Una interesante herramienta que utiliza la lógica de los videojuegos para proteger tu Mac

 

Entre los nuevos tipos de malware, los grandes bugs y las ya habituales estafas phishing, los Macs ya no son los ordenadores invulnerables que eran hace unos años. La pasada semana tuvo lugar la conferencia RSA de San Francisco, conferencia que aprovecho Patrick Wardle, jefe de investigación de Digita para presentar GamePlan, una herramienta capaz de detectar comportamientos sospechosos y alertarnos para investigarlos. Aunque el concepto general suena similar al de otras herramientas de defensa, Gameplan se encuentra escrito en el entorno GameplayKit de Apple, recogiendo un gran volumen de datos en una secuencia centralizada y procesándolo a través del motor de lógica de un videojuego.

”GameplayKit se preocupa de evaluar eventos y actuar en consecuencia, esto es similar al Pacman, por defecto los fantasmas persiguen a Pacman, eso es una regla. Si Pacman come una bolita de poder, los fantasmas huyen. Esa es otra regla. Así que nos dimos cuenta de que Apple ha hecho todo el trabajo duro por nosotros. Su motor de lógica para juegos también se puede utilizar para procesar eventos en un sistema y advertir al usuario." Ha dicho Patrick Wardle.

Mediante el establecimiento de una serie de reglas GamePlan es capaz de funcionar de la misma forma que lo haría un servicio de antivirus. Las reglas impuestas también pueden ser flexibles y relacionarse con la información fundamental del sistema, de modo que es posible detectar malwares desconocidos simplemente escribiendo algunas reglas basadas en acciones que pueden indicar una posible infección. GamePlan también es capaz de detectar amenazas internas basándose en el tipo de acciones que llevaría a cabo una persona si estuviera comprometiendo su equipo o exfiltrando datos a través él.

Figura 1: Patrick Wardle

Del mismo modo que se añaden reglas para generar avisos de comportamientos extraños, se pueden añadir otras o modificar las existentes para eliminar algunos avisos innecesarios simplemente siendo más específicos. Wardle también ha dicho que no resulta complicado para los usuarios de GamePlan escribir sus propias reglas o combinarlas entre sí formando paquetes y modificándolos para que se ajusten a sus necesidades. Aunque esta herramienta solo sea de detección y no tome ninguna medida al respecto (más allá de notificarte si detecta algo sospechoso) puede darnos algún que otro falso positivo, lo que no supone un problema ya que nuestro equipo no estará comprometido. Con esta herramienta Digita ha demostrado que se puede dejar a Apple hacer gran parte de su trabajo a la hora de desarrollar nuevas herramientas de seguridad.

Cómo hackear Pokemon Go en un iPhone con Jailbreak #Apple #PokemonGO #jailbreak

Pokemon Go es el tema del momento, y seguramente lo siga siendo todo el verano. Este juego que hace que millones de personas en el mundo se pasen la tarde andando por las calles en busca de los Pokemon ha proporcionado ideas que se han convertido en tweaks que se pueden encontrar en Cydia. Estos tweaks son implementaciones de distintos hacks, y vamos a hablar de alguno de ellos que nos han resultado interesantes.

Quizá uno de los más interesantes es el denominado PokePatch. Este tweak nos permitirá ejecutar la aplicación sin problema en dispositivos con jailbreak, ya que Nintendo ha intentado evitar las trampas que se pueden llevar a cabo cuando disponemos de un dispositivo jailbreakeado. Lo que hace este tweak es eludir la detección de jailbreak que tiene el juego. En su defecto también disponemos de otro tweak con la misma función denominado masterball. 

El segundo de los tweaks es PokemonGoAnywhere. Con este tweak nos podremos mover por todo el mapa del juego sin necesidad de levantarnos de nuestro sofá, solo tendremos que ir pulsando por el mapa para que nuestro personaje se desplace al punto que queramos, gracias a esta herramienta podremos visitar “pokeparadas” y capturar a los ansiados Pokemon de otras zonas del mapa sin tener que movernos.

Figura 1: Pokemon Go Anywhere

Otro tweak similar al anteriormente mencionado es Poke++. Con Poke++ podremos falsear la ubicación de nuestro GPS para atrapas a los Pokemon que solo spawnean en algunas zonas muy concretas y cambiar los pasos para acelerar la apertura de nuestros “pokehuevos”. Además incorpora un chat para que puedas comunicarte con entrenadores cercanos.

Por ultimo hablaremos de Pokemon Lock. con este tweak podremos ejecutar la aplicación desde nuestra pantalla de bloqueo (para poder usar este tweak tendremos que desactivar la protección con contraseña), el principal problema que nos encontramos al usar este tweak es el alto consumo de batería que se produce, pero si estás dispuesto a sacrificar tu batería por capturar unos cuantos pokemons esta es tu herramienta.

Todos estos tweaks podéis obtenerlos por medio de cydia en las repos de Hackyouriphone y ziph0n. Por el momento no se han dado casos de baneo, pero la descarga y uso de estos tweaks corre bajo vuestra propia responsabilidad. Ahora que ya conoces estas herramientas para mejorar tu experiencia en el juego ¿Te harás con todos?

Programas Retro de Apple liberados: The 4am Collection

Se ha publicado una colección de 300 programas de Apple, la mayoría son juegos o programas de entretenimiento, que fueron lanzados al mercado hace unas décadas y que tenían protección anti-copia. La colección se ha denominado Apple II Library: The 4am Collection y trae software de la década de los 80 y 90. En esta colección se proporciona, además del juego o programa de la época, la información sobre la protección de software utilizada.

Esta colección es para los nostalgicos y personas que vivieron la época de Apple en la década de los 80 y 90. Como indica en su blog Jason Scott, el cracking estuvo muy de moda en esta época, y había grupo de personas dedicadas a esto que competían por crackear las aplicaciones de la época. Esta práctica se convirtió en una especie de arte, además de competición. Es cierto que cuando uno de estos grupos conseguían crackear un juego o programa, introducían una intro para que se identificase con ellos.

Figura 1: Listado de juegos disponibles

En definitiva, para todos los nostalgicos de Apple o Commodore Amiga, ahora pueden disfrutar de estos juegos sin ningún tipo de protección y saber más sobre las protecciones que se utilizaban en la época.

El "extraño" caso de campeón de ajedrez que consultaba su iPod Touch en el cuarto de baño

Hacer trampas en el deporte no es algo que solo se haga consumiendo sustancias prohibidas de esas que maximizan el rendimiento de los órganos a puntos más allá de su efectividad habitual. Los jugadores de ajedrez, que utilizan la mente, pueden hacer trampas de otra forma, como recibiendo ayuda de movimientos concretos por otras personas o directamente desde un computador. Y este es el caso del que ha sido acusado el campeón de Georgia de nombre Gaioz Nigalidze que ha sido acusado de hacer trampas usando un juego de ajedrez que utilizaba para analizar las jugadas con un juego de ajedrez que tenía instalado en su iPod Touch y que por lo visto consultaba tras cada movimiento en el cuarto de baño.

Los acontecimientos han tenido lugar en el Open de Ajedrez de Dubai, donde los organizadores han descubierto un iPod Touch envuelto en papel en uno de los espacios del cuarto de baño que Nigalidze visitaba en cada movimiento. Algo que el jugador ha negado que fuera suyo a pesar de que el iPod Touch tuviera un juego de ajedrez abierto con los datos de su partida y el iPod Touch tuviera una de las cuentas de Nigalidze abierta y conectada a una de las redes sociales del jugador.

Figura 1: El iPod Touch y las jugadas de la partida de Nigalidze

La investigación, como cuentan en Apple Insider, comenzó por una queja de su oponente Armenio de nombre Tigran Petrosian, que se quejó al árbitro porque el jugador de Georgia iba siempre al mismo espacio del baño a pesar de que el resto estaba desocupado.  El uso de ayuda electrónica, desde que los ordenadores y los smartphones son tan pequeños y potentes es un verdadero problema para los torneos de ajedrez, donde los jueces tienen que estar cada vez más atentos a este tipo de trampas realizadas. Nosotros nos quedamos con lo que es el mundo de las casualidades. El iPod Touch estaba en el baño que usaba Nigalidze, con los datos de la partida que llevaba en curso y con una de sus cuentas conectada a una red social, pero él niega que fuera suyo. Ya veis.

Nuevas Técnicas de Clickjacking & TapJacking y su explotación en dispositivos móviles

Los investigadores de la Universidad de Berkeley Devdatta Akhawe, Warren He, Zhiwei Li, Reza Moazzezi y Dawn Song han publicado un interesante paper sobre distintos ataques en el que el foco principal es el Clickjacking, y como éste afecta de manera importante a las nuevas tecnologías, llegando a los dispositivos móviles como víctimas interesantes hoy en día. Además del Clickjacking, existe el Tapjacking el cuales un concepto bastante similar y que permite saltarse, por ejemplo, permisos en Android. La técnica de Tapjacking consiste en situar una aplicación transparente delante de la que el usuario cree que está visualizando.

De este modo cuando se pulsa en algún botón de la aplicación que se encuentra detrás, en realidad se pulsa sobre la app que no se visualiza. Los ataques que proponen en el paper son los siguientes:

Figura 1: Artículo presentado sobre nuevas técnicas de clickjacking

Destabilizing Pointer

La idea clave de este ataque es desestabilizar la percepción del usuario en el uso del puntero, mostrando una imagen de un movimiento del puntero de ratón en una dirección diferente del cursor real. El ataque no es un ataque de punteros falsos. El ataque que se propone crea un puntero que se mueve en una dirección diferente para una duración transitoria. Este hecho hace que el usuario se confunda. 

Peripheral Vision

El segundo ataque consiste en fijar la atención del usuario en un área de la pantalla, mientras interactúa con otra. Este ataque es una demostración sencilla de la posibilidad de que un atacante sufra Clickjacking. 

Motor Adaptation

Este tipo de ataque permite aprovecharse de las limitaciones del sistema motor. Este tipo de ataque se refiere a la optimización de los sensores y motores para estímulos y acciones repetidas. La adaptación del motor permite al usuario realizar una secuencia de acciones repetitivas en el momento justo, lo cual nos hace vulnerables a ataques de Clickjacking.

Fast Motion

La percepción humana incluye inherentemente un modelo de inercia. En este ataque la idea clave es que se indica al usuario que realice clic en un objeto en movimiento. Debido a la ilusión de flash lag, el jugador o usuario rebasa el objeto en movimiento, y en su lugar, hace clic en un botón.

Figura 2: Ejemplo de Fast Motion

Controlling the Timing

Otro posible ataque es crear una señal visual para controlar el calendario de un usuario con un clic. Este ataque combinado con una apropiada posición del ratón, permite a un atacante engañar a un usuario para que haga clic en el objetivo.

Resultados obtenidos con estos ataques

En el artículo se hace hincapié en los resultados obtenidos en las pruebas con los diferentes ataques. Las pruebas se hicieron con usuarios, para conseguir que se hiciera clic en un botón. 130 usuarios fueron reclutados para cada ataque. Se pagó entre 0.20 y 0.30 dólares por jugar a "Juega a nuestro juego HTML5 durante 2 min". Los participantes solo podían utilizar Google Chrome y Mozilla Firefox. 

Figura 3: Tabla de resultados obtenidos

Algunos ataques dieron resultados muy positivos e interesantes, por lo que se deben tener en cuenta estas técnicas, ya que hoy en día pueden ser utilizadas en dispositivos móviles.

Electronic Art Games Web Site hace phishing de Apple IDs

Ayer la noticia en el mundo de la seguridad y Apple tuvo que ver con un sitio web estaba haciendo phishing de la página oficial de Apple ID para robar las cuentas de los usuarios de Apple. Esto no es algo nuevo porque ya lo hemos visto muchas veces a lo largo de este año e incluso tenemos estadísticas de cómo ha ido evolucionando el número de sitios web localizados en Internet que hacían este tipo de ataques. Lo que realmente llamó la atención es que el sitio web que se usó pertenecía a la popular empresa de juegos Electronic Arts Games y fueron los propios clientes de esa empresa los que alertaron del problema.

Figura 1: Sitio de EA haciendo phishing a Apple ID

A día de hoy Electronic Arts dice haber tomado medidas para que esto no vuelva a pasar, pero por si acaso, te recomendamos que extremes la precauciones de donde introduces tu Apple ID. Además, si es posible, lo mejor es que añadas el sistema de Verificación en 2 Pasos a tu cuenta de Apple ID para evitar situaciones peligrosas a futuro.

Spying Birds: Defacement en el sitio web de Angry Birds

Desde Angry Birds se ha negado en todo momento que ellos colaborasen entregando algún tipo de datos de sus usuarios a agencias de espionaje como la NSA, el GCHQ o cualquier otra de cualquier país, aunque se reconoce que el espionaje de los terminales móviles de sus usuarios se podría haber realizado a través de sus juegos y apps - como a través de cualquier otro juego o app - usando las redes de empresas de publicidad que proveen de contenidos a las apps de los juegos.

Sea como fuere, las sospechas de colaboración tras todos los escándalos de espionaje descubiertos día a día gracias a las filtraciones de Edward Snowden tienen a todo el mundo muy sensibilizado, y la web de los Angry Birds sufrió un defacement que dejó el sitio tal y como podéis ver en la imagen siguiente.

Figura 1: Defacement de la web de Angry Birds almacenado en Zone-h

El defacement fue confirmado - según informa IBT - y retirado a los pocos minutos, pero está reportado a Zone-h donde se puede ver cómo dejaron el sitio con un mensaje muy claro "Spying Birds" con el logo de la NSA en la frente de uno de los pájaros. Parece que no han convencido las declaraciones de Rovio a todo el mundo.

Prueba un Mac Plus Clásico con Mac OS desde Internet

Estas navidades estamos un poco en modo retro. Hace poco os hablamos de OpenEmu, el emulador de juegos de consolas clásicas para Mac OS X, y luego de Mactracker, la app que te permite tener toda la historia de los productos hardware y software de Apple en tu iPhone o Mac OS X. Hoy, además, queremos que probéis la sensación de manejar un equipo MacPlus Clásico corriendo con Mac OS desde un emulador que funciona en tu navegador. Este equipo con el que puedes trastear es el mismo del que os hablamos hace poco porque habían conseguido conectarlo a Internet con una Raspberry Pi.

Figura 1: El emulador de Mac Plus en la web corriendo un Mac OS System 7

El emulador está hecho en JavaScript - llamado PCE.js - y es un port del emulador PCE de Macintosh a plataforma web. Con el, puedes acceder a diferentes equipos puestos online, como un Mac Plus con Mac OS System 7 en el que puedes dibujar un rato con las aplicaciones clásicas.

Figura 2: Dibujando con MacPaint en Mac OS System 7 sobre un Mac Plus emulado

También puedes conectarte a otra copia de un Mac Plus con Mac OS System 7 pero en el que podrás disfrutar un rato con jugos clásicos como esta guerra de cañones que si eres un poco "veterano" seguro que te ha quitado muchas horas de tu vida.

Figura 3: Echando una partida a la guerra de cañones. Recordad es que para dos jugadores.

También puedes jugar al Risk, o probar las herramientas de Microsoft Office clásicas de Excel o Word en los equipos Mac OS 7. Vamos, que te puedes perder enredando todas tus vacaciones.

Figura 4: Aplicaciones ofimáticas, incluidos PageMaker, MS Word, MS Works, y MS Excel

Por último, si ya no quieres moverte de delante del navegador, conéctate a este Mac Plus con Mac OS System 6 donde podrás jugar al Prince of Persia, Star Wars, Tetris, Test Drive II, etcétera, etcétera, etcétera...

Figura 5: Puedes jugar a todos estos juegos en un Mac Plus con Mac OS System 6

Y todo para sentirte un rato yendo años atrás  en el tiempo y no hacia delante como vamos ahora en la casi entrada del año 2014. Si te gustan las microhistorias de la historia de Apple, disfruta de estos momentos antes de que el mundo entero se haga un año más viejo y estemos un año más distantes de aquellos días en que se estaba creando la informática de hoy en día.

Disfruta de la Navidad jugando como un niño con OpenEmu

Hoy es un día para jugar con los regalos y estar con familiares y amigos. Si tienes algún niño cerca, siéntate con él y pasa un rato en su mundo de Rayo McQueen, de las Monster High, Peppa Pig o cualquier otro por el que esté pasando su cabeza. Si no tienes ningún niños cerca, entonces vuelve a ser tú un niño jugando con los viejos juegos de antaño. Desde que vimos que se había publicado OpenEmu para Mac OS X 10.7 Lion, OS X 10.8 Mountain Lion y OS X 10.9 Mavericks, sabíamos que hoy era el día en donde os teníamos que pinchar para que lo probaseis.

Figura 1: OpenEmu para Mac OS X

El emulador es fantástico, y funciona maravillosamente bien en Mac, aunque ya sabes que debes poseer las ROMs de los juegos para poder echar una partida a cualquiera de ellos. Para ello debes obtenerla de Internet y copiarlas en la ruta ~/Library/Application Support/OpenEmu/Game Library/rooms.

Figura 2: The Adventures of Batman and Robin para SEGA MegaDrive

Una vez que las tengas allí, el emulador las reconocerá y podrás jugar al juego. Existe también la posibilidad de dejar a la herramienta de que escanee tu disco duro a ver dónde estás tus juegos ya guardados. Sea como fuera, esta navidad juega, juega, juega mucho, que queda un año muy largo por delante para estudiar y trabajar. Necesitarás todas las pilas que logres cargar estas fiestas para lo que viene por delante. ¡Feliz Navidad!

Las patentes de iPhone: Puzzles, trolls y deception tools

En los Estados Unidos de América se ha generado toda una industria alrededor de las patentes tecnológicas y han aparecido las empresas dedicadas a lo que se denomina Patent Troll. Esto hace que una empresa pueda patentar casi cualquier cosa, siempre que tenga un pequeño cambio, y hace que para las empresas pequeñas que desarrollan apps sin haber patentado antes sus programas pueda ser un problema gordo si tienen éxito y se ven atacados por los temibles abogados de patentes que pululan por el norte del continente americano.

El buscador Google tiene una zona especializada en la búsqueda de patentes, y allí se pueden encontrar por supuesto las patentes de Apple que vamos comentando habitualmente por aquí, pero también algunas patentes que hacen pensar si esto tiene sentido o no. Por ejemplo, esta es posible encontrar patentes como esta titulada iPhone Application Game, donde se describe únicamente un puzzle para jugar en terminales iPhone.

Si se buscan cosas de seguridad sale de todo, sistemas de cifrado, de fingerprinting de dispositivos, de análisis forense o de autenticación de usuarios de todas las formas imaginables y no imaginables a priori. Algunas tan sencillas como iPhone Application Disguiser que en solo dos páginas de texto pide patentar un mecanismo para cambiar el icono, el nombre de una app y controlar su ejecución.

Figura 2: Patente de iPhone Data Storage

Si tienes un poco de tiempo te invitamos a que busques por allí a ver qué encuentras, que seguro que acabarás descubriendo alguna cosa chula como este sistema de almacenamiento externo para iPhone  o alguna cosa más extraña que te haga decir eso tan americano de WTF?.

Aparece una App en la App Store con malware en potencia

Se ha armado bastante revuelo otra vez por los controles que Apple realiza en la App Store en busca de malware en las aplicaciones que desde allí se ofertan, ya que la aplicación Bitdefender Virus Scanner para Mac OS X ha detectado un posible malware en una aplicación de la App Store cuando se escanea la copia de esta aplicación en el backup del sistema. La app, un sencillo juego que se llama Simply Find it, es una app de 2 USD que contiene un iframe HTML aparentemente para descargar un archivo de audio, pero esta técnica también es utilizada por el malware para descargar los componentes y atacar a un navegador.

Todo parece indicar que ha sido un error de programación, o al menos no se ha descubierto ninguna amenaza lanzada desde ese sitio, pero podría haber sido utilizado para atacar un exploit de cliente en el futuro, lo que ha vuelto a levantar las alertas sobre los controles que Apple realiza contra el software malicioso en la App Store.

Figura 1: El iframe en el código del juego

Recordemos que Charlie Miller demostró que podría saltarse los controles de App Store con InstaStock, que hemos tenido casos de apps robando datos como Path, Twitter o los juegos de Storm 8 - primer gran escándalo de privacidad en la App Store -, o el caso de Find and Call, primer malware de verdad como tal en la App Store. A estos hay que sumar incidentes como el del malware de Windows que se distribuyó por la App Store, dejando muy en entredicho todos los controles de seguridad que realiza Apple.

Figura 2: Los juegos de Storm-8 que robaban los datos

¿Se está tomando Apple en serio la posible aparición de malware en la App Store? ¿Pasará como pronosticó Kaspersky que llegará el día en que suceda y no esté preparada? ¿Habrá un FlashBack para iOS? ¿Debe seguir Apple prohibiendo la entrada de los antimalware en el sistema iOS?

Cambiar las puntuaciones de Game Center con trampas

Muchos usuarios en Game Center aparecen con puntuaciones imposibles - al menos jugando a muchos de los juegos - donde el valor más grande que aparece es el 9.223.372.036.844.775.807, que corresponde con el valor máximo posible para un entero sin signo. Esto se hace por medio de una manipulación en el cliente de las peticiones, ya que es el propio juego el que envía este valor al panel de control de puntuaciones.

En HackPlayers han hecho la demostración con el juego Cut The Rope, y para ello es tan sencillo como instalar el certificado utilizado por la aplicación proxy de auditoria que utilices - en su caso lo hacen con Burp Proxy, por lo que tienen que instalar el certificado de PortSwigger - y modificar la petición que envía el juego al terminar la partida. La petición de Cut The Rope es la siguiente:

POST /WebObjects/GKGameStatsService.woa/wa/submitScores HTTP/1.1
Host: service.gc.apple.com
User-Agent: gamed/4.10.17.1.6.13.5.2.1 (iPhone4,1; 6.1.2; 10B146; GameKit-781.18)
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Accept: */*
Some-Cookies: have been removed to make this shorter
Content-Type: application/x-apple-plist
Connection: keep-alive
Proxy-Connection: keep-alive
x-gk-bundle-version: 2.1
Content-Length: 473
x-gk-bundle-id: com.chillingo.cuttherope

<?xml version=”1.0″ encoding=”UTF-8″?>
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0″>
<dict>

<key>scores</key>
<array>
<dict>
<key>category</key>
<string>1432673794</string>
<key>context</key>
<integer>0</integer>
<key>score-value</key>
<integer>12345</integer>
<key>timestamp</key>
<integer>1361998342937</integer>
</dict>
</array>

</dict>
</plist>

Como se puede ver, hay que modificar el valor score-value, y lo que se obtendrá en el Game Center es lo que nos muestran en la siguiente captura.

Figura 1: Modificación de la puntuación en Cut The Rope

Un truco sencillo basado en un esquema de man in the middle que sin duda utilizan los cheaters para pelearse o para amañar concursos que se hagan en base a puntuaciones del Game Center. Tenedlo en cuenta.

MineCraft Hack Kit: Applet Java que te roba tu password

Desde Intego han publicado el descubrimiento de un nuevo caso de malware dedicado a los amantes de MineCraft. Se trata de MineCraft Hack Kit, un supuesto software distribuido en forma de Applet Java que se puede estar distribuyendo de forma dirigida por foros de amantes de este mundo, y que en realidad es un malware multiplataforma que te roba las contraseñas de los ingenuos que lo descargan y lo ejecutan en su sistema para ser más poderosos.

El programa promete ser una herramienta para conseguir entrar en un servidor del juego con privilegios especiales para bannear a otros usuarios o conseguir entrar con un nivel de moderador en una partida dentro del servidor.

Figura 1: MineCraft Hack Kit Apple Java

Realmente este software creado para engañar a los cheaters, que se distribuye en un fichero llamado “Minecraft Hack Kit.jar” descarga tres Apples Java de una cuenta de Dropbox, llamados:

mainInstaller.jar
minesender.jar (plugin)
SecCorrect.jar (plugin)

El malware es multiplataforma y en sistemas Mac OS X se hace invisible y consigue la persistencia tras el reinicio utilizando el sistema de los Launch Agents, como hace mucho malware en estas plataformas. Una vez en ejecución lo que hace es buscar las contraseñas utilizadas en el último inicio de sesión "lastlogin" de MineCraft y enviarlas por correo electrónico seguro a la cuenta del atacante que actualmente es una cuenta de Hotmail -. El malware es capaz de actualizarse y borrarse a sí mismo, así que esta configuración puede ser cambiada.

Figura 2: Código de MineCraft Hat Kit para detectar Mac OS X

Como ya hemos dicho, este software malicioso no es la primera muestra de malware que aparece dedicada a robar cuentas de MineCraft, ya que tuvimos el caso de Java/JasckSbot en el pasado que estaba dedicado a lo mismo, así que ten cuidado con tu cuenta y recuerda que ejecutar Applets Java descargados de sitios que no son de confianza es peligroso.

App de Bob Esponja retirada por problemas de privacidad

Según cuenta la historia en un blog del New Your Times, el juego para iOS BobSponge Dinner Dash ha sido retirado de la App Store después de que se interpusiera una reclamación en Estados Unidos a través de la FTC por incumplir la ley federal para los juegos online para menores debido a varias irregularidades.

Figura 1: La app de Bob Esponja retirada de la App Store

La aplicación, la cual no hemos podido probar ya que está retirada, porque parece que Bob Esponja - además de poner Burguers Cangreburgers - recolectaba datos de los niños pidiéndoles su nombre y su dirección de correo electrónico para enviarles un boletín de noticias, algo que hacía sin ningún tipo de control parental, exigido por la ley. En segundo lugar solicitaba a los jóvenes permiso para enviar notificaciones mediante el envío de globos de mensajes, lo que incita al juego en cualquier momento, lo que está prohibido por la ley. La última de las quejas que han interpuesto ha sido que la aplicación recogía el UDID del usuario, lo que atentaría contra la privacidad de los niños generando una base de datos de nombre, dirección de correo, versión de dispositivo e UDID de todos los jugadores.

La aplicación de Bob Esponja está temporalmente fuera  hasta que Nickelodeon modifique su comportamiento. Algo similar que sucedió con una aplicación Mobbles, inspirada en los Pokemon. Parece que los juegos de los niños no son tan infantiles como puedan parecer en un principio.

Malware R.A.T. Java/Jacksbot es detectado en Internet

Hace un par de semanas nos hicimos eco de la aparición de Java/Jacksbot, un malware R.A.T. multiplataforma escrito en Java descubierto por Intego que, entre otras cosas, buscaba las contraseñas de MineCraft. Esta semana TrendMicro ha detectado que ha visto este malware infectando varios clientes en Australia y Malasia y que es posible que se esté distribuyendo como alguna herramienta para MineCraft - por eso lo del robo de contraseñas -.

Por otro lado, en un análisis mayor del mismo se puede concluir que es una R.A.T. completa y que el número de funciones que implementa es suficiente para tener mucha precaución con él. Las funciones reportadas que tiene este malware son: Chat, Corrupt DeleteFile, GetFile, GetScreen, KillProcess, ListFiles, ListProcess, Restart, Shutdown, TakeFile y VisitURL.

Figura 1: Comprobación de Sistema Operativo en Java/Jacksbot

El malware, que es multiplataforma como se ve en la Figura 1 y funciona en Mac OS X,  pero no tiene todas las funciones operativas en Mac OS X o Linux, y como muestra la porción de código del mismo que se observa en la Figura 2, parece que está a medias, ya que solo tiene la implementación de Windows, lo que parece ser su principal objetivo.

Figura 2: Comando LOGOUT implementado solo para Windows

En cualquier caso, si puedes deshabilitar Java hazlo y procura tener un antimalware profesional con protección activa en tiempo real y actualización constante de firmas.

Java/Jacksbot.A: Malware busca passwords de Minecraft

Que aparezcan piezas de malware multiplataforma está empezando a dejar de ser noticia. Ya con OSX/Crisis vimos no solo que el malware era multiplataforma, sino que además se adaptaba a las características particulares de cada una de ellas. En este caso Java/Jacksbot.A es un backdoor escrito en Java, que funciona totalmente Windows,  y parcialmente en OSX y Linux, y del que todavía no se sabe cómo se distribuye, según reportan en Intego.

Como otras piezas de malware este backdoor recoge información del sistema, hace capturas de pantalla de lo que está pasando en la máquina infectada, realiza ataques de denegación de servicio bajo petición del panel de control, hace visitar URLs para hacer ataques de Click Fraud en esquemas de Fraude Online y roba contraseñas. Entre las contraseñas en las que se interesa están las de Minecraft:

Figura 1: Código que busca las passwords de MineCraft en Java/Jacksbot

Aún no se sabe cuál es la otra pieza de malware que hace de dropper, es decir, el que le descarga en las máquinas infectadas, ni cómo consigue control en el sistema, ya que necesita ser root y no usa ningún truco de ingeniería social para ejecutarse, así que todo el trabajo de infección recae de la parte que falta. Por si acaso, ten todo tu software actualizado, especialmente el software de antivirus, que las casas ya están firmado a Java/Jascksbot para detectarlo en tu sistema.

Hack de in-App Purchase de iOS se extiende a Mac OS X, Apple libera API Privada para los desarrolladores y una POC (Prueba de Concepto) del ataque de Alexey Borodin.

Apple está respondiendo al problema de seguridad que ha permitido que algunos usuarios realizaran compras en las aplicaciones de iOS de manera gratuita. Estas compras se realizan por el conocido sistema que Apple proporciona a los desarrolladores a través de una API, para realizar ventas en sus aplicaciones, denominado “In-App Purchases” - de ahora en adelante IAPs -, y así maximizar sus oportunidades de negocio, junto con “iAd” la plataforma de publicidad.

Es curioso que, a principios de este año, Apple comenzó a rechazar aplicaciones que utilizasen el identificador UDID, para aumentar la privacidad del usuario, ya que identifica a los dispositivos de manera unívoca. Sin embargo, parece que ellos si que lo utilizan y han liberado ese API privada para que los programadores puedan defenderse de estos hackeos, en un primer paso de reforzar la seguridad del sistema de ventas IAPs. Los programadores podrán averiguar qué dispositivos están  hackeando el sistema de ventas.

El hackeo del sistema lo realizó el hacker ruso Alexey Borodin, hace menos de una semana, y se calcula que ya se han podido realizar más de 30.000 transacciones virtuales de manera ilegal, a través de la web que montó el hacker, todavía online, y que es In-AppStore.com. Ahora miso, el sistema ha sido extendido también al sistema IAP de la Mac App Store, con lo que no solo afecta a los desarrolladores iOS, sino también a los desarrolladores Mac OS X.

Prueba de Concepto del Sistema de Alexey Borodin

La primera noticia de esto fue publicada en el blog ruso I-ekb.ru. El hackeo conocido como “In-App Proxy”, que el propio autor explicó, consiste en cuatro sencillos pasos:

• Desconectarse o cerrar sesión de la cuenta asociada a App Store en el terminal, accediendo a “General >Store”, seleccionando la cuenta y cerrando sesión.

• Instalación de dos certificados que se encuentran disponibles a través de In-AppStore.com, seleccionando la opción “Getting Started”. En dicha web viene documentado todo el proceso, y están alojados los dos certificados que hay que instalar respetando el orden:

- Primero (CA Certificate): http://91.224.160.136/certs/cacert.pem
- Segundo (In-AppStore.com certificate): http://91.224.160.136/certs/itcert.pem

Para la instalación de los certificados, basta con cargar la web In-AppStore.com, seleccionarlos e instalarlos, tal y como se aprecia en las siguiente captura:

Figura 1: Instalación de certificados de In-AppStore

A continuación se muestran las capturas de la instalación del primer certificado (CA certificate):

Figura 2: Instalación del primer certificado (CA certificate)

Y a continuación se muestran las capturas de la instalación del segundo certificado, en este caso el certificado de In-AppStore.com:

Figura 3: Instalación del segundo certificado

• El tercer paso consiste en realizar una compra, y cuando salga el mensaje de confirmación “Esta seguro de que desea realizar esta compra” hay que seleccionar la opción “Cancelar”.

• El cuarto y último paso es cambiar los DNS de la configuración de la red Wi-Fi. A continuación se muestra una captura en donde se aprecia el cambio:

 

Figura 4: Cambio de los DNS de la red Wi-Fi a la que se está conectado.

Y listo. Ya se puede realizar la compra IAP dentro de una aplicación. Como prueba de concepto he escogido este juego al que personalmente estoy un poco enganchado, para obtener unas moneditas de oro extra, y aumentar los niveles de la varita mágica de mi clérigo. A continuación se muestra una captura del sistema de ventas IAP del juego:

Figura 5: Aspecto del sistema IAP del juego "Heroes vs Monsters - H vs M"

Se selecciona la compra deseada, en nuestro ejemplo se ha elegido el pack más pequeño de monedas, es decir el de 3.000, y acto seguido aparecerá un mensaje como el siguiente, en lugar del habitual mensaje de Apple:

Figura 6: Mensaje de compra de "In-App Proxy"

Se acepta la compra, y se va a la sección “Store” o la tienda del juego, en donde se puede comprobar como ahora se poseen las 3.000 ansiadas moneditas de oro.

Figura 7: Comprobando que se han adquirido las 3.000 moneditas de oro

Varias cosas a tener en cuenta con este sistema de hacking:

• La primera es que el sistema solo funciona a través de la conexión Wi-Fi.

• Otro factor a tener en cuenta, es que “In-App Proxy” sólo sirve para realizar compras gratuitas de el sistema de ventas IAPs, pero no en la App Store. De hecho si se intenta realizar alguna compra, aparece la siguiente imagen:

Figura 8: Intentando realizar una compra en App Store.

Por tanto, después de realizar nuestras "compras" (ya que son ilegales) en IAPs, habría que cambiar los DNSs de nuevo para poder acceder correctamente a la App Store.

• Otro aspecto a tener en cuenta es que todo el sistema “In-App Proxy” es una versión beta, y no funciona en todos los casos, dependiendo de markets, apps, países, etc. Y se puede ver que hay una sección en la web del desarrollador, en donde se pueden ver mensajes de fallos del sistema, reportados por usuarios. Además Apple provee de un sistema a los desarrolladores, para comprobar los recibos en las ventas IAPs, tal como se puede ver aquí. Característica que deberían utilizar todos los desarrolladores.

• Por último cabe decir que no es necesario realizar el jailbreak a nuestro dispositivo.

Reacción de Apple

Al parecer Apple ha hecho un comunicado al respecto, alegando lo siguiente: “La seguridad de la App Store es increíblemente importante para nosotros y para la comunidad de desarrolladores”, declaró la representante de Apple Natalie Harrison a The Loop. "Tomamos todos los informes de actividades fraudulentas muy en serio, y estamos investigando”.

Para finalizar el artículo, decir que el propio autor ha declarado que no ha almacenado datos de los usuarios, pero que el hecho de que se envíen datos del terminal, debería ser suficiente para que la gente no lo intente. Así que aquellos que deseen intentarlo deben tener en cuenta que se envían datos de vuestros dispositivos…y que Apple se toma en serio el fraude. Nosotros hemos comprado las monedas de forma legítima a posteriori, para hacer esta POC.

También ha declarado que aquellos desarrolladores que utilicen el sistema de recibos mencionado anteriormente, tampoco están seguros, y que tan sólo aquellos que hayan desplegado sus propios servidores para comprobar las compras IAPs, podrán evitar el hackeo.