Una vulnerabilidad en la beta de iOS 13 permite acceder a los usuarios y contraseñas almacenadas en la App de Ajustes

iOS 13 sigue en fase beta por lo tanto es comprensible que existan algunos fallos en esta versión del sistema operativo, recientemente se ha descubierto una importante vulnerabilidad que facilita el acceso a los datos almacenados en la configuración relativos a los usuarios y contraseñas de aplicaciones y servicios web. Esto significa que esta versión beta bypassear la autenticación biométrica resulta bastante sencillo para acceder a los datos almacenados en el Keychain de iCloud (usuarios y contraseñas). La vulnerabilidad descubierta se dio a conocer a través de la red social Reddit.

Como ha detallado el usuario iDeviceHelp en su canal de YouTube, puedes acceder a todos los usuarios y contraseñas almacenados en los ajustes pulsando repetidamente el menú de “website y app passwords” saltándote así la autenticación con biometría. Tras unos cuantos intentos, iOS 13 te mostrará todas tus contraseñas y logins incluso aunque no llegases a autenticarte con Face o Touch ID. Según el blog 9to5mac se ha confirmado que esta vulnerabilidad se encuentra presente en la última versión de la beta de iOS 13 para desarrolladores. Apple ya ha sido informado de este incidente a través de la nueva app de feedback de iOS 13. El fallo también se ha encontrado en la beta de iPadOS 13.

Figura 1: Acceso a contraseñas del Keichain desde la App de Ajustes.

Por suerte para poder llevar a cabo este robo de contraseñas es necesario tener el dispositivo desbloqueado, algo que no es posible en caso de no conocer la contraseña o no habernos autenticado antes con Face iD o Touch ID. Al convertirte en Betatester aceptas un cierto nivel de riesgo y esta vulnerabilidad no puede ser mejor ejemplo del mismo, hay que recordar que al probar una nueva versión de un sistema operativo es normal encontrar fallos o brechas de seguridad, no se puede esperar que na beta sea completamente segura y estable, especialmente cuando solo lleva en proceso de prueba unas 6 semanas aproximadamente. La beta 3 de iOS 13 salió el día 2 de julio, lo que quiere decir que Apple pronto lanzara su beta 4, una actualización en la que podrían resolverse este y otros pequeños problemas del sistema operativo aun en desarrollo.

Hack: Linus Henze revelará detalles acerca del funcionamiento de KeySteal en la Sea Mac Security Conference

A comienzos de este año, en febrero concretamente, un joven investigador de ciberseguridad alemán llamado Linus Henze demostró que era posible realizar un ataque a macOS con el que se permitiría a una aplicación maliciosa obtener las contraseñas almacenadas en la keychain de Apple. La publicación de los detalles acerca de este ataque ha resaltado el hecho de que el Keychain de Apple se está convertido en un objetivo muy atractivo para los ciberdelincuentes debido a la información que almacena. Apple parcheó la vulnerabilidad de KeySteal a finales de marzo.

Al principio Henze rehusó de dar detalles acerca del hack ya que la compañía no contaba con un programa de recompensas para macOS, sin embargo al poco tiempo cambió de idea porque le preocupaba la seguridad de los usuarios de equipos Mac, además explicará exactamente cómo funciona el ataque en la Sea Mac Security Conference que tendrá lugar en Mónaco el próximo fin de semana. El Keychain de Apple es esencialmente un gestor de contraseñas de macOS, incluso aunque no lo utilices como tu gestor de contraseñas principal es muy probable que almacene información importante sobre ti, de hecho está tan integrado en el SO que seguramente conozca alguna de tus contraseñas.

“Pienso que el Keychain es bastante bueno, porque es un buen método para almacenar contraseñas sobre todo cuando utilizamos una distinta para cada servicio pero basándose en como descubrió el bug este pudo estar activo durante 5 años incluso más antes de ser arreglado”

Figura 1: KeySteal

Aunque es posible que alguien conociese esta vulnerabilidad antes que Henze lo habitual es que los ciberdelincuentes busquen bugs con los que acceder al Kernel del dispositivo (lo que también le proporcionaría acceso al Keychain de todos modos). Keysteal es una herramienta que se limita a acceder al Keychain, pero podría ser un ataque efectivo para cualquiera que supiese de la existencia del bug, solo sería necesario engañar a algún usuario para que descargase un app que contiene el exploit de KeySteal.

Este ataque se basa en explotar una vulnerabilidad que no se encuentra en el Keychain de Apple como tal, sino en un servicio que facilita las conexiones entre el mismo y otras aplicaciones de macOS. De hecho Henze descubrió el bug cuando comprobaba la seguridad de la SandBox que contiene aplicaciones web ejecutándose en Safari. Henze comprobó que desde dentro de Safari, los programas podrían hablar con el servicio de seguridad que también gestiona el Keychain para comprobar cosas como contraseñas y certificados de encriptación web. Descargó el marco de este servicio para estudiarlo más de cerca y se dió cuenta de que al iniciar una sesión a través de Safari para hablar con el servicio de seguridad, podía manipular varios atributos de la sesión.

               

Tras manipular la sesión de Safari Henze logró engañar a los servicios de seguridad para obtener el contenido del Keychain desencriptado en su herramienta. Con el parche lanzado por Apple se evita esto mismo, impidiendo que el servicio de seguridad confíe en sesiones manipuladas. Aun así los investigadores de Mac han querido resaltar que los ataques en el Keychain son bastante comunes a pesar de que esta sea una herramienta crucial para la seguridad de Apple.

Linus Henze ha compartido con Apple los detalles de su exploit sin obtener nada a cambio

Linus Henze ha informado a Apple de todos los detalles relativos al bug que descubrió en el software de seguridad del keychain de macOS, además lo ha hecho sin haber recibido ningún pago o recompensa por parte de la compañía. En un principio, Henze se reservó la información como protesta en contra de la compañía por no dispones de un programa de recompensas para macOS similar al Bug Bounty de iOS, pero tras un perqueño periodo de tiempo considera que el problema es demasiado grave como para no ser solucionado a corto plazo.

El adolescente alemán ha enviado a Apple todos los detalles e información relativa al exploit con el que logró burlar la seguridad del Keychain de macOS el pasado mes de febrero a pesar de la negativa de la compañía a ofrecerle una recompensa. A pesar de ello Linus publicó un tweet informando de su decisión y diciendo que la vulnerabilidad que descubrió era crítica y que lo que le llevó a tomar la decisión de compartir esa información era que le importaba la seguridad de los usuarios de macOS. 

Figura 1: KeySteal

El joven de 18 años descubrió un bug que permitía a algunas aplicaciones acceder a las contraseñas almacenadas en el Keychain de Mojave y para demostrarlo desarrolló una aplicación a la que llamó KeySteal. Una vez demostrado protestó contra la compañía californiana por no disponer de un programa de recompensas para los usuarios de Mac. En el e-mail que envió a la compañía pedía que un responsable de Apple se pusiese en contacto con él y le diese una explicación razonable de por qué no disponían de dicho programa de recompensas. Tras un tiempo Apple contactó con Henze para preguntarle acerca de su descubrimiento pero ignorando sus peticiones de hablar con un representante, a pesar de que este insistiese en varias ocasiones.

Otro adolescente encuentra una vulnerabilidad (esta vez en macOS) y no quiere contar cómo lo hizo

Hace tan sólo una semana ya vimos que un adolescente fue el que encontró el fallo de FaceTime e incluso Apple iba a recompensarle por la acción. Pues esta semana, otro adolescente, un aleman de 18 años llamado Linus Henze, ha encontrado una vulnerabilidad que afecta a la última versión del sistema operativo macOS que permite que algunas apps accedan a las contraseñas almacenadas. Y además, este adolescente no quiere compartir como lo hizo. Ahora veremos el motivo.

Este problema de acceso a las contraseñas permitiría, por ejemplo, que una aplicación maliciosa tuviera acceso a las contraseñas almacenadas del banco, Amazon, Netflix o cualquier otra almacenadas en el llavero (keychain). Pero incluso, si utilizas el llavero desde iCloud, este también podría estar afectado por este problema. Al estar todo sincronizado desde la nube de Apple, las contraseñas de otros dispositivos como el iPad y el iPhone también estarían comprometidas. A pesar de lo grave de la vulnerabilidad, de momento no hay ninguna solución prevista. En el siguiente vídeo podemos ver el exploit en acción:

Henze descubrió que es posible crear una app capaz de leer el contenido del llavero sin permisos previos. Es decir, no requiere de privilegios especiales de administrador para explotar la vulnerabilidad. Por lo tanto, sacar partido de este bug es tan simple como ejecutar la aplicación, nada más. Además, una aplicación legítima ya instalada podría ser infectada e insertar el código para explotar la vulnerabilidad del llavero o también el usuario podría ser engañado para que accediera una web desde la cual se ejecutara el exploit.

Figura 1. Aplicación creada por Linus Henze para extraer las contraseñas. Fuente.

Viendo la gravedad de este fallo de seguridad, es vital estudiar la técnica utilizada pero ¿por qué no quiere publicar cómo lo ha hecho? Según comenta él mismo, no lo hace con maldad sino como protesta. De hecho, sí que ha avisado del problema y eso ya es más que suficiente para que Apple tome nota. Su protesta está enfocada a la falta de un programa de bug bounty exclusivo para macOS. Recordemos que este programa de recompensas sólo se aplica a dispositivos iOS. Esperemos que Apple tome nota y abra uno enfocado a su sistema operativo de escritorio o veremos como la empresa Zerodioum aumenta su colección de exploits.

Recopilación navideña de herramientas para Mac. Parte II

Hoy concluimos con la serie de artículos en la que os hablamos de algunas de las herramientas que incorpora Mac, que son muy útiles y que probablemente no sabías de su existencia. En el anterior artículo de esta serie os hablamos de Instantanea, Grapher, Utilidad de Discos y ColorSync. Hoy os presentaremos otras cuatro herramientas útiles aunque poco conocidas y que podrán serte de gran ayuda en caso de necesitarlas.


Acceso a llaveros: Esta aplicación se trata ni más ni menos que de un gestor de contraseñas, con esta herramienta podrás organizar y almacenar tus contraseñas, certificados y claves de usuario, sin duda algo muy útil si utilizas una contraseña distinta para cada servicio al que estés suscrito. También podrás almacenar la contraseña de redes WiFi a las que te conectes habitualmente y crear nuevas entradas para añadir nuevas contraseñas.

Figura 1: Monitor de Actividad de Mac

Monitor de actividad: Al igual que en Windows, Mac también dispone de un Administrador de tareas, en este caso se llama Monitor de Actividad y te permitirá comprobar que aplicaciones o programas se están ejecutando, la memoria que están usando y cuanta energía están consumiendo a cada instante. El Monitor de Actividad también permite cerrar cualquier programa o aplicación en caso de que no responda o esté dando problemas.

Medidor de Color Digital: Esta es probablemente una de las herramientas menos conocidas de Mac, su diseño está enfocado a complementar el trabajo de otras herramientas de diseño y edición fotográfica. El Medidor de Color Digital sirve para comprobar los valores RGB del elemento situado debajo del ratón, además permite copiar estos valores y trasladarlos a tu editor de fotos habitual. 

Figura 2: Medidor de Color Digital para Mac

Bluetooth : Por último y para cerrar esta serie, os hablamos de la funcionalidad Bluetooth de Mac, puede que parezca una tecnología en desuso desde la llegada de Google Drive o Airdrop pero te permitirá transferir archivos de forma inalámbrica de una forma rápida y sencilla. El Bluetooth puede resultar la mejor opción para transferir archivos a todos aquellos dispositivos Apple obsoletos o que no estén optimizados para soportar Airdrop.

Extraer contraseña de redes WiFi a las que ya te has conectado con tu Mac

Alguna vez te ha pasado que al intentar agregar un nuevo dispositivo a tu red WiFi o a cualquier otra que utilices habitualmente no recuerdas su contraseña y tampoco te acuerdas donde la apuntaste? si este es tu caso tenemos buenas noticias para ti. Por suerte hay una forma muy sencilla de obtener la contraseña de las redes WiFi que has usado previamente con tu MacBook, a continuación os daremos una serie de instrucciones con las que podréis obtener la contraseña de todas las redes WiFi a las que hayáis estado conectados (al no ser que hayan cambiado su contraseña).

1. Para comenzar abre Spotlight (command-space) y teclea “Keychain access”.                                      
2. Selecciona "Keychain access" en los resultados de la búsqueda y busca "Keychains" en el panel de la parte superior izquierda.                                                                                                                     
3. Entre los Keychains selecciona “System”.                                                                                            



Figura 1: Ventana de características.

 
4. A continuación debería de mostrarse una lista de las redes WiFi a las que te has conectado con tu Mac a lo largo de su historia, busca la red WiFi a la que quieras conectarte y de la que necesites extraer la contraseña. Haz clic sobre ella.                                                                                                                                                  
5. En el menú mostrado a continuación pulsa en “Obtener información”.                                                
6. En la pestaña de características busca la opción de mostrar contraseña y pulsa en el la caja situada al lado del texto “Mostrar contraseña”.Cuando se marque el tick introduce la contraseña de tu cuenta de administrador en Mac. 

Y eso es todo, una vez que pulses al lado de "Mostrar contraseña", en la caja con el tick debería de aparecer la contraseña de la red WiFi. Podrás repetir este proceso las veces que necesites pero solo con otras redes WiFi a las que te hayas conectado previamente.

Guía de seguridad en macOS (Parte 3)

Llegamos al final de nuestra serie de artículos sobre la seguridad en macOS con una entrada sobre las conexiones de red, el control de dispositivos hardware y la política de privacidad que impera en Apple. Con esto hemos tratado todas las aristas que componen la seguridad y fortificación del sistema operativo de Mac.

Guía de Seguridad en macOS (Parte 2)

En este segundo post continuamos detallando todos los elementos referentes a la seguridad de nuestro Mac. En el artículo anterior hablamos sobre la seguridad del núcleo del sistema, el almacenamiento de claves y credenciales y la autenticación mediante contraseñas o certificados digitales, en esta ocasión nos centraremos en cifrado y los mecanismos que se aplican para fortificar las aplicaciones de terceros instaladas en macOS.

Guía de seguridad en macOS (Parte 1)

Después de haber nombrado términos generales de ciberseguridad en la Guía de Seguridad para tu Secure Summer, vamos ahora a mostraros en los siguientes posts una guía general sobre toda la seguridad que concierne a macOS.

En esta guía profundizaremos en todas las areas implicadas en la securización del sistema operativo de nuestros Macs, desde la seguridad del sistema y redes, cifrado, autenticación y limitaciones de aplicaciones externas.

Estos artículos están divididos según las diversas areas antes mencionadas, dando una breve explicación sobre los elementos que conciernen a cada apartado.

Por qué está teniendo Apple tantos problemas de seguridad últimamente

Apple es hasta ahora, uno de las plataformas más seguras que existen. Pero debido a los problemas que está teniendo, no sólo con Sierra, sino también con iOS, esta imagen de plataforma segura se está dañando. En menos de un mes Apple ha tenido que reparar dos bugs críticos, el problema del root sin contraseña en macOS y en iOS el de una aplicación de terceros capaz de recuperar las contraseñas almacenadas en el keychain. ¿Qué está pasando?

En el caso del acceso root sin contraseña establecida, era un fallo tan grave que Apple sacó el parche en el mismo día de enterarse de su existencia. Esto es algo realmente impresionante para una empresa de este tamaño. Apple se disculpó ante los usuarios y dijeron que mejorarían la auditoría a los equipos de desarrollo para que este suceso tan grave no se volviera a repetir. 

Pero estos problemas de seguridad parece que no vienen solamente de este último mes. Durante 2017 han aparecido varios problemas en todas los productos Apple siendo el mes de mayo el que más problemas tuvo (66 vulnerabilidades en total). Luego en septiembre apareció otro problema, esta vez no de seguridad pero muy visible para el usuario. De repente al intentar escribir la letra "i" era la letra "A" la que aparecía. Este último ejemplo, aunque no sea de seguridad deja en evidencia la raiz del problema: según Wired, Apple tiene que mejorar las pruebas (test) de sus productos antes de sacarlos al mercado.

Figura 1. Algunas de las vulnerabilidades encontradas en Apple en mayo de 2017. Fuente.

Y es que Apple tiene que sacar productos nuevos cada 12 meses como máximo (ciclo en el que se presenta algún producto nuevo)  sin contar los productos que ya están en el mercado y que tiene también que actualizar. Los últimos problemas que hemos comentado tanto para macOS y iOS son un claro ejemplo que demuestra que a los equipos de QA parece que no tienen tiempo suficiente para testear o probar debidamente los productos antes de lanzarlos al mercado, poniéndolos en circulación demasiado pronto. Lejos quedan atrás aquellos días como cuando se lanzó el Apple OS X 10.6 Snow Leopard en 2009, uno de los lanzamientos más robustos de la compañía en el cual pusieron todo el esfuerzo posible para que saliera al mercado con el menor número de bugs posible. 

De hecho, en el mundo Apple es bastante habitual encontrar usuarios que mantienen una versión anterior del sistema operativo por su estabilidad, evitando actualizar a la última versión hasta que no ha pasado un tiempo razonable. De todas formas, como dijimos al principio, Apple es una de las empresas con los productos más seguros al mercado y seguro que pondrán más medios para las pruebas y más atención en el futuro a los nuevos productos que saquen al mercado en los próximos meses.

Vulnerabilidad crítica en macOS High Sierra: Cualquiera puede acceder a tu Keychain

El nuevo sistema operativo de Apple, el flamante macOS High Sierra, ya tiene una grave vulnerabilidad que permite a un atacante robar las contraseñas del keychain del sistema. El nuevo sistema trae algunas mejoras de seguridad, por ejemplo el SKEL, del cual hablamos en el blog, pero también ha traido un nuevo y grave fallo de seguridad que permite a cualquier aplicación robar las contraseñas del keychain sin el conocimiento o interacción del usuario. Las versiones anteriores al nuevo sistema operativo de Apple también son vulnerables, por lo que hay que actualizar, sin duda, a la nueva versión.

El investigador Patrick Wardle ha sido el que ha encontrado este grave fallo de seguridad. El experto en seguridad ha comunicado que no revelará el funcionamiento del fallo hasta que Apple lo corrija. Wardle indicó que las aplicaciones que se ejecutan en un sistema pueden acceder a toda la información del llavero sin ninguna interacción del usuario, haciendo un bypass de cualquier componente de seguridad. Apple indicó que Gatekeeper evita que se instalen aplicaciones sin firmar, y que el usuario no debe instalar aplicaciones que no tengan un origen de confianza o no se encuentren firmadas.

Figura 1: Mensaje de Patrick Wardle con la evidencia

Hasta que no exista una solución, se debe evitar la instalación de cualquier aplicación sin firmar y que venga de fuentes de no confianza, según ha comentada la propia Apple. Si tienes algún tipo de software instalado que cumpla con estas características, debes revisarlo y, en el peor de los casos, tener que cambiar las contraseñas almacenadas en el keychain, siempre que necesites eliminar la aplicación que no genera confianza.

Seguiremos atentos a la posible y necesaria actualización de macOS High Sierra a una nueva versión. Seguramente en poco tiempo veamos la actualización de macOS High Sierra y una nueva actualización de iOS solventando el problema de la batería. Sea como sea, seguiremos contándolo desde Seguridad Apple.

Un bug en iCloud Keychain expone credenciales en texto plano

Recientemente se ha revelado un detalle sobre la seguridad de iOS que a muchos interesará. Muchos lo identifican como uno de los fallos más importantes del año en materia de seguridad. El fallo pone en tela de juicio el keychain de iCloud y cómo éste sincroniza datos confidenciales entre dispositivos. iCloud Keychain ayuda a los usuarios a tener acceso a datos como contraseñas e información de tarjetas de crédito en todos los dispositivos iOS. Sin embargo, se se exponen estos datos estaríamos ante un grave problema de seguridad y privacidad.

El investigador Alex Radocea, cofundador de la empresa Longterm Security, comentó que el error encontrado sería el típico que se buscaría en un sistema de cifrado de extremo a extremo. iCloud Keychain se considera una de las características más seguras para compartir contraseñas, gracias a su implementación de cifrado de extremo a extremo utilizando claves específicas de dispositivos. El fallo no reportado podría haber permitido a un atacante con privilegio extraer datos de los llaveros de los usuarios. Radocea descubrió una forma de evitar el proceso de verificación de firmas, un protocolo que protege contra la suplantación al asegurarse de que los dispositivos se comunican entre sí de forma segura. Esto permitió a Radocea negociar una clave sin pasar por el proceso de verificación, lo que significa que un usuario no sabría que se agregó un nuevo dispositivo.

Figura 1: iOS Data Security

El investigador comunicó que se había podido enviar una firma que estaba mal y se podía modificar el paquete de negociación para aceptarlo de cualquier modo. Una vez dentro, se podía ver todo en texto plano. El problema ha sido arregalo por Apple a principios de año con el lanzamiento de iOS 10.3. Esperamos más detalles sobre esta vulnerabilidad que, sin duda, se ha convertido en una de las que más expectación ha generado. Por otro lado, hay que recordar a BroadPwn, otra de las vulnerabilidades del año solventada en iOS 10.3.3.

Tus mensajes de iMessage en iCloud: Retos de la privacidad

Apple ha comentado que tanto iOS 11 como macOS High Sierra almacenarán sus iMessage en iCloud. Esto es algo que ha alertado a algunos, pero que para la mayoría es algo interesante ya que no tendrán que almacenarlos en local, aunque hay usuarios que se han alertado por la privacidad y la posible falta de ella. Apple ha comentado que planea resolver el problema de la ubicuidad, es decir, que el usuario tenga acceso a todas sus conversaciones en todos los dispositivos que tiene. El cifrado que Apple dice que se utilizará será el de extremo a extremo, pero no se proporcionaron detalles en la WWDC de este año.

Para muchos esto es un punto de preocupación, ya que el tener información personal o privada entre otros sistemas que no están bajo tu control supone ciertos riesgos o inquietudes. Según algunos expertos, iMessage está por detrás de la competencia en prestación de un modelo de cifrado eficaz y moderno. Apple ha decidido no mostrar detalles de cómo funcionará esto, quizá hasta después de que se libere. Por un lado, Apple diseló la sincronización del keychain en iCloud de manera formidable, utilizando un enfoque de "Cero Conocimiento". 

Figura 1: Presentación del concepto en la WWDC

El envío de correos, contactos, calendarios fotos y otros datos a iCloud tiene una superposición de cifrado mientras estos datos se encuentran en tránsito y otra forma de cifrado en reposo en los servidores. Sin embargo, el cifrado en reposo está bajo el control de la empresa que ofrece el servicio. Por lo tanto, se posee todas las llaves necesarias para blqouear los datos a la llegada y desbloquearlos para transmitirlos de nuevo. En otras palabras, es susceptible al uso indebido interno, a las autorizaciones legítimas de gobiernos y la intrusión externa de atacantes. 

Cuando varios dispositivos necesitan acceso al mismo conjunto de datos, los sistemas, normalmente, utilizan claves de dispositivo para cifrar una clave de cifrado bien protegida, la cual protege los datos. De esta forma, existe un proceso para registrar y eliminar dispositivos del grupo de los legítimos, los cuales pueden acceder a la clave de cifrado. Esperamos que Apple esté utilizando esto, es decir, un sistema similar al keychain de iCloud. En definitiva, es normal que algunos usuarios se preocupen y esperaremos a los detalles de Apple respecto a esto.

Warning: Un mirror de Handbrake comprometido propaga variante de OSX.Proton

A todos los usuarios de Handbrake, una herramienta que permite comprimir y codificar videos de forma muy interesante y productiva, les interesará saber que durante el período de tiempo del 2 al 6 de mayo la herramienta ha sido comprometida, por lo que los usuarios que hayan descargado la herramienta en este período de tiempo deberán realizar una serie de comprobaciones para verificar que han sido infectados con un troyano de origen ruso. El problema es que un mirror de Handbrake fue comprometido y es aquí dónde pudieron comprometer la herramienta y todas las máquinas que descargasen el binario.

Los usuarios que descargaron la versión infectada durante ese período de tiempo tendrán que cambiar todas las contraseñas del KeyChain y cualquier otra contraseña almacenada en el navegador. El anuncio fue publicado por la empresa de Handbrake en los foros de la aplicación el pasado sábado. Los propietarios de Handbrake informan: "Cualquier que haya instalado Handbrake para Mac necesita verificar que su sistema no está infectado con un troyano.  Tienes muchas posibilidades de estar infectado". Los usuarios de Windows, como se puede ver en la nota, no están infectados.

Figura 1: Análisis de OSX.Proton en VirusTotal

Para comprobar si uno está infectado por el troyano ruso existen varios métodos, los cuales exponemos a continuación: 

• Si en el monitor de actividad existe un proceso denominado Activity_agent estás infectado.
• La infección es una nueva versión de OSX.Proton, un troyano atribuido a Rusia.
• La aplicación infectada está firmada con los hashes SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 y SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Las instrucciones para eliminar el troyano son:

• Abrir un terminal.
• launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist 
• rm -rf ~/Library/RenderFiles/activity_agent.app
• if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Este hecho recuerda al famoso incidente que afecto a la aplicación Transmission con el malware KeRanger, el cual contamos en Seguridad Apple. Sin duda, una noticia importante que afecta a los miles de usuarios de HandBrake y que pueden estar infectados por una variante de OSX.Proton. Consulta los métodos para detectar el malware.

OSX.Bella: Variante peligrosa de OSX.Dok y OpenSource

Ayer hablamos de OS X / Dok, un nuevo malware para Mac que afecta a todas las últimas versiones del sistema operativo. Hoy hablamos de una variante llamada OSX.Bella. El investigador Adam Thomas de Malwarebytes encontró una variante de OSX.Dok, el cual se comporta de manera muy diferente e instala una carga o un payload totalmente diferente. El método de distribución es prácticamente igual al de OSX.Dok. Además, OSX.Bella también se copia a /Users/Shared/AppStore.app y muestra la misma alerta alegando que la aplicación está dañada. Sin embargo, esta variante nunca muestra el mensaje falso de "OS X Actualizaciones disponibles".

En vez de instalar OSX.Dok, lo que se instala es una puerta trasera o de backdoor llamada Bella, creada por alguien que se identifica en Github como "Noah". Noah ha estado creando scripts de Python para capturar varios datos de macOS, por ejemplo, robar tokens de autorización de iCloud o información de la contraseña y tarjeta de crétido en Google Chrome. En febrero de este año, Noah lanzó Bella, la cual combina la funcionalidad de los scripts anteriores con nuevas funcionalidades:

• Exfiltración de datos de iMessage.
• Phishing de contraseñas.
• Ubicación de los dispositivos a través de Find My iPhone.
• Exfiltración del llavero. 
• Captura de datos de micrófono y webcam.
• Exfiltración de los screenshots.
• Compartición remota de pantalla.

Figura 1: OSX.Bella

Como se puede ver, Bella es todo un arsenal de funcionalidades orientadas al espionaje y el aprovechamiento de ciertos privilegios. El malware también se ha configurado para instalar el script, la base de datos y los archivos del agente. Lo más preocupante es que Bella es de código abierto y puede provocar que muchas otras personas puedan utilizarlo para realizar acciones maliciosas en la red.

idb: Herramienta para reversing de aplicaciones iOS

Hoy hablaremos de idb una herramienta para los sistemas macOS que puede simplificar algunas tareas comunes para llevar a cabo evaluaciones de seguridad de aplicaciones iOS, en el ámbito del reversing, y de la pura investigación. En el sitio web de la herramienta se puede encontrar documentación y prácticas basadas en el análisis de iGoat o de la aplicación Damn Vulnerable iOS o DVIA, que son recursos utilizados para familiarizarse con las vulnerabilidades de las aplicaciones iOS.

La herramienta proporciona al usuario una gran cantidad de features, desde el análisis de código como el análisis del binario, como son las que se enumeran a continuación: 

• Información de la aplicación. Información de dónde se almacenan los datos, versiones de SDK, información de las dependencias, etcétera.
• Almacenamiento de datos y cómo estos se almacenan. Listado de clases y de permisos plist, sqlite y cache.db. Dump del fichero Keychain. 
• Análisis de binarios. Se chequea el cifrado de la app, las protecciones como DEP, ASLR o ARC. Extracción de strings del binario y dump de clases y métodos. 
• Otras pruebas. Se analizan otras partes de la aplicación como los certificados instalados o la utilización de fuzzers para provocar fallos en la aplicación, a través de los datos de entrada. 

Figura 1: idb para macOS

En líneas generales, interesante herramienta que puede ser obtenida desde su sitio web y que está disponible para los usuarios de macOS. Estas navidades, aprovecha y comienza con el análisis de aplicaciones iOS con este tipo de herramientas. Por otro lado, no olvides también la herramienta iRET, la cual permite realizar ingeniería inversa sobre aplicaciones iOS.

OSX/Keydnap: Malware que te roba las credenciales

La empresa ESET ha estado investigando un caso de un nuevo malware para OSX. El objetivo principal del malware es robar el keychain que los usuarios disponen en su sistema operativo y mantener una backdoor de forma persistente. No es conocido del todo el método utilizado por los atacantes para Keydnap se ejecute en el sistema y quede residente. Se especula con que se podría llevar a cabo a través del envío de archivos adjuntos en mensajes de spam o, incluso, por realizar descargas desde sitios de dudosa reputación o no confiables.

Posiblemente, la infección ocurre a través de un componente tipo downloader que se distribuye a través de un archivo ZIP. El archivo ZIP contiene un binario de tipo Mach-O, con una extensión que no parece ser maliciosa, como por ejemplo txt o jpg. Sin embargo, la extensión del archivo contiene un espacio al final, lo cual permite que al hacer doble clic se ejecute con un terminal y no con Preview o TextEdit. 

Figura 1: Ejecutable de Keydnap

El downloader es un archivo sin firmar, como se dijo anteriormente, con formato Mach-O. Por lo cual, si el archivo es descargado desde un navvegador, Gatekeeper nos alertará, si éste está configurado correctamente, y no se ejecutará, a no ser que el usuario quiera ejecutarlo. El downloader de Keydnap es muy sencillo. En primer lugar, descarga y ejecuta el componente de persistencia, es decir, la backdoor. Reemplaza el contenido del ejecutable del downloader por un archivo señuelo. Cuando se abre el documento señuelo se reemplaza el archivo downloader Mach-O. Según indicando investigadores de ESET, Keydnap está dirigido a usuarios de foros del mercado negro o tal vez a los investigadores de seguridad. 

Figura 2: Archivo malicioso empaquetado stock_upx y el modificado

Como se puede ver, el malware sigue apareciendo en los sistemas OS X. Por esta razón debemos tener precaución con los archivos que se descargan y se ejecutan. Además, hay que desconfiar de los archivos recibidos por correo electrónico. Medidas de protección como antivirus y una buena configuración de Gatekeeper deben estar en nuestros OS X.

OSX/Genieo: Más adware que puede robarte passwords

Una nueva versión del adware Genieo trae una nueva téncica para poder acceder al keychain de OS X sin invervención del usuario. Esta zona gris podría ser utilizada por otros agentes maliciosos para robar datos sensibles almacenados en el keychain. El adware se aprovecha de una característica de OS X que evita que los usuarios se vean obligados a introducir la constraseña de la cuenta varias veces en una sesión. El instalador de Genieo pide a los usuarios autenticarse con la contraseña de la cuenta durante la instalación.

A posteriori monta una aplicación especial que pide acceso al llavero, lo que genera un cuadro de diálogo diferente que pregunta al usuario si se debe permitir o denegar el acceso. Este diálogo secundario no solicita una contraseña y el instalador simula un clic del ratón en el botón "Permitir". Todo el proceso dura tan sólo una fracción de segundo. Muchos usuarios no notarán dicha ventana, e incluso los que podrían ser propensos acaban ignorándola. Este comportamiento es peligroso y viene con un alto potencial de explotabilidad. Esta solicitud puede ser embebida en cualquier archivo aparentemente inofensivo y es difícil de evitar. 

Figura 1: Permitir acceso a Keychain

Algo que puede ser aún más preocupante, por diseño, es la solicitud de acceso a cualquier entrada del llavero. Se deja en manos del usuario decidir si esa aplicación debe permitir tener acceso, por lo que esta técnica podría ser utilizada para robar casi cualquier cosa que tenga una entrada en el llavero. Apple no se ha pronunciado tras esto, aunque podrían abordar la problemática antes del lanzamiento de OS X El Capitan.

Figura 2: Demostración del nuevo adware de Genieo en OS X

Como recomendación, los usuarios deben seguir las prácticas de seguridad y de sentido común. No descargar archivos de fuentes no confiables o desconocidas, y sobretodo, tener mucho cuidado con los correos electrónicos o sitios web que puedan parecer sospechosos.

OSX Keychain: Bug que permite realizar un DoS al llavero

El investigador Juan Sacco, conocido entre otras cosas por su kit de explotación Exploit Pack, ha publicado una vulnerabilidad sobre el Keychain de OS X. La vulnerabilidad provoca la denegación de servicio del llavero y a día de hoy no tiene solución. Hay que recalcar que la vulnerabilidad no permite ejecutar código, ni acceder a información sensible del llavero, al menos que se conozca. La vulnerabilidad permite dejar al usuario sin posibilidad de acceder al llavero, por lo que habrá autenticaciones que no podrán ser llevadas a cabo.

¿Cómo reproducir el fallo? Para reproducir el fallo y el posterior volcado de información del proceso Keychain Access hay que llevar a cabo lo siguiente:

• Seleccionar un certificado cualquiera y pulsar botón derecho "New Certificate Preference".
• Escribir en "Location or Email Address" un valor aleatorio con un tamaño de más de 9000 caracteres.
• Pulsar sobre "Add".

En la siguiente imagen se puede visualizar lo que veremos al llevar a cabo la prueba de concepto que Juan Sacco ha publicado. El investigador ha avisado a Apple sobre este error, ya que su crasheo deja al usuario sin poder utilizar las contraseñas almacenadas en el Keychain.

Figura 1: Volcado del DoS al Keychain de OS X 10.10.4

Seguiremos atentos a la evolución de esta vulnerabilidad, y veremos si Apple decide parchear pronto, aprovechando la salida de un nuevo pack de actualizaciones que ya nos debe el del 0day que permite elevación de privilegios que está usando el malware.

0day en OS X (e iOS) de "Unauthorized Cross-App Resource Access" permite que te roben las passwords

Se ha liberado un 0day, el cual ha sido encontrado por investigadores de varias universidades, que permite a un atacante acceder al keychain de OS X 10.10.3 y saltar las medidas de seguridad que implementa el sistema. El acceso al llavero es crítico, ya que aquí se almacenan los datos sensibles y contraseñas de todas las aplicaciones y sitios web que un usuario utiliza en el día a día. Los investigadores consiguieron publicar aplicaciones en la Mac App Store bypasseando los sistemas de seguridad de la Mac App Store, ya que Apple no se dio cuenta de este hecho.

Por lo que se han conseguido dos hitos por partes de los investigadores, bypassear la App Store subiendo apps maliciosas y, posteriormente, acceder al keychain del sistema y llevarse las claves. Los investigadores avisaron a Apple del fallo y publicaron este paper.

Figura 1: Paper de publicación del bug

Apple pidió a los investigadores que esperasen 6 meses cuando se pusieron en contacto para reportar el fallo, y después podrían publicar los detalles de la vulnerabilidad, aunque según indican no han recibido ningún mensaje desde Apple.  La compañía aún no ha reconocido el problema, aunque seguramente lo haga pronto, y lanzará una actualización de seguridad de OS X aplicando un parche que solucione la vulnerabilidad. El detalle de la vulnerabilidad puede encontrarse en el paper publicado por los investigadores.

Figura 2: Detección de XARA

El documento tiene cuatro puntos importantes para su lectura. El primero de ellos habla sobre el robo de contraseñas. El segundo explica las grietas que pueden encontrarse en los contenedores entre las aplicaciones, dónde una aplicación puede recuperar el contenido del almacén de datos aparentemente privado. El tercero habla de la intercepción que se lleva a cabo, lo que permite a una aplicación maliciosa secuestrar el flujo de tráfico. El cuarto habla de cómo lanzar una aplicación, OS X, para capturar los tokens de acceso u otra información. Los investigadores descubrieron que podían determinar los parámetros utilizados por cualquier aplicación en el llavero. Existe un video en el que se puede ver la prueba de concepto del robo de contraseñas.


Figura 3: Robo de contraseñas con apps maliciosas
La actualización de seguridad se espera que aparezca en un corto período de tiempo, pero tras visto lo sucedido con LastPass, y tras ver estos casos os volvemos a insistir en la necesidad de poner un Segundo Factor de Autenticación en todas vuestras cuentas. Como sabéis podéis configura Latch en OS X y en muchas otras identidades puedes poner Latch.