Fue Noticia en seguridad apple: del 4 al 17 de junio

Se acerca el verano y en Seguridad Apple continuamos investigando para traeros las mejores noticias en el ámbito de la seguridad informática. Ya ha llegado el calor, y con él nuestro Fue Noticia, la sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 5 presentándoos Fireball, un Malware que amenaza de forma global a Windows y a Mac y que ya ha infectado más de 250 millones de equipos en todo el mundo.

El martes 6 os traemos HomePod, el nuevo altavoz inteligente de Apple el cual ha generado gran polémica por cuestiones de privacidad a pesar de que Apple haya afirmado que toda la información irá cifrada y será anónima.

El miércoles os presentamos APFS, un nuevo sistema de archivos para Mac cuyas principales características son la seguridad y la rapidez. Este nuevo sistema vendrá por defecto en MacOS High Sierra.

El jueves 8 os contamos por qué no es seguro tener un pascode de 4 digitos para proteger nuestro iPhone contra ataques de fuerza bruta y os recordamos la importancia de mantener distintas contraseñas para cada funcionalidad de nuestro dispositivo.

El viernes desmentimos el rumor de que 2FA será obligatorio en iOS o MacOS. Con iOS 11 a la vuelta de la esquina han aparecido diversos rumores sobre los métodos que Apple usará para hacer sus sistemas más seguros.

El sábado 10 nos adentramos en el mundo de las Apple Store y os contamos algunos secretos y curiosidades sobre su funcionamiento y las normas que tienen sus empleados.

Para cerrar la semana os contamos como proteger vuestro Mac contra el malware por medio de la configuración de vuestros ajustes de seguridad. Tambien os recordamos la importancia de tomar medidas precautorias como el uso de un antivirus y dobles factores de autenticación.

El lunes 12 os hablamos de Share Your Wi-Fi, una nueva funcionalidad inplementada en iOS 11 que permitirá a los usuarios compartir su red wifi con los invitados de una forma mas rápida y sencilla pudiendo evitar introducir una tediosa contraseña.

El martes 13 os presentamos MacSpy, el malware que se anuncia como el spyware más sofisticado para Mac, el cual cuenta con dos versiones, una gratuita y otra de pago que es más avanzada.

El miércoles 14 os avisamos de la llegada OSX/MacRansom, un nuevo ransomware para Mac que hace peligrar los archivos de sus víctimas y se presenta como un servicio para los usuarios, sin duda esto puede ser el comienzo del Ransomware as a Service.

El jueves 15 os contamos que Apple retiró temporalmente la búsqueda de aplicaciones de 32 bits en su App Store, ya que Apple pretende dejar de soportar estas aplicaciones a partir de iOS 11.

El viernes os invitamos a la próxima Luca Talk, en la cual se hablará de cómo hacer que las redes sean mas seguras gracias al Machine Learning.

Por último, ayer sábado hablamos de la increíble fuente de alimentación del Apple II, la cual marcó toda una industria. Se puede decir que por varios factores con esa fuente de alimentación un nuevo camino y comenzó todo.

Notificaciones con aspecto de iOS 10 en iOS 9 con NotificationX

Tras la llegada de iOS 10 son notables los cambios de aspecto en el centro de notificaciones y las notificaciones en la pantalla de bloqueo. Si aún no te has actualizado a iOS 10 y dispones de una versión iOS 9 con jailbreak podrás utilizar las nuevas barras de notificaciones gracias a NotificationX Lite. Este tweak, que es la versión gratuita de NotificationX nos trae un nuevo aspecto para las notificaciones de nuestra pantalla de bloqueo.

El desarrollador ha dicho en Reddit que la versión completa, la cual costara dinero incluirá el aspecto de iOS 10 en el centro de notificaciones y barra de tareas. NotificationX también incorpora algunas acciones rápidas, a las cuales puedes acceder simplemente deslizando las alertas hacia la izquierda para acceder a los botones de acción rápida. Viendo las capturas de pantalla compartidos por su desarrollador Andrew Wiik de la aplicación nos muestran que el tweak hace un buen trabajo replicando las notificaciones de iOS 10 haciendo difícil, casi imposible darse cuenta de que no estemos utilizando iOS 10.

FIgura 1: Aspecto de las notificaciones

NotificationX está soportado en iPhone, iPad e iPod Touch con iOS 9 (con jailbreak). Puedes descargarlo desde la repo del desarrollador buscando ‘https://repo.ioscreatix.com’ desde cydia.

Fue Noticia en Seguridad Apple: Del 4 al 16 de Agosto

Una vez más, vamos con el repaso bi-semanal que hacemos en Seguridad Apple sobre todo lo que hemos publicado en este blog, además de algunos artículos publicados en otros medios que pueden ser de tu interés. Este el resumen que os hemos preparado con todo esto y que os traemos hoy 16 de Agosto de 2015.

Comenzamos el lunes 4 de Agosto con la configuración un poco paranoica de tu iPhone. Con una confinación de fortificación de funciones con la pantalla bloqueada, Touch ID y el modo No Molestar, puedes tener un terminal iPhone listo para que solo lo puedas utilizar tú.

El martes de esa semana le dedicamos la entrada a Thunderstrike 2, un malware para equipos Mac de Apple que infecta el firmware de los equipos con un simple programa con ejecución a nivel de usuario y que se puede propagar a través de los dispositivos periféricos conectados a él. Cuidado.

El día siguiente vimos como empezaba a explotarse en campañas de malware el bug de DYLD_PRINT_TO_FILE que permite la elevación de privilegios como root a cualquier programa. Dicho bug no sería corregido hasta la llegada de las actualizaciones el viernes 14 de Agosto.

Lock Saver Free de Cydia

El jueves 7 de Agosto tocó hablar de Lock Saver Free, un tweak de Cydia que apareció con adware agresivo. El debate se abrió una vez más entre los creadores de tweaks a favor del jailbreak, y los que se encuentran a favor de no romper el Code-Signing de Apple.

El día siguiente hablamos de cómo funcionaba la herramienta TAIG para OS X que permite hacer Jailbreak a dispositivos con iOS 8.3 e iOS 8.4. La versión de la herramienta estaba disponible antes solo para Windows.

El sábado hablamos de OS X 10.10.5 en beta, donde se podía ver que Apple había decidido parchear el bug de DYLD_PRINT_TO_FILE. Eso sí, habría que esperar aún una semana más para que se liberara la versión final de esta versión.

El domingo pasado le dedicamos la entrada a celebrar que este blog, Seguridad Apple, cumplía 5 años. Cinco años de vida con un trabajo diario para intentar aportaros algo de ayuda en vuestro paseo por la red. Gracias por estar ahí.

Ya esta semana, el lunes, la entrada se la dedicamos a un detalle de Bad@ss, el malware para Mac OS X en la pasada BlackHat. En este caso a cómo esta prueba de concepto era capaz de saltarse una herramienta de seguridad como BlockBlock en OS X de forma sencilla.

Al día siguiente, hicimos un recorrido más largo de todas las capacidades de Bad@ss malware, para que todo el mundo pudiera conocer los detalles de esta prueba de concepto de altísima calidad para realizar malware en OS X.

Bug en Keychain de OSX para DoS

El miércoles la entrada fue para el nuevo paquete de actualizaciones de Adobe, con 35 bugs de seguridad arreglados en sus productos. Adobe no consigue frenar la escalada de fallos de seguridad que le están llevando a desaparecer de Internet y ser sustituido por HTML 5 en las principales webs.

El 13 de Agosto hablamos de un bug en el KeyChain de OS X que puede producir una denegación de servicio en el equipo si es explotado. Este bug inutiliza que el usuario pueda hacer uso de las credenciales guardadas en él.

El viernes tocó hablar de las actualizaciones de Apple, primero de iOS 8.4.1 que además de solucionar más de 70 fallos de seguridad se encargaba de cerrar los bugs explotados para hacer jailbreak, por lo que a día de hoy no es posible liberar los terminales con iOS 8.4.1.

Al mismo tiempo, Apple ponía en circulación actualizaciones para OS X 10.10.5, los Security Update 2015-006 para la versiones anteriores de OS X, nuevas versiones de Apple Safari 8.0.8, Apple Safari 7.1.8 y Apple Safari 6.2.8, además de actualizar XServer a la versión 4.5.1.

Para acabar este resumen, ayer sábado le dedicamos la entrada a repasar cómo el equipo de creación de software de espionaje Hacking Team, tenía versiones falsas de las principales apps de iOS para realizar el ataque Masque e infectar los terminales iPhone e iPad de sus víctimas.

Y esto ha sido todo lo que hemos publicado, pero como siempre, os dejamos una lista de blogs y noticias en otros medios que creemos que pueden ser de vuestro interés. Estas son las que hemos seleccionado esta vez para todos vosotros.

- A fondo algunas funciones avanzadas de la API de Latch: El servicio de Latch no para de crecer, y día a día se van incorporando nuevas funcionalidades. En este ejemplo os enseñamos como se puede crear operaciones de forma dinámica mediante la API y como crear credenciales para una API de usuario. 

- Anuncio de Apple Lisa de 1983: "En el futuro habrá dos tipos de personas, aquellos que usan computadores y esos que usan Apple". Como ha cambiado la informática en estos 32 años 

Anuncio de Apple Lisa de 1983

- Seguir el rastro a los adwares por sus API Keys: Explicación de cómo utilizando las capacidades de búsqueda de Tacyt, es posible seguir el rastro a las cuentas de los adwares en el mundo Android. En este caso, correlando los valores que utilizan en sus API Keys. 

- GCat, un backdoor escrito en Python que usa Gmail como C&C: En Hackplayers siempre nos traen herramientas y cosas frescas. En esta ocasión un trabajo que permite controlar un bot en una máquina infectada escribiendo mensajes a una dirección de correo en Gmail. 

- Apple soportará Windows 10 en la nueva versión de BootCamp: Con el lanzamiento final de Windows 10 se espera que muchos migren a él, incluidos los usuarios que utilizan Apple BootCamp, así que Apple ya está preparado para ello. 

- Todos los papers del USENIX 24th: Ha tenido lugar esta semana en Whashington D.C. y el material ha sido publicado. Nuestros compañeros de Cyberhades nos lo han recogido. 

- Descubrir y escanear dispositivos IoT con un drone: Las tecnologías de IoT pueden ser muy diversas en cuanto a sus protocolos y arquitecturas. Unos de los protocolos utilizados en redes de sensores es ZigBee, con este drone se pueden escanear los dispositivos y descubrir sus estados. 

- El señor de las clases: Un bug en Android permite a una aplicación atacar la sandbox de otra y sustituirla por una maliciosa.

Y esto fue todo. Esperamos que tengáis un buen domingo de Agosto y que nos volvamos a ver dentro de dos semanas en esta misma sección y cada día en los artículos que publicamos con dedicación hacia vosotros en Seguridad Apple.

Armas con Inteligencia Artificial amenazan a la humanidad

¿Acabará la IA con el hombre?

Ya ha comenzado la carrera mundial por realizar armas que tengan inteligencia artificial, según se puede saber a través de una carta abierta firmada por más de 1000 investigadores expertos en el campo de la IA, Inteligencia Artificial, académicos y otros científicos de la computación. La carta ha sido firmada por figuras de un perfil alto, incluyendo al físico Stephen Hawking, el director ejecutivo de la empresa Tesla, Elon Musk y el cofundador de Apple Steve Wozniak.

En la carta argumentan que la IA ha llegado a un punto en el cual su participación en armas robóticas es factible en pocos años.  Las armas autónomas se describen en la carta como las que son capaces de seleccionar y atacar objetivos sin intervención del ser humano. Esto incluye, por ejemplo, quadcopters armados que buscan y eliminan objetivos que cumplen con los criterios predefinidos. La carta fue presentada en la Conferencia Internacional de IA en Buenos Aires, y sostiene que hay ventajas a la sustitución de los soldados humanos con máquinas, pero que al hacerlo se podría romper un umbral.

Figura 1: Carta abierta sobre armas autónomas

Este tipo de armas puede ser tratado como una tercera revolución en el ámbito de la guerra, después de la pólvora y las armas nucleares. En la conferencia se dijo:

"Si alguna potencia militar sigue adelante con el desarrollo de armas con IA, la carrera mundial que ha comenzado es inevitable, y el punto final de esta trayectoria tecnológica es obvia: las armas autónomas se convertirán en los Kalashnikovs de mañana." 

En la carta se pinta un panorama sombrío del futuro y afirma que las armas autónomas, inevitablemente, están abiertas a la explotación. Sólo será cuestión de tiempo hasta que el mercado aparezca, por lo que si este tipo de armas caen en manos de terroristas la humanidad puede tener un serio problema.

Despiezando el Apple Watch y su primer "Jailbreak"

Hoy nos llega una noticia interesante y es que un grupo de investigadores han despiezado el Apple Watch y han estudiado su interior. El análisis técnico detallado por la gente de Chipworks es amplio y con mucha información detallada. Lo primero que se analiza es el mercado dónde este gadget debe explotar, y es un mercado en el que los relojes inteligentes tienen mucho recorrido, aunque los relojes que preceden al de Apple han tenido una tasa de abandono grande, por lo que se plantea una misión compleja. 

Entrando ya en el detalle técnico, el dispositivo cuenta con una gran cantidad de silicio en el dispositivo. La radiografia realizada del dispositivo puede verse en la siguiente imagen, es cierto que el silicio abunda, pero el diseño que Apple tiene con sus dispositivo hacen que la estética resalte hasta en el interior del dispositivo.

Figura 1: Despiece del Apple Watch

El giroscopio y acelerómetro que se encuentra en la esquina superior izquierda del dispositivo es un STMicroelectronics land grid array LGA con un giroscopio y aelerómetro 3D digital. El sensor para aceleración y giroscopio tiene 6 ejes, lo cual es la primera vez que se un sensor de este tipo en un producto de Apple. En el iPhone 6 y 6 plus no se llega a esta capacidad. De esta manera es un punto a favor para el reloj.

Figura 2: Giroscopio y acelerómetro

Otra de las sorpesas que se puede ver en el despiece del reloj es el socket del controlador de la pantalla táctil capacitiva. Se puede ver marcas que indican AD7166 e investigando un poco por el sitio de este proveedor vemos que es Cortex M3 Based Cap con fecha de Abril de 2015. Otro elemento diferenciable en el reloj es Texas Instruments OPA2376, poco ruido y baja corriente.

Figura 3: Texas Instruments OPA2376 Precision

El S1 compone el núcleo del reloj y esto viene sellado. Dentro de este paquete encontramos catalogados más de 30 componentes. Algunos de estos componentes contienen múltiples elementos, como por ejemplo la matriz DRAM, el controlador NXP NFC o la radio. Al menos 30 piezas de silicio, todo en un paquete con un tamaño de 26mm x 28mm. Todo un logro por parte de Apple.

Figura 4: Paquete S1 con más de 30 elementos

Tras el despiece, nos ha llegado otra noticia que tratar sobre el Apple Watch y es que está suscitando mucho interés entre muchos investigadores. Esto queda reflejado en la persona de Nicholas Allegra, más conocido como comex dentro de la comunidad Jailbreak. Nicholas compartió un video en Twitter en el que muestra un navegador web ejecutándose sobre el reloj de Apple.

Figura 5: Apple Watch con Jailbreak

El video de quince segundos muestra como Nicholas amplia en un navegador la página principal de Google en el reloj de Apple. La funcionalidad es limitada debido, lógicamente, al tamaño de la pantalla y la falta de un teclado en pantalla. Comex no ha dado muchos detalles sobre el Jailbreak al dispositivo, pero es una más que interesante prueba de concepto, alimentando la posibilidad de un Jailbreak en el Apple Watch.

Apple no da tu Apple ID a nadie sin Clave de Recuperación

El pasado Marzo de 2013 Apple presentó la verificación en dos pasos, más conocido como segundo factor de autenticación, con el que querían proporcionar una capa extra de seguridad adicional para los Apple ID. Esta funcionalidad se ha seguido expandiendo con el tiempo por diversos países, llegando al gran iCloud en el pasado mes de Septiembre. Esto fue después de que el CEO de Apple, Tim Cook, se comprometiese a ampliar el uso de sus sistema de autenticación en dos pasos a raíz del incidente de las celebrities.

El sistema requiere que el usuario tenga un dispositivo de confianza que se utiliza para verificar la identidad de un usuario, además se proporciona un código de seguridad extra denominado "clave de recuperación" que debe ser conservado a todas todas, ya que como avisa Apple, si n él no se puede recuperar la contraseña. Un usuario, llamado Owen Williams, ha comprobado que esta key recovery tiene el potencial de bloquear completamente a una persona de su cuenta si la pierdes. Williams detectó que alguien había intentado hackear su cuenta de iCloud. El sistema bloqueó la cuenta ante el intento de hackeo. Cuando Williams fue a iForgot, que es el sistema de recuperación de Apple, se encontró que era redirigido al documento de soporte de Apple. Williams explica:

"cuando me dirigí al servicio de recuperación de cuenta, denominado iForgot, descubrí que no había manera de volver a tener la cuenta sin mi clave de recuperación. Entonces me dí cuenta de que no sabía dónde estaba mi clave de recuperación, o incluso, si alguna vez la puse en un papel". 

Figura 1: Clave de recuperación

Williams sostiene que hizo una captura de pantalla de la clave de recuperación, y que incluso la imprimió, incluso haciendo una fotografía con su iPhone. Williams llamó a Apple y comentó su caso indicando que había perdido su clave de recuperación, pero Apple contestó que no había manera de que pudieran ayudarle.  Cuando Williams volvió a llamar, Apple le indicó que ellos se tomaban muy en serio la seguridad de sus usuarios y que no podían otorgarle acceso a la cuenta de Apple, mientras le recomendaban que crease un nuevo Apple ID. Después de un par de días más hablando con atención al cliente de Apple, e incluso con amigos que trabajaron en Apple, siguió recibiendo las mismas respuestas. 

Apple exponía una y otra vez que la cuenta había sido bloqueada debido a que alguien intento acceder a ella y solo se podría abrir con la clave de recuperación, aunque el documento de soporte de Apple indica que también podría recuperarse a través de un dispositivo de confianza, el cual Williams sí disponía. Finalmente, Williams encontró su clave de recuperación en lo que él llamó las profundidades de una copia de seguridad de Time Machine, con lo que pudo desbloquear la cuenta. 

Owen Williams concluye con una advertencia, cualquier persona con la autenticación de dos factores debería tener mucho cuidado en la protección y recordar dónde almacenan sus claves de recuperación, ya que la pérdida de ésta podría bloquear permanentemente un usuario. Apple no puede hacer nada por ayudar, lo que parece una buena lección aprendida después de que Mat Honan fuera hackeado debido a que un Apple Genius entregara su clave vía soporte.

CurrentC, un competidor de Apple Pay, ha sido hackeado

Sistema de pagos móviles CurrentC

Los participantes del programa piloto han anunciado que existen posibles brechas de seguridad en el competidor de Apple Pay denominado CurrentC. Este es un popular sistema de pago que compite con Apple y Google. Este miércoles se anunció que había sido hackeado y que los datos de algunos usuarios pueden haber sido filtrados. CurrentC proporciona tecnología a otros proveedores e implementa ciertas funcionalidades pero no de todas. Cuando un proveedor utiliza otros componentes que no están bajo su control se transfiere el riesgo y la preocupación es que si CurrentC es hackeada pueda afectar a otros sistemas.

MCX es la compañía que se encuentra detrás de CurrentC y enviaron el anuncio este miércoles, revelando que sus sistemas de seguridad fueron vulnerados por terceros sin autorización. La compañía ha indicado que sus investigaciones sobre el hecho sugieren que se obtuvieron direcciones de correo electrónico sólo de los usuarios, pero no se tiene toda la información para poder afirmar al 100% este hecho. 

El sistema se ha encontrado en el medio de una polémica que existe entre los sistemas de pago de Google y de Apple. La polémica surgió porque los que participan en CurrentC tienen prohibido ofrecer sistemas de pago móviles alternativos. Recientemente, se ha lanzado Apple Pay permitiendo a los usuarios utilizar sus datos de tarjetas en cualquier instante. También es compatible con la tecnología basada en NFC tap to pay, que ha sido ofrecida por los chicos de CurrentC durante años con servicios existentes en Google Wallet.

Figura 1: Promoción del sistema de pagos móviles Currentc

MCX se defendió en su blog con una entrada en la que matizó que los datos sensibles del cliente se guardan en el cloud, en lugar de en el smartphone de un usuario. MCX sigue insistiendo en qué sus servidores son seguros y que el problema no ha sido provocado por inseguridad en sus servidores. A continuación os dejamos el contenido de lo que la empresa MCX comunicó el pasado miércoles:

Gracias por el interés en CurrentC. Usted está recibiendo este mensaje porque usted es participante de nuestro programa piloto. Dentro de las últimas 36 horas, nos hemos visto involucrados ante un ataque de terceros no autorizados que han obtenido direcciones de correo electrónico de algunos de ustedes. Sobre la base de la investigación que se está llevando a cabo por el personal de seguridad de MCX, sólo estas direcciones de correo electrónico fueron involucradas y ninguna otra información sensible.

En un exceso de precaución, hemos querido hacerle consciente de este incidente y le instamos a no abrir enlaces o archivos adjuntos de desconocidos. También saben que ni CurrentC ni MCX le enviarán correos electrónicos solicitando su cuenta financiera, número de seguridad social u otra información de identificación personal. Así que si se diera este hecho, usted puede estar seguro que no somos nosotros.

MCX continua la investigación sobre esta situación y proporcionará actualizaciones según sea necesario. Nos tomamos la seguridad de su información muy en serio, disculpen las molestias y gracias por su apoyo. 

Seguiremos atentos a la evolución de la noticia, aunque lo que tenemos claro es que los pagos a través de estas plataformas proporcionarán grandes noticias en un corto período de plazo.

Personal de Seguridad detenido por protestas en Apple Store

La policía arrestó a una docena de activistas de la tienda Apple Store de la calle Stockton en San Francisco. En este lugar se celebraba una sentada en protesta por los bajos salarios y las malas condiciones de trabajo de los guardias de seguridad de Apple y otras compañías tecnológicas. La protesta fue organizada por SEIU, Service Employees International Union. Los manifestantes se encontraban molestos con la SIS, Security Industry Specialists. Esta organización se encarga de contratar los servicios de seguridad para muchas empresas tecnológicas americanas.

Los manifestantes comunicaban que con las grandes cantidades económicas que están consiguiendo empresas como Apple, ellos no se sienten parte de todo esto. En Estados Unidos ya se ha hablado de un problema cada vez con más eco, y es el de la diversidad de problemas que está creando la tecnología en Silicon Valley. Se publicó un informe dónde se trata el problema que se va expandiendo a Estados Unidos.

Figura 1: Protestas en frente de un Apple Store

El informe comenta lo siguiente:

La falta de acceso a empleos de alta gama y la falta de salarios adecuados en empleos de servicios contratados tienen un profundo impacto. Existen una gran brecha que sigue creciendo entre la región de ricos y todos los demás.

SIS ha respondido que sus trabajadores se encuentran entre los mejor pagados de la empresa, diciendo que todo esto ha sido un boicot o una campaña institucional dirigida por SEIU. Kayla Gordon que es ex guardia de seguridad de SIS, la cual ahora trabaja como organizador de SEIU, dijo que ella ganaba 15 dólares por hora en SIS, lo cual hacia que tuviera pocos beneficios.

Figura 2: Vídeo donde se explican los motivos de la protesta

Gordon también comentó que ellos son invisibles para el resto de la empresa, y que están protegiendo sus productos, los cuales hacen que organizaciones como Apple funcionen y vendan. En el video se puede ver a Gordon hablando sobre lo sucedido.

China prohibe comprar terminales Apple con dinero público

Aunque Apple tenga el 80 por ciento del mercado de Smartphones de gama alta en China, el gobierno Chino ha decidido prohibir y declarar los productos de la empresa de Cupertino como de no gratos. La cuestión está en que China no utilizará dinero público para comprar este tipo de productos, por lo que los dispositivos tecnológicos que se compren con dinero público orientado a un uso por parte de gobierno o funcionarios serán de otros proveedores y NO de Apple. La Comisión de Desarrollo y Reforma Nacional y el Ministerio de Finanzas ha publicado un listado indicando que los productos de Apple no son gratos cuando se trata de dinero público.

La razón proporcionada son los problemas de seguridad a raíz del presunto ciberespionaje. Mark Po, analista de Kay Hian comenta como citan en Financial Post: "Cuando el gobierno detiene la adquisición de productos de Apple, nos está enviando una señal a las empresas y organismos semi-gubernamentales". Lo que Mark Po hace entrever es que el gobierno puede conocer datos sobre el posible ciberespionaje y que las empresas y otros organismos deben fijarse en esta posición. Esto podría repercutir en las ventas de los productos de Apple en China, ya que si el mundo empresarial y los organismos semi-gubernamentales optan por la decisión del gobierno los resultados en Asia por parte de Apple pueden variar y mucho. 

Figura 1: Falsa tienda Apple Store en China que fue descubierta

Esto puede ser sorprendente en un país donde no solo se fabrican y falsifican los terminales Apple, sino que además se han falsificado hasta las tiendas Apple Store completas. El gobierno chino quiere asegurar con esta medida que las empresas extranjeras como Apple no tienen un impacto grande en el devenir del país. Esto no es nuevo, ya que en Mayo de este año el propio Microsoft se sorprendió de que Windows 8 fuera excluido de las compras del estado por razones similares.

Todo esto viene acompañado de la polémica entre el gobierno chino que acusó a Apple de que el software del dispositivo podría filtrar secretos de estado. China declaró una "guerra" a Apple debido a esto. Rusia también desconfía y solicitó recientemente el código fuente del sistema operativo de los iPhone a Apple. A Apple también le ha pasado esto en algunos países de Europa como Alemania y Reino Unido, en los que a los miembros del Parlamento se les ha prohibido su utilización, precisamente por temor a posibles filtraciones.

Cerca de aparecer una nueva Ley para el Unlock en EEUU

Existe la posibilidad de que una Ley para tratar el desbloqueo de dispositivos móviles se haga realidad, aunque puede conllevar una trampa. El proyecto de ley para el derecho de los consumidores a desbloquear sus teléfonos móviles está cerca de convertirse en Ley. De momento, es una medida provisional, y el Congreso aún tiene que tomar la decisión que la convierta en realidad. La Ley es la S517, también conocida como la Ley de elección del consumidor a desbloquear y competencia inalámbrica en temas móviles.

Se puso por primera vez ante el Congreso en 2013, como una respuesta del Congreso a los cambios  que implica la DMCA (Digital Millennium Copyright Act). Por varias razones, el desbloqueo del dispositivo móvil cae en el ámbito de la DMCA. En principio el congreso evalúa las prohibiciones de la DMCA cada tres años, y de 2006 a 2012, se permitió a los teléfonos celulares ser desbloqueados de su proveedor original después de que el contrato original entre el cliente y el proveedor expirase. Es en 2012, cuando se cambió de opinión y se decidió que la regla no se aplicaría a los nuevos teléfonos comprados después del 26 de Enero de 2013. 

Este cambio de actitud provocó un gran revuelo en la sociedad, y en forma de protesta se creó una petición insistiendo que el Congreso debía cambiar de opinión. Los usuarios que por cuestiones de trabajo viajaban mucho, tenían el problema de no disponer de sus terminal en algunos países debido a la incompatibilidad de operadoras. Otros usuarios que se quejaron fueron los que adquirían smartphones de segunda mano.

Figura 1: GeoHotz, el primer hacker en hacer unlock a iPhone

El gobierno de Obama ha estado a favor de permitir el desbloqueo, y la FCC, bajo la dirección de su presidente Tom Wheeler, ha presionado a la industria de las telecomunicaciones para hacer que el desbloqueo menos costoso. La industria ha cumplido con un acuerdo voluntario, pero la FCC pide una mayor flexibilidad con este asunto. Un ejemplo es el de que las compañías permitan a los clientes desbloquear sus dispositivos móviles en cualquier momento durante el contrato que tengan con ellos, aunque el contrato se deberá cumplir.

Sina Khanifar, el organizador de la petición, dice que este es un aspecto crucial del debate. Sina indica que si alguien ha comprado un dispositivo móvil, el propietario debería ser capaz de hacer lo que quiera con él. Un punto distinto sería si hubiera alguna claúsula en el contrato con el operador dónde se indique que no se puede liberar, pero si no existe tal claúsula, el cliente tiene total libertad con su dispositivo. 

El mayor obstáculo sigue siendo, el Congreso y el gusto por revisar periódicamente las normas de la DMCA. Las reglas de la DMCA permiten, lo cual es muy sorprendente, realizar jailbreak a un dispositivo. El dispositivo móvil tendrá una re-evaluación en 2015, podría haber cambios por petición popular, la pelota está en el tejado del Congreso de los EEUU.

Fue Noticia en Seguridad Apple: del 7 al 20 de Julio

Tras dos semanas llenas de importantes noticias en el mundo de la seguridad relacionadas con los productos y servicios de Apple, es el momento de hacer una pausa y recapitular. Como siempre, en la sección Fue Noticia en Seguridad Apple os ofrecemos un rápido vistazo a los contenidos más destacables que se han publicado en este blog y algunas referencias de otras noticias durante las últimos catorce días.

El lunes 7 de Julio os dejamos un ejemplo de cómo emplear la tecnología Touch ID en el popular gestor de contraseñas 1Password, siempre que dispongamos de un iPhone 5S con iOS8. De esta manera, la aplicación se vuelve más usable.

Al día siguiente la noticia que nos ocupó fue la liberación de la iOS 8 Beta 3 para desarrolladores, que permite probar un gran número de características nuevas. Conjuntamente fue liberada una nueva versión preview de OS X Yosemite, la 3.1.0.

Un tema controvertido protagonizó el post del miércoles 9. Apple se ha visto obligada a cambiar su política de reembolsos en la App Store a raíz de una sentencia desfavorable dictada por la comisión de comercio de Corea del Sur, que afecta también a Google.

El jueves hablamos de KeePassX, un potente gestor de credenciales especialmente útil para ser utilizado en departamentos de IT de entornos corporativos, debido a sus grandes ventajas en términos de seguridad y eficiencia.

Una nueva actualización de iTunes, la 11.3, fue en lo que se centró el post del viernes 11. A parte de añadir nuevas características para las películas en HD, se han solucionado bugs de seguridad derivados del uso de librerías de terceros en versiones anteriores de iTunes.

Una de las noticias de la semana fue la publicación de la Rosseta Tool, la herramienta de Michelle Spagnolo utilizada para convertir ficheros SWF en caracteres alfanuméricos para explotar JSON endpoints vulnerables. La respuesta de Apple ante semejante vulnerabilidad fue la protagonista de nuestro post del sábado.

Para cerrar la semana os presentamos una nueva funcionalidad que puedes ser controlada desde el servicio Latch, que fue publicada en el blog de Eleven Paths. Con este sistema es posible controlar la conexión y desconexión de dispositivos USB conectados al equipo, con lo que se pueden prevenir y mitigar ciertos tipos de ataques derivados del uso de dispositivos USB, como pendrives o webcams.

El lunes publicamos un post recomendando tres extensiones especialmente útiles para Google Chrome, que permiten analizar las tecnologías de servidor que nos encontramos al navegar. Dichas extensiones son Shodan Extension, Wappalyzer, y ChromeBleed Checker.

El martes informamos de una grave vulnerabilidad que afecta a la aplicación de Gmail para iOS. La aplicación no realiza Certificate Pinning, es decir, no verifica correctamente los certificados, lo que expone la comunicación.

A mitad de semana, una notica sorprendente se hizo hueco en nuestro blog. China puso en entredicho a Apple, acusando a la funcionalidad Frequent Locations del iPhone de ser una potencial fuga de información capaz de comprometer gravemente la seguridad del país.

El post del jueves presentó una aplicación para, literalmente, ser más productivo al trabajar. Se trata de Freedom, una herramienta que desconecta al usuario de OS X de Internet de forma temporal, para evitar distracciones.

El viernes hablamos de la decisión de Apple de introducir la Verificación en 2 pasos en los países de de centro y sudamérica. Sin duda, una buena noticia para los usuarios de Apple de esos países.

Por último, ayer sábado la noticia fue para la implementación TLS que Apple ha añadido a las comunicaciones entre servidores de correo iCloud y Me.com, lo que hace que todos los correos electrónicos servidos entre ellos sean ahora cifrados en tránsito, algo que antes no sucedía.

Hasta aquí todo lo publicado en Seguridad Apple, pero como siempre os vamos a dejar una lista de otras noticias y artículos que os recomendamos leer, ya que consideramos que os van a complementar la lista de cosas que han sucedido durante este periodo:

- Publicación del SDK de Latch para Node.js: Este viernes, en el blog de Eleven Paths, se publicaba la disponibilidad de Latch para Node.js, una tecnología que se ha vuelto mainstream en Internet. Ahora ya se puede usar Latch en ella. 

- Transmisión de datos con impulsos en el magnetómetro: Curioso trabajo del mundo académico que demuestra cómo es posible enviar datos a través de un canal paralelo en los dispositivos móviles usando una placa que inyecta impulsos medibles con el magnetómetro de los smartphones. 

- El Ministerio del Interior anuncia el uso de e-Garante para la denuncia de contenido ilícito en Internet: A partir de ahora cuando alguien encuentre contenido delictivo en la red podrá denunciarlo haciendo uso de la tecnología de e-Garante incluida en el sitio de denuncia de la Guardia Civil. 

- Europa piensa que Apple no está esforzándose en arreglar in-App Purchase: Muchas son las apps que cobran por contenido dentro de la app y a Europa no le gusta el tipo de protecciones que Apple está implementando ahora para evitar el abuso en las ventas sin control. 

- Nuevas fotos del sensor de Touch ID en iPhone 6: Estas fotos muestran ligeras modificaciones en la forma en la que Apple va a dar soporte hardware a esta tecnología. 

- Google avisa ahora cuando el contenido tiene Flash: Y por lo tanto no se podrá ver correctamente en iPhone o iPad, algo que ayuda a mejorar la experiencia en el contenido que puede accederse desde ese dispositivo. 

- Si usas Endomondo en iPhone, cuidado con la privacidad: Las rutas que realizas quedan publicadas por defecto en la web, y los ladrones podrían conocer tus rutinas y dónde vives para perpetrar un robo a tu vivienda. Además, publicar el ritmo cardiaco podría suponerte problemas en tu vida en el futuro. 

- Un niño es diagnosticado "alérgico al iPad": Debido a la cantidad de nickel que contiene el dispositivo, a un niño le generar reacciones alérgicas y no puede usarlo. 

- Los gestores de passwords suspenden en seguridad: Un informe refleja que los gestores de contraseñas más populares adolecen de fallos de seguridad graves, algo que es contradictorio. 

- Google 36 corrige 26 bugs de seguridad: Actualiza tu navegador en OS X lo antes posible, para evitar ser atacado por algún exploit que saque partido de ellas.

Y hasta aquí todo lo que teníamos pensado para esta sección. Esperemos que os entretenga un rato este domingo y que os podamos a ver dentro de dos semanas en esta sección y desde mañana mismo en todos los artículos que publicamos en Seguridad Apple.

Fue Noticia en Seguridad Apple: 26 de Mayo al 8 de Junio

Como hacemos desde hace mucho tiempo, cada dos semanas volvemos a traeros una recapitulación de todos los posts que hemos ido publicando durante este periodo junto con algunas noticias de otros blogs que debéis leer, para ofreceros un rápido vistazo a la más reciente actualidad de los productos de Apple y su seguridad. Vamos con ello desde el lunes de la semana pasada.

En primer lugar, una noticia sorprendente para comenzar la semana del 26 de Mayo, algo impropio de una compañía del calibre de Apple. Por un despiste, uno de los certificados de los servidores utilizados para Software Updates caducó, provocando una vulnerabilidad fácilmente explotable.

Un día después anunciábamos la nueva aplicación publicada por Virus Total, disponible para OS X: el Virus Total Uploader para OS X, que permite de forma cómoda subir archivos sospechosos para que sean analizados por los motores antimalware.

El miércoles, los dispositivos Apple de miles de usuarios neozelandeses y australianos fueron hackeados de forma masiva por un hacker supuestamente llamado Oleg Pliss. Valiéndose de las credenciales de iCloud sustraídas a las víctimas, Pliss bloqueó los dispositivos reclamando un pago para liberarlos al estilo del ransonware.

El día 29 aprovechamos para presentar una herramienta disponible para OS X, You'll Never Take Me Alive (YoNTMA), que está orientada a impedir ataques de arranque en frío (Cold Boot) o ataques de Acceso Directo a Memoria.

El viernes os enseñamos cómo desplegar OS X Server como plataforma para Mobile Device Management, a través de un completo vídeo tutorial en el que la empresa de formación QA explica los pasos de configuración a seguir.

El sábado 31 anunciamos la más reciente actualización de Apple, que afecta a las versiones de OS X con Java 6. Dicha actualización soluciona los bugs encontrados para las versiones OS X Mavericks, OS X Mountain Lion y OS X Lion.

Junio comenzó con la liberación de una nueva versión de iTunes, la 11.2.2, que arregla bugs relacionados con los podcasts, además de ser notablemente más estable.

En respuesta al abandono de TrueCrypt, aprovechamos el lunes 2 para ofreceros una serie de alternativas para cifrar datos en Mac OS X, como por ejemplo dispositivos USB que cifran a nivel de hardware o software comercial como PGP.

Siguiendo con el cifrado, el martes profundizamos en una de las herramientas presentadas el día anterior, AESCrypt, que como es de esperar, utiliza un cifrado AES. Es muy sencilla de utilizar, ya sea a través de su interfaz o de la línea de comandos.

Tras el sonado anuncio de OS X 10.10 Yosemite e iOS 8, el miércoles hemos revisado las principales novedades de seguridad en iOS 8 que incluye el nuevo sistema operativo móvil de Apple, como su TouchID por app o la gestión del consumo de batería por app.

El jueves de esta semana nos paramos a revisar las opciones de Domótica y de e-health que proporciona iOS 8, junto con el nuevo lenguaje de programación, llamado Swift. Una breve visión de lo que deberíamos esperar de ellos.

El viernes el post se lo dedicamos a los nuevos bugs de seguridad críticos que se han conocido en OpenSSL, que esta vez afectan más de lleno a los productos Apple, ya que tanto OS X como AirPort Base Station se ven afectados.

Por último, ayer sábado le dedicamos la entrada a Hazy para OS X, una sencilla app que permite ofuscar código JavaScript, HTML y PHP con solo hacer drag and drop del fichero a ofuscar dentro de ella.

Esto ha sido todo lo que hemos publicado en este periodo en Seguridad Apple, pero como ya venimos haciendo desde hace meses, vamos a seleccionaros un conjunto de entradas que no debéis perderos para estar mucho mejor informado.

- Vídeo de la KeyNote en el Apple WWDC 2014: Para que puedas ver todas las novedades que allí se presentaron. Está disponible en la web de Apple. 

- Google propone un juego de XSS para aprender: Con solo seis niveles, y sin excentricidades técnicas, la empresa del coche que anda solo y las gafas que dan dolor de cabeza propone un pequeño reto para jugar con el Cross-Site Scripting. 

- Reacciones de niños con una antigua computadora Apple: "Esto es aburrido". No os perdáis los comandos que los pobres introducen por medio del teclado. 

- Apple confirma que no hubo hackeo de iCloud: Se referían al esquema de ransomware propuesto por Oleg Pliss, que parece que fue más por duplicidad de passwords en algún servicio que por otra cosa. La estafa se extendió a otros muchos países. 

- Opera 22 para OS X: Se ha publicado una nueva versión del popular web browser con muchas novedades, por supuesto, hay versión para OS X. 

- Latch para Ubuntu y Open-Xchange: Desde Eleven Paths se ha publicado en este periodo una actualización de plugins para utilizar el servicio de Latch. En este caso para sistemas Ubuntu y para sistemas de correo Open-Xchange. 

- Malware español en la Google Play: Análisis de una app llamada Funtasy que es una pieza de malware realizada en España y que está orientada a hacer una estafa con SMSs. 

- Según el New York Times, la NSA está recogiendo caras: Podría estar recogiendo caras de todos los internautas para tener un sistema de reconocimiento de personas por medio de selfies para saber dónde está cualquier persona del mundo. 

- Utilizar la cámara de un smartphone para generar números aleatorios: La generación de números aleatorios en un sistema es fundamental para tener sistemas criptográficos seguros. Un trabajo proponer utilizar un haz de luz captado por la cámara de un smartphone para conseguir números completamente aleatorios. 

- Usando el nuevo lenguaje de Apple Swift, un desarrollador crea un clone de Flappy Bird en horas: Solo como forma de promocionar su curso de desarrollo de juegos. Debe ser bueno, seguro.

Y esto esto todo. Esperamos veros dentro de dos semanas en esta misma sección y todos los días en los artículos que publicamos en Seguridad Apple.

Sale Apple XCode 5.1.1 con solución de bugs pero sin CVEs

Apple ha liberado el pasado jueves la última versión de XCode 5.1.1 solucionando algunos errores que habían sido reportados y aplicando mejoras de estabilidad a la herramienta de desarrollo apps iOS y de aplicaciones para OS X de Apple.

Sobre las correcciones llevadas a cabo en la actualización la más importante es la de que se marca como erróneas las pruebas unitarias que realmente si habían pasado las pruebas. El resto se puede resumir en:

• Otro bug corregido es el código errático introducido por el compilador en determinadas circunstancias, en otras palabras ha mejorado la generación de código.
• Otros errores solucionados eran un problema en el componente Interface Builder y como éste mostraba ciertas cosas.
• Se corrigió un fallo en el código compilado cuando se hacía uso de iOS 5.1.1.
• Corrección de otros errores en el compilador. 

Para llevar a cabo la instalación de la actualización se puede utilizar la vía de "Actualización de Software", en el caso de disponer de una versión antigua del sistema operativo, OS X Lion o anteriores. En este caso la actualización será de unos nada despreciables 2,18 GB. Si dispones de un sistema operativo superiror al indicado podrás obtenerlo a través de la Mac App Store.

Hacking en Android e iOS: Exploits que valen su bug en oro

Ya hemos hablado con anterioridad sobre los concursos de hacking dónde las empresas ofrecen recompensas por romper su seguridad. Hace pocas semanas se pagaron 117.500 dólares por comprometer la seguridad de dispositivos móviles con iOS. El mayor de los tres premios fue de 50.000 dólares pagado a Pinkie Pie, un hacker de 21 años, que ya ha recogido dos grandes recompensas en los últimos 19 meses. Sus acciones anteriores explotaban vulnerabilidades en el navegador Google Chrome, en el que conseguía control total del equipo, ejecución de código arbitrario, con simplemente visitar un sitio web con código malicioso.

En el concurso Pwn2Own Mobile de 2013 que ha finalizado hace un par de semana, se descubrieron ataques contra Google Chrome en Android para conseguir ejecutar código en terminales como Nexus 4 o Samsung Galaxy S4. Lógicamente, Google Chrome implementa como los navegadores modernos, medidas de seguridad diseñadas para reducir al mínimo el impacto del daño que se puede realizar. Cuando los investigadores de seguridad identifican desbordamientos de buffer y otros tipos de errores de software, que son inevitables en las piezas complejas de software, estas medidas de mitigación consiguen que el impacto sea mínimo. Un ejemplo de medidas serían la famosa sandbox, el uso de ASLR y la prevención de ejecución de datos con DEP cobrando protagonismo.

Por otro lado, un equipo de Mitsui Bussan ganó 40.000 dólares por dos hazañas en las que se comprometieron aplicaciones que se instalan en todos los dispositivos de Samsung. Después de que el dispositivo visita un sitio web malicioso, estos chicos fueron capaces de acceder a los datos confidenciales almacenados en el dispositivo, incluyendo los contactos del usuario, marcadores, historial de navegación, imágenes o mensajes de texto.

Trabajadores de HP, que son patrocinadores del evento Pwn2Own, han reportado también vulnerabilidades a través de un informe, realizando pruebas de intrusión a unas 2.000 aplicaciones de iOS. Es un informe realmente interesante dónde queda reflejado el estado de la seguridad en el desarrollo de aplicaciones de las empresas. Además, el equipo de HP identificó alguna vulnerabilidad en terminales Samsung, reportadas en privado a la marca.

Figura 1: El equipo Chino que ganó el Pwn2Own hackeando iOS

Por último, un grupo de China consiguió 27.500 dólares por dos hacks a iPhone en las que explotaban vulnerabilidades en el navegador Apple Safari. Uno de los ataques consigue capturar una cookie autenticada de un dispositivo iOS 7.0.3. El uso de la cookie de autenticación robada de forma remota, permite al usuario malicioso utilizar dicha cookie en otro dispositivo iOS y acceder a la cuenta.

Otra vulnerabilidad diferente se encuentra en el navegador Apple Safari en iOS 6.1.4 permitió a este grupo acceder a las fotos almacenadas en el dispositivo, de nuevo con solo visitar un sitio web malicioso. El exploit que desarrollaron sólo obtuvo un premio menor, ya que no conseguían saltarse la sandbox.

Figura 2: Según el New York Times, un exploit de iOS puede haberse vendido por 500.000 USD

Como podemos ver las motivaciones para los hackers son infinitas, y éstos consiguen que hacer algo dif´cil parezca fácil. Hoy en días, las vulnerabilidades en dispositivos Android e iOS son las más cotizadas, debido a su escasez y el número de dispositivos que ya existen en el mundo. Algo está claro, con la suficiente motivación y tiempo los dispositivos móviles no son invulnerables.