cargará con todos los cambios que realizásemos durante su proceso de edición, para publicarlo solo tendrás que pulsar en “compartir”.

Descargar fotos y videos de Instagram con F.Y.A Hack Instagram

La aplicación de Instagram no permite a los usuarios guardar o descargar fotos y videos que han sido publicados por otros usuarios en la plataforma. Esto puede ser un problema si quieres descargar algo compartido por otra persona. Actualmente la única forma de conseguir una foto de Instagram de otro usuario es hacer una captura de pantalla desde tu móvil y recortarla en un editor posteriormente, lo que se complica aún más en el caso de los videos, ya que para grabarlos normalmente se necesitan otras herramientas o aplicaciones. Hace unos meses en Seguridad Apple os hablamos de Workflows, una de las ultimas aplicaciones que ha comprado Apple y como automatizar un proceso de descargas de archivos.

Hoy os recordaremos como funciona esta herramienta y os hablaremos de F.Y.A Hack Instagram, un Tweak cuya finalidad es la descarga de imágenes y videos de Instagram. En el caso de Workflows para descargar una imagen o video necesitaremos la URL de este, esa URL se obtiene pulsando sobre el botón con tres puntos situado a la derecha del nombre de la publicación. Hecho esto el contenido de la URL será descargado por la herramienta y guardado en formato HTML donde luego buscara archivos con la extensión JPG o en el caso de los videos MP4 y para terminar cambiará la opción de vista preveía por la opción de descargar, con la que automáticamente guardara la foto o video en nuestra aplicación foto de iOS.

Figura 1: F.Y.A Hack Instagram, boqueo con contraseña.

F.Y.A Hack Instagram es un Tweak que podrá ayudar a todos aquellos usuarios que dispongan de Jailbreak a descargar el contenido que otras personas suben a Instagram. Gracias a esta herramienta puedes descargar fotos y videos en la galería de tu móvil con un solo click. Además todo esto lo hará en segundo plano haciendo que su uso no interfiera en tu experiencia en la plataforma. Otra ventaja de este hack es que podrás añadir una contraseña a tu cuenta de Instagram para que otros usuarios no puedan verla sin tu permiso o activar el modo anónimo para que otros usuarios no puedan ver tu información. Ya podéis haceros con F.Y.A Hack Instagram de forma gratuita en Cydia. Funciona en todos los dispositivos con iOS 9 e iOS 10.

HackerOne rechaza a FlexiSpy de su programa de Bug Bounty

Los programas de Bug Bounty permiten a los investigadores obtener un reconocimiento o, incluso, un beneficio por sus méritos a la hora de descubrir vulnerabilidades en ciertas plataformas o tecnologías. Es una forma de tener una auditoría continua y proactiva por parte de algunas compañía, lo cual mejorará, sin duda, la seguridad de los entornos. La gente de FlexiSpy planeó atraer a los investigadores de seguridad con el fin de revelar vulnerabilidades en su software. 

El mes pasado, la firma FlexiSpy reveló sus planes vía Twitter para llevar su programa de Bug Bounty a HackerOne. El programa de recompensas ofrecía entre 100 y 5000 dólares para divulgar de forma privada errores. FlexiSpy indicó que el movimiento se encontraba en la etapa de aprobación. FlexSpy ofrece software para espiar para cualquier persona, por lo que, para muchos, no será una empresa muy ética. La idea de este software es permitir el rastreo de personas como niños, cónyuges o socios. Una vez pagado e instalado, el software espía permite a los usuarios escuchar de forma remota las llamadas en vivo, mirar los mensajes de texto, enviar SMS falsos, interceptar y ver contenido multimedia, leer correos electrónicos y/o comprometer otras aplicaciones como WhatsApp, Facebook, Skype o Instagram.

Figura 1: Dashboard de FlexiSpy

El CEO y el CTO de HackerOne aclararon la posición de la plataforma de Bug Bounty. Comentaron que FlexiSpy no es cliente, ya que los principios de la empresa chocan con la filosofía del programa de Bug Bounty. Además, el mes pasado un grupo de hackers llamados Deceptions comprometieron, supuestamente, FlexiSpy y filtraron el código fuente del software de la empresa. Esto provocó, junto a al propósito de consumo de FlexiSpy, las dudas de la gente de HackerOne. 

La plataforma de Bug Bounty argumenta que en el supuesto caso de que FlexiSpy sea aceptada por HackerOne, la compañía deberá publicar una política de divulgación de vulnerabilidades y comprometerse a proteger a los hackers contra acciones legales, ninguna de las cuales está actualemten en uso. Interesante debate, sin duda, el cual no será el último asalto. Seguro que pronto, tenemos más noticias.

Syncios: Herramienta para recuperar datos desde iPhone, iTunes e iCloud

Syncios es una herramienta que permite recuperar datos del iPhone y copias de seguridad de iTunes e iCloud. Perder información de toda una vida puede ser algo irremplazable, por ello este tipo de herramientas pueden ayudarnos a recuperar aquellos momentos únicos. Syncios está disponible para sistemas operativos Windows y Mac. La herramienta cuenta con 3 modos de recuperación útiles que hacen posible que los usuarios recuperen sus datos perdidos. Esto incluye los métodos de recuperar desde el dispositivo o a través de una copia de seguridad de iCloud o iTunes. ¿Qué se puede recuperar con Syncios?

El listado de cosas a recuperar es largo y va desde fotografías, vídeos, mensajes, contactos, notas, favoritos del navegador, historial de llamadas, recordatorios, calendario, etcétera. También podremos recuperar información de aplicaciones de terceros, como puede ser WhatsApp o Instagram. Una de las características fuertes de la herramienta es que proporciona una vista previa de los datos antes de realizar una recuperación completa. De esta forma se puede encontrar rápidamente si lo que se busca está en el origen de datos o no. 

Figura 1: Vista previa en Syncios

Con el modo de recuperacion del dispositivo iOS se puede escanear directamente un dispsotivo iOS y visualizar mediante vista previa los datos permidos almacenados para recuperarlos. De forma similar ocurre con iTunes e iCloud. La mayoría de los dispositivos iOS son compatibles con la herramienta de recuperación de datos, incluso el nuevo iPhone 7. Toos los modelos de iPad, así como el iPod Touch de 4ª generación o posterior son compatibles. En cuanto a las versiones de iOS, incluso se soporta iOS 10. La herramienta tiene un coste no muy elevado para el resultado que proporciona.

InstaAgent volvió a la AppStore con otro nombre

El pasado mes de Noviembre hablamos en Seguridad Apple de la aplicación IstaAgent, el cual era un cliente bastante popular de Instagram que estaba robando credenciales de los usuarios. La aplicación enviaba dicha información a un servidor externo. Apple eliminó la aplicación de la AppStore y la amenaza parecía erradicada. Ahora parece que el desarrollador que estaba detrás de dicha aplicación ha conseguido dos nuevas aplicaciones aprobadas por Apple y Google, ambas aplicaciones están robando credenciales de Instagram.

El investigador que descubrió la función maliciosa en la primera aplicación, es decir, en InstaAgent, publicó la semana pasada una entrada en la que las nuevas aplicaciones podían robar credenciales de la misma forma. Este investigador escribió un artículo dónde se detalla cómo capturar las credenciales que se envían al servidor remoto. La aplicación InstaAgent atajo a los usuarios de Instagram con la promesa de realizar un seguimiento de las personas que visitaban su perfil. Las dos nuevas aplicaciones hacen promesas similares.

Figura 1: InstaCare app que roba credenciales de Instagram

Ambas aplicaciones dicen que pueden mostrar un listado de usuarios que interactuan a menudo con una cuenta o perfil de Instagram, pidiendo permiso a los usuarios para iniciar sesión. En ese instante es dónde las credenciales son robadas y enviadas al servidor externo. El envío de los usuarios y contraseñas no se realizaba por HTTP, y sí por HTTPs, de esta forma se intentaba ocultar la evidencia. Varias revisiones en la AppStore afirman que después de utilizar aplicaciones maliciosas de este tipo, sus cuentas se vieron comprometidas con fotos a modo de spam. Tanto Apple como Google llevarán a cabo la eliminación de ambas apps.

Infer: Detecta bugs en tus apps de iOS antes de subirlas

Hoy traemos una herramienta interesante, la cual permite detectar bugs antes de que la app se publique. La herramienta se llama Infer y puede ser descargada a través de Github. La herramienta pertenece a Facebook, desarrollada en su laboratorio de código abierto. Es una herramienta de análisis estático de código que permite actuar sobre Objective-C, Java o C. Tras el paso del código por la herramienta se pueden detectar diferentes vulnerabilidades, lo cual es algo de ayuda, ya que si la vulnerabilidad se detecta en este instante, se podrá arreglar antes de subirla al store.

En cualquier caso, Infer puede interceptar o identificar bugs críticos, por lo que merece la pena tener la costumbre de desarrollar el código y utilizar este tipo de herramientas de análisis estático para fortificar nuestro proceso de desarrollo. En el sitio web de la herramienta se indica que para iOS, además, se devuelve un informe de posibles memory leaks.

Figura 1: Código Objective-C y detección de bug

Los developers de Facebook utilizan internamente esta herramienta como parte del proceso de desarrollo. En el sitio web de la herramienta se nombran aplicaciones como Facebook Messenger, Instagram o la propia app de Facebook. Al final toda herramienta que sume en temas de seguridad es bienvenida. Además, esto es un indicio de que el ciclo de vida de desarrollo que utiliza Facebook es de los que se denominan S-SDLC.

Apple quita el popular cliente InstaAgent de la AppStore por robo de credenciales

Apple retira InstaAgent

Uno de los clientes más populares de Instagram llamada InstaAgent ha sido retirada por Apple el pasado martes de la AppStore. El motivo es que un desarrollador alemán encontró que los nombres de usuario y contraseñas se estaban recopilando por la aplicación y enviados a un servidor externo. Además, la aplicación era capaz de publicar en nuestro nombre. Exactamente, ¿Qué es InstaAgent? Para algunos desconocida, pero para otros muy utilizada, la aplicación se conecta a tu perfil de Instagram para mostrarte los perfiles que han visitado tu perfil.

Al iniciar sesión con InstaAgent la aplicación mostraba los contactos o perfiles de Instagram que consultaban tu perfil. Muchos han puesto en duda si esa información que se mostraba era verídica, ya que no queda muy claro en base a qué se decidía si un perfil había visitado tu perfil o no. La aplicación ya no hacia más, salvo recopilar la información de tu usuario y contraseña, y tal y como se puede ver en la imagen, enviarlas a un servidor en texto plano.

Figura 1: Usuario y contraseña enviado por InstaAgent

El servidor dónde se reciben los datos se denomina instagram.zunamedia.com. El investigador ha comentado que el servidor no está, como era de prever, conectado a la red oficial de Instagram. La app ya no se encuentra en la AppStore, aunque ha sido una aplicación capaz de recopilar gran cantidad de usuarios debido a su éxito. Se estima que más de 500.000 usuarios han podido ser extraídos con esta aplicación. En su versión de Android se ha estimado el mismo volumen de usuario, lo cual es preocupante también, y Google ha retirado también la app. Aunque InstaAgent ha sido quitada, siguen existiendo muchas otras herramientas que tienen un título similar o que indican que permiten consultar quién accedió a nuestro perfil. Instagram recomienda no descargar, interactuar, ni utilizar herramientas de terceros, que ya vimos en el pasado lo que sucedió con SnapChat.

Creepy para OS X: Buscar información GPS en Twitter

Ya se ha hablado mucho de Creepy en el mundo de la seguridad, especialmente gracias a su capacidad de poder sacar información GPS de las personas que están detrás de esas cuentas. En sus primeras versiones sacaban información de las direcciones IP, los metadatos de las fotografías publicados en servicios de terceros y los mensajes de FourSquare publicados en Twitter, pero en la última versión esto ha cambiado, y viene junto con un conjunto de plugins para extender su funcionalidad. La herramienta se puede descargar desde la web del proyecto Cree.py.

Figura 1: Cree.py para OS X

Una vez descargada, es necesario configurar los plugins para poder consultar las plataformas de Twitter, Instagram y Flickr que son los que vienen por defecto con la herramienta. Para configurar las ubicaciones GPS de los mensajes de una cuenta de Twitter o de Instagram, es necesario contar con una cuenta de Twitter o Instagram. 

Figura 2: Configuración de plugins en Cree.py

Después, hay que seguir el asistente de configuración para que esa cuenta de Twitter o Instagram autorice a Creepy a hacer las consultas adecuadas para extraer el time-line de un objetivo. En el caso de Twitter o Instagram, Creepy va a buscar la información GPS asociado al mensaje, algo que la app del smartphone va a añadir si se ha activado la localización en el terminal móvil.

Figura 3: Aprobación de cuenta en Twitter de acceso de Creepy a permisos

Una vez configurado el plugin, se puede crear ya un proyecto concreto de análisis, que puede tener una o varias cuentas - hay que tener presente que algunas personas utilizan varias cuentas en paralelo - por lo que puede ser útil.

Figura 4: Configuración de un proyecto de búsqueda de información GPS

Después, se seleccionan los objetivos, con este panel de configuración, haciendo primero una búsqueda, obteniendo los resultados y seleccionando las cuentas objetivo.

Figura 5: Configuración de cuentas objetivo

Una vez terminado, el resto es esperar a que la herramienta recoja toda la información y nos muestre en el mapa las ubicaciones que ha sido capaz de recuperar del time-line de las cuentas objetivo.

Figura 6: Opciones de plugin de Twitter para quitar o poner retweets o respuestas

Creepy es una herramienta comúnmente utilizada en proyectos de Doxing, es decir, de desenmascaramiento de perfiles anónimos en las redes sociales, y sobre todo debes tener cuidado de no activar la localización si no quieres dar pistas a todo Internet de dónde estás en cada momento o cuáles son tus hábitos.

Hijacking a Instagram for iOS en redes WiFi públicas

Instagram for iOS tiene un fallo en la configuración de la aplicación el cual podría permitir a un atacante realizar un hijacking de sesión de un usuario si el atacante y éste se encuentran en la misma red WiFi pública. Stevie Graham, presentó la vulnerabilidad directamente a Facebook, al cual fue contestado con un "Se conoce desde hace años". Graham decidió escribir una herramienta para comprometer las cuentas de Instagram para demostrar el fallo y darle la importancia que tiene.

Ha llamado a la herramienta Instasheep, en honor al famoso Firesheep, el plugin de Firefox que permitía obtener sesiones de usuario siempre y cuando estuviéramos en medio de una comunicación, por ejemplo mediante un ataque ARP Spoofing. Graham explica que por ejemplo, podría ir a la tienda de Apple y obtener miles de cuentas en un día para luego utilizarlas para enviar spam. Graham comenta lo siguiente respecto al ataque:

"Creo que este ataque es muy grave, ya que permite un robo de sesión completo y es automatizable fácilmente".

Figura 1: Esquema de Hijacking

Lo que realmente ha encontrado Graham es un problema de configuración que es conocido hace mucho tiempo, y que ha llevado a que muchas compañías de Internet cifren el tráfico completamente para evitar el problema. La API de Instagram realiza solicitudes no cifradas a algunas partes de su red. Este hecho representa una oportunidad para que un potencial atacante que esté ubicado en la misma red WiFi pública, la cual no utiliza ningún tipo de cifrado, pueda capturarlas sin ningún problema. 

¿Sin ningún problema? Hay que recordar que una red WiFi pública o sin cifrado, se comporta como un hub, ya que el medio de difusión de los paquetes es el aire, y cualquiera puede escuchar dicho tráfico, incluso sin estar conectado a la red pública. El atacante puede configurar su tarjeta inalámbrica en modo monitor y capturar el tráfico. Entonces, si la red WiFi no está cifrada y tampoco lo están las peticiones de Instagram, se puede obtener la cookie de sesión de cualquiera que esté utilizando dicha red.

Figura 2: El ataque ha sido automatizado con la herramienta instasheep

El co-fundador de Instagram respondió que la plataforma está en constante implementación del cifrado completo en todas sus comunicaciones, pero que el proceso no es tan ligero como puede parecer en un principio. Esperan pronto haber solventado el problema de configuración que está desembocando en un fallo de seguridad, y más hoy en día con los smartphones. En el blog de Hackplayers podemos ver los pasos para reproducir el ataque que ha expuesto Graham:

1. Conectar con un punto de acceso abierto o WEP. 
2. Interfaz en modo promiscuo filtrando por el dominio i.instagram.com. Graham pone como ejemplo la instrucción  tcpdump - In -i en0 -s 2048 -A dst i.instagram.com. 
3. Esperar a que alguien con iOS utilice Instagram.
4. Extracción de la cookie de la cabecera de una petición capturada. 
5. Suplantación de la cookie para cualquier llamada a la API.

Se puede ver que el ataque es sencillo, ya que no es nada nuevo y es de fácil reproducción. También hay que tener en cuenta que el impacto está limitado a una red inalámbrica, por lo que se recomienda no conectar el dispositivo a redes que no sean de confianza. La herramienta se puede descargar desde su repositorio de Github.

Apple se protege contra el ataque Rosetta a Flash Player

El investigador Michelle Spagnolo ha revolucionado estos días Internet con su Rosetta Tool para convertir cualquier fichero SWF en caracteres alfanuméricos que puedan ser utilizados para abusar de JSONP Endpoints vulnerables. Con esta herramienta, un atacante que pueda explotar un CSRF podría hacer una llamada a la API JSONP en el servidor del dominio vulnerable e introducir un objeto Flash, con la posibilidad de hacer GET y POST para enviar los datos al dominio que desee, saltándose cualquier protección de Same Origin Policy. 

Este bug ha afectado a Google, Twitter, Facebook, Tumblr, etcétera, y ha tenido a todo el mundo de la seguridad. Algunos sitios como Ebay o Instagram parece que aún son vulnerables y podrían ser explotados por un atacante. Las diapositivas del ataque están disponibles en el siguiente enlace: Rosetta Flash Slides.

Figura 1: Bugs actualizados por Adobe en el Flash Player

Adobe ha actualizado rápidamente su player Flash para los navegadores, con el objeto de evitar que desde un callback le inyecten Flash maliciosos. Están descritos las actualizaciones en el boletín de seguridad de Adobe Flash Player.

Figura 2: Actualización en /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtectMeta.plist 

Apple, por su parte, ha actualizado XProtect y ha decidido bloquear cualquier plugin anterior a la versión 14.0.0.145 para evitar que los clientes sean atacados con esta herramienta que podría afectarle aún en múltiples sitios, por lo que si no tienes actualizado Flash Player, te saldrá una alerta que no te dejará ejecutar objetos Flash. Actualiza tu Adobe Flash Player en OS X lo antes posible.