Apple defiende las razones por las que Safari comparte información con Google y Tencent

Apple ha querido aclarar las razones por las que comparte la información privada de navegación de algunos usuarios de Safari con Google y la compañía china Tencent. Según la empresa californiana la información compartida es almacenada en la base de datos de estas dos compañías con la intención de ayudar a proteger a los usuarios. Las primeras quejas surgieron a lo largo del fin de semana pasado y se centraban en el sistema de “aviso de sitio web fraudulento” de Apple. Esta función está implementada en el navegador Safari de los ordenadores Mac, iPhones e iPads y está diseñada para alertar a los usuarios cuando visitan sitios web en los que cibercriminales pueden tratar de obtener sus credenciales o información bancaria.

Este servicio está activado por defecto pero puede deshabilitarse desde los ajustes del navegador. Este sistema de protección funciona en parte gracias al servicio de navegación segura de Google que lleva más de una década en funcionamiento y que realiza un seguimiento de las páginas que pueden ser fraudulentas, al igual que hace Tencent en China. En la documentación facilitada por Apple, el fabricante explica que el navegador Safari debe enviar información relativa a la dirección del sitio web a los servicios de navegación segura de Google y Tencent para comprobar si estos pueden ser fraudulentos. Hace un tiempo Apple aseguró que no compartía información con Google ni Tencent sino que recibía un listado de los sitios web peligrosos registrados por ambas compañías y que luego lo utilizaba para garantizar una navegación más segura. Sin embargo durante la semana pasada Apple ha confirmado que las tres compañías comparten los listados de las direcciones IP que visitan ciertos sitios web que pueden suponer algún riesgo.

Figura 1:Safari alerta de un sitio web no seguro.

Este episodio es un recordatorio de que la gente cada vez está más preocupada con la forma en la que las compañías tecnológicas tratan con sus datos. Esta concienciación por la información y los derechos humanos es uno de los causantes de las protestas que están teniendo lugar en Hong Kong desde hace unas semanas. Desde sus comienzos Apple ha hecho de la privacidad y la seguridad uno de los pilares fundamentales de su marketing argumentando que sus dispositivos son los más seguros de la industria, de hecho ha comenzado a incorporar funciones en el navegador para que paginas como Facebook no puedan realizar un seguimiento de los usuarios por la red. Apple ha querido recordar que este servicio es opcional y que los usuarios que no se sientan cómodos utilizándolo pueden desactivarlo en cualquier momento desde las preferencias de Safari tanto en dispositivos iOS/iPadOS como en Mac.

Se lanza iOS 13.1.2 e iPadOS 13.1.2 para seguir solucionando pequeños fallos en iOS 13

Apple ha lanzado iOS 13.1.2 para todos los modelos compatibles con la actualización, esta nueva actualización de seguridad llega tan solo unos días después del lanzamiento de la primera revisión de seguridad de iOS 13. Con el lanzamiento de iOS 13.1.1 e iPadOS 13.1.1 Apple solucionó un bug que estaba permitiendo a los teclados de terceros ganar acceso completo al dispositivo sin solicitar al usuario ninguna clase de permiso, también se aprovechó la actualización para solucionar fallos menores y añadir mejoras de rendimiento. A pesar de ello un desarrollador ha compartido un exploit que aparentemente persiste tras las actualizaciones y que abriría la posibilidad de realizar un jailbreak en los dispositivos que montan el chip Biónico A11. 

Según el registro de la actualización iOS 13.1.1 estaba enfocada a solucionar unos fallos que podían afectar a la función de restauración del dispositivo a través de un backup, la actualización también solucionaba un pequeño problema de exceso de consumo de la batería y un problema relativo a las sugerencias de Safari que se volvían a activar tras apagarlas. Por último la actualización solucionó un problema solo presente en los iPhone y que afectaba al reconocimiento de órdenes para Siri y la función de recordatorios que se veía afectada por problemas de sincronización. En cuanto al registro de cambios de iPadOS 13.1.1 se mencionaba la resolución de varios bugs y la realización de mejoras de rendimiento para los nuevos iPad. Pero sin duda el mayor de los cambios es el relativo al problema mencionado anteriormente con los teclados fabricados por terceros.

Figura 1: Actualización de iOS 13.1.2

Con la llegada de iOS 13.1.2 e iPadOS 13.1.2 se ha seguido trabajando en pulir pequeños detalles y solucionar algunos fallos menores, de hecho es sorprendente que Apple haya hecho dos actualizaciones de este tipo con tan poco tiempo de diferencia. Las novedades introducidas en iPadOS 13.1.2 e iOS 12.1.2 han sido la solución de un fallo en la cámara que mostraba la pantalla en negro y hacía necesario su reinicio, un fallo qué impedía que la linterna se encendiese en algunas ocasiones. También se ha solucionado un problema relacionado con la barra de progreso de iCloud Backup, que permanecía en pantalla tras realizar un backup exitoso, problemas asociados a la perdida de los datos de calibración de la pantalla, un fallo que hacía que no funcionasen los Shortcuts en Homepod y problemas a la hora de conectar los dispositivos al bluetooth del ciertos coches.

Apple aprovechó la llegada del iPhone 11 para impulsar la reapertura de su icónica tienda en Fifth Avenue

Por primera vez en su historia Apple ha utilizado YouTube para retransmitir su Keynote. Este evento es posiblemente el más importante del año para la marca ya que en él se presentan los nuevos productos que saldrán a la venta durante los próximos meses. La estrategia de Apple para atraer más espectadores sin duda ha funcionado, más de dos millones de espectadores siguieron desde sus casas la presentación de Tim Cook y algunos de sus empleados. Históricamente Apple ha retransmitido sus eventos especiales desde su página web, donde el acceso era limitado y donde en ocasiones han llegando a poner restricciones para que solo se pudiese acceder al evento a través del navegador Safari.

Durante estos dos últimos años la empresa de cupertino parece haber cambiado de estrategia y ha ido eliminando restricciones hasta el punto de convertir sus Keynote en un evento accesible a todo el público. En el evento se presentaron las diferentes versiones del iPhone 11 y el Apple Watch series 5, dispositivos que saldrán a la venta el próximo 20 de septiembre, un día que coincide con la gran reapertura del Apple Store de Fifth Avenue en Nueva York. La fecha prevista para esta reapertura ha sido escogida estratégicamente ya que por tradición Apple suele anunciar su nuevo hardware un martes, comienza a gestionar las reservas el viernes de la misma semana y justo una semana después comienzan a venderse sus nuevos productos.

Figura 1: Aspecto de la nueva Apple Store de 5th Ave,

Con esta potente estrategia Apple pretende atraer un gran volumen de clientes a la reapertura de su famosa tienda con forma de cubo de cristal, la cual ha sido renovada y ampliada. El aspecto del nuevo cubo de cristal se reveló el pasado viernes cuando los operarios de la obra retiraron las barreras que tapaban el icónico edificio. Apple desmanteló el antiguo cubo de cristal como parte de su proceso de renovación, una reforma que le ha costado a la compañía más de 2 millones de dólares, la nueva tienda ha pasado de tener 3000 m2 a 7100 aumentando su tamaño a más del doble e incluirá muebles y accesorios renovados. Tambien se ha rumoreado acerca de la posibilidad de que se incluya un pequeño estudio de grabación para radio Beat 1.

Fue Noticia en Seguridad Apple: del 22 de julio al 4 de agosto

Ya estrenando nuevo mes dese hace unos días, una parte comenzando vacaciones, otra regresando y desde Seguridad Apple, como siempre, al pie del cañón, seguimos subiendo noticias, para que estéis al tanto de lo que rodea al mundo Apple en temas de seguridad informática. Hoy toca un nuevo post de Fue Noticia, donde os dejamos las noticias que se han ido publicano a lo largo de estas dos últimas semanas.

El lunes 22 de julio comenzamos hablando sobre el robo de productos de Apple, y como el verano hace aumentar este tipo de delitos.

El martes 23 de julio os contamos que el ingeniero jefe de Apple, Ivan Krstic, dara una charla en la Blak Hat 2019, donde hablará de iOS 13 y macOS Catalina.

El miércoles 24 de julio escribimos sobre las más de 100 vulnerabilidades solucionadas por Apple en sus productos.

El jueves 25 de julio informamos sobre la sanción millonaria a Apple en su disputa con VirnetX.

El sábado 27 de julio os hablamos sobre HyperCard, que permitía crear documentos multimedia.

El domingo 28 de julio toco el turno de hablar sobre el cierre automático de pestañas en Safari, si normalmente te despistas y dejas pestañas con contenido sensible, quizás te interese seguir los pasos y proteger tu privacidad.

El martes 30 de julio se hablo de un tema que en los últimos tiempos afecta a varias compañías con sus asistentes virtuales, y es que las conversaciones que tienes con Siri las revisan empresas externas.

El miércoles 31 de julio se volvió a hablar sobre la guerra de patentes entre VirnetX y Apple, y es que la compañía de Nevada ha ganado su apelación a la californiana en relación a las patentes 6,502,135 y 7,490,151.

El viernes 2 de agosto hablamos sobre unas pruebas de rendimiento del Macbook Air de 2019 respecto al modelo de 2018. Todo esto se trata sobre su SSD.

Y por último, pasamos al sábado 3 de agosto, donde se público un post sobre Clarus "The DogCow", el icono de un perro creado por Susan Kare que se convirtió en la mascota de Apple durante años.

Nos vemos como siempre en dos semanas en el repaso de la actualidad del mundo Apple. Que paséis un gran verano y tened en cuenta los consejos para tener un verano seguro con vuestros iDevices de Apple. 

Cómo hacer que Safari cierre automáticamente las pestañas con el paso del tiempo

iOS 13 e iPadOS 13 trae una funcionalidad bastante llamativa, y es la posibilidad de que las pestañas de Safari se cierren cuando pasa un determinado tiempo (1 día, una semana o un mes). Para las personas que son de abrir muchas pestañas y a lo largo del tiempo no saben ni lo que tienen abierto es ideal. Si eres de los que prefieres controlar cuando cerrar una pestaña, también está la opción de hacerlo de manera manual (como hasta ahora).

Sin duda es algo útil, puede ayudar a mejorar nuestra privacidad, ya que en ocasiones podemos olvidar pestañas abiertas y con información sensible. Ahora, veamos cómo se configura esta nueva funcionalidad.

1. Abre la pestaña de ‘Ajustes’ y busca la configuración de Safari (ver figura 1). 
2. Entra en los Ajustes de Safari y busca ‘Cerrar pestañas’. 
3. Entre las 4 opciones que ofrece, elige la que más se adapte a ti. 

Figura 1: Configuración del cierre de pestañas en Safari (Fuente)

Recuerda, si no quieres que las pestañas se cierren automáticamente después de un tiempo, elige la opción manual. Se puede apreciar que la configuración rápida y sin complicación. ¿Qué os parece está funcionalidad? ¿Os aporta valor?

Ya puedes descargar las Betas públicas de iOS 13 y macOS Catalina

Apenas tres semanas después del anuncio oficial de la llegada de iOS 13 en la WWDC Apple ha decidido liberar la beta pública de iOS 13 que ya se encuentra disponible para descargar. Esto significa que todos aquellos usuarios que dispongan de un dispositivo compatible con la nueva versión de iOS, ya sea un iPhone, un iPad o un iPod Touch ya puede descargar la beta de iOS 13 para disfrutar de sus nuevas funcionalidades. Apple también ha aprovechado para lanzar la Beta pública del nuevo macOS Catalina.

Si todavía no estas metido en el programa de betatesters de Apple y quieres probar alguna de estas nuevas betas solo tendrás que acceder a la página web de Apple para registrar tu dispositivo y descargar el perfil de beta pública en él. Si por el contrario ya estás registrado solo tendrás que descargarte los perfiles de la beta pública de iOS 13. Si no sabes realizar el proceso mencionado anteriormente a continuación te contamos como hacerlo en 3 sencillos pasos:

1. Para comenzar deberás registrarte en el programa de betas de software de Apple utilizando el mismo Apple ID que utilizas en tu dispositivo iOS en el que vayas a instalar la beta. Para acceder al programa pincha Aquí.                                                                                                          
2. Cuando hayas completado el proceso de registro abre el navegador Safari en tu dispositivo y accediendo al enlace facilitado en el paso anterior selecciona el perfil que quieres descargar, solo tendrás que seguir las instrucciones que se muestran en tu pantalla.                                             
3. Una vez instalado el perfil accede a Ajustes>General>Software y comprueba si tienes una actualización disponible a la beta de iOS 13. Si es así descarga la OTA y ya estaría.

Figura 1: Dark Mode en iOS 13

iOS 13 incorpora un montón de novedades que te ayudaran a disfrutar más de tus dispositivos Apple. Entre estas interesantes funciones se encuentra el Dark Mode, nuevas funciones en las aplicaciones preinstaladas, la nueva app Recordatorios, la actualización de la aplicación Fotos y muchas más. También aprovechamos para recomendaros que realicéis un Backup antes de embarcaros en este proceso para no perder la información y fotos almacenada en vuestros dispositivos.

Hack: Linus Henze revelará detalles acerca del funcionamiento de KeySteal en la Sea Mac Security Conference

A comienzos de este año, en febrero concretamente, un joven investigador de ciberseguridad alemán llamado Linus Henze demostró que era posible realizar un ataque a macOS con el que se permitiría a una aplicación maliciosa obtener las contraseñas almacenadas en la keychain de Apple. La publicación de los detalles acerca de este ataque ha resaltado el hecho de que el Keychain de Apple se está convertido en un objetivo muy atractivo para los ciberdelincuentes debido a la información que almacena. Apple parcheó la vulnerabilidad de KeySteal a finales de marzo.

Al principio Henze rehusó de dar detalles acerca del hack ya que la compañía no contaba con un programa de recompensas para macOS, sin embargo al poco tiempo cambió de idea porque le preocupaba la seguridad de los usuarios de equipos Mac, además explicará exactamente cómo funciona el ataque en la Sea Mac Security Conference que tendrá lugar en Mónaco el próximo fin de semana. El Keychain de Apple es esencialmente un gestor de contraseñas de macOS, incluso aunque no lo utilices como tu gestor de contraseñas principal es muy probable que almacene información importante sobre ti, de hecho está tan integrado en el SO que seguramente conozca alguna de tus contraseñas.

“Pienso que el Keychain es bastante bueno, porque es un buen método para almacenar contraseñas sobre todo cuando utilizamos una distinta para cada servicio pero basándose en como descubrió el bug este pudo estar activo durante 5 años incluso más antes de ser arreglado”

Figura 1: KeySteal

Aunque es posible que alguien conociese esta vulnerabilidad antes que Henze lo habitual es que los ciberdelincuentes busquen bugs con los que acceder al Kernel del dispositivo (lo que también le proporcionaría acceso al Keychain de todos modos). Keysteal es una herramienta que se limita a acceder al Keychain, pero podría ser un ataque efectivo para cualquiera que supiese de la existencia del bug, solo sería necesario engañar a algún usuario para que descargase un app que contiene el exploit de KeySteal.

Este ataque se basa en explotar una vulnerabilidad que no se encuentra en el Keychain de Apple como tal, sino en un servicio que facilita las conexiones entre el mismo y otras aplicaciones de macOS. De hecho Henze descubrió el bug cuando comprobaba la seguridad de la SandBox que contiene aplicaciones web ejecutándose en Safari. Henze comprobó que desde dentro de Safari, los programas podrían hablar con el servicio de seguridad que también gestiona el Keychain para comprobar cosas como contraseñas y certificados de encriptación web. Descargó el marco de este servicio para estudiarlo más de cerca y se dió cuenta de que al iniciar una sesión a través de Safari para hablar con el servicio de seguridad, podía manipular varios atributos de la sesión.

               

Tras manipular la sesión de Safari Henze logró engañar a los servicios de seguridad para obtener el contenido del Keychain desencriptado en su herramienta. Con el parche lanzado por Apple se evita esto mismo, impidiendo que el servicio de seguridad confíe en sesiones manipuladas. Aun así los investigadores de Mac han querido resaltar que los ataques en el Keychain son bastante comunes a pesar de que esta sea una herramienta crucial para la seguridad de Apple.

51 problemas de seguridad arreglados en las últimas actualizaciones de Apple

La última semana de marzo fue movida para Apple, ya que lanzo varias actualizaciones de seguridad para diferentes productos (entre ellos se incluye iOS y macOS). El número total de problemas de seguridad arreglados en estas actualizaciones asciende a 51. Es importante recordar lo fundamental que es tener los dispositivos y sistemas operativos de Apple actualizados para prevenir ataques contra los datos del usuario y su confidencialidad y privacidad.

Recientemente se ha proporcionado un timeline con las publicaciones y parches de seguridad que se han publicado. Podemos ver que Apple ha tenido días intensos, publicando desde el 25 de marzo hasta el 29 de marzo diferentes actualizaciones que han ido solventando los 51 problemas de seguridad de los que hablábamos anteriormente. Muchos de estos bugs eran de ejecución de código arbitraria, por lo que la criticidad es alta. A continuación, se enumeran las actualizaciones junto al enlace para que puedas ver toda la información.

25 de marzo. Le tocó a los principales elementos software de la casa. iOS, XCode, el navegador Safari, macOS o tvOS, entre otros, son los protagonistas. Sus últimas versiones al servicio del usuario. 

• iCloud para Windows 7.11
• iTunes 12.9.4 para Windows
• Safari 12.1
• Sierra, High Sierra & macOS Mojave 10.14.4
• tvOS 12.2
• Xcode 10.2
• iOS 12.2

27 de marzo. Le tocó el turno al Apple Watch. Nueva versión del sistema operativo que más pegado al cuerpo llevamos, watchOS 5.2.

• watchOS 5.2

29 de marzo. Por último, las actualizaciones de Sierra y High Sierra. Parece que fue el momento de parar, aunque pronto tendremos nuevas actualizaciones, la rueda de la seguridad no para.

• Sierra & High Sierra

 

Figura 1: Apple Updates

Nuestra recomendación es que mantengas al día las actualizaciones que ofrecen desde Apple, ya que en ellas se van corrigiendo los fallos que atacantes pueden utilizar para causarte daño. A parte de ello, usa tus dispositivos y navega de manera cautelosa, no te fíes de todo lo que veas.

Para aplicar las actualizaciones (si tienes inglés como idioma, para otros la "traducción"):

• En iOS: Settings → General → Software Update
• En macOs: Apple menú → About This Mac → Software Update 

No dudes y actualiza lo antes posible, si no lo hiciste ya. Serán días de actualizaciones para los equpos de IT de las empresas que utilizan dispositivos Apple para sus empleados, directivos, ejecutivos, etcétera. Si no has actualizado, actualiza y mejora tu seguridad.

Cómo crear carpetas sin nombre en iOS

Si eres de esas personas a las que les gusta una pantalla de inicio o un escritorio minimalista, aquí te traemos un pequeño e interesante truco con el que podrás crear carpetas sin nombre en tu iPhone o iPad. Con este pequeño truco podrás lograr un look limpio y sencillo creando todas las carpetas sin nombre que quieras. El truco en cuestión reside en la posibilidad de utilizar caracteres Unicode en braille, algunos de estos caracteres al escribirlos no se muestran por pantalla, sin embargo ocupan una posición en el campo que se introduzcan.

Para crear o transformar una carpeta en una carpeta sin nombre solo tienes que seguir los pasos que te mostramos a continuación:

1. Copia el carácter que se encuentra entre el paréntesis [⠀].                                                                    
2. Entra en el menú de interacción manteniendo pulsado sobre una aplicación.                                        



Figura 1: Escritorio con carpetas sin nombre

3. Selecciona la carpeta de aplicaciones a la que quieres cambiar el nombre y borra el nombre que tenga puesto.                                                                                                                                                                                                            
4. Mantén pulsado sobre el campo del nombre y selecciona la opción "pegar".                                                
5. Aunque no se muestre nada en el campo de nombre pulsa en “hecho” y sal del menú de interacción.

Como habéis podido comprobar, es un proceso bastante sencillo y que ofrece la posibilidad de personalizar nuestro dispositivo sin la necesidad de instalar tweaks o disponer de jailbreak. Además también podrás utilizarlo para añadir algún marcador de Safari en tu pantalla de inicio y que también se muestre sin nombre.

CookieMiner, un malware para la sustracción de criptodivisas a través de las cookies

Los usuarios de Mac, especialmente aquellos familiarizados con el uso de criptomonedas, deben estar alerta debido al reciente descubrimiento de un nuevo malware capaz de extraer las cookies y credenciales de su navegador que estén relacionadas con las carteras de criptomonedas. El malware recibe el nombre de CookieMiner debido a su capacidad de robar cookies asociadas a operaciones de cambio de criptomonedas, está diseñado para atacar a los usuarios de Mac y hay indicios de que esté basado en DarthMiner, otro malware de Mac que fue descubierto durante finales del año pasado. En este caso, el descubrimiento se ha llevado a cabo por la Unidad 42 del equipo de investigación de seguridad de Palo Alto Networks.

Los investigadores han confirmado que además de extraer cookies, CookieMiner infecta los equipos instalándoles un software que mina criptomonedas consumiendo los recursos del sistema. Concretamente el software parece centrarse en la sustracción de “Koto” una criptomoneda no muy conocida que mayoritariamente es utilizada en Japón. El malware es capaz de extraer las cookies asociadas a las transacciones de los servicios de cambio de divisas más conocidos tanto en Google Chrome como en Safari. También puede sustraer usuarios, contraseñas e información de tarjetas de crédito guardadas en las cuentas de Google y los mensajes de las víctimas almacenados en los backup de iTunes. Por el momento se sabe que algunos de los servicios afectados son Binance, Poloniex, Bittrex, Coinbase o MyEtherWallet y cualquier otro sitio web que contenga “blockchain” en su dominio o utilice cookies para realizar un seguimiento temporal de sus usuarios.

Figura 1: Fragmento del código de CookieMiner

El potencial de este nuevo malware es bastante alto, si tenemos en cuenta los datos e información que es capaz de sustraer (credenciales, cookies, información y SMS) un posible atacante podría causar graves estragos en las carteras (de criptomonedas) de varios usuarios. Aunque todavía no se haya descubierto ninguna evidencia de su uso para vaciar la cartera virtual de alguna víctima los investigadores de Palo Alto Networks creen que la campaña de este malware todavía se encuentra activa y podría tener graves consecuencias. Las compañías tecnológicas y gestoras de criptodivisas afectadas ya han sido alertadas para que tomen nuevas medidas de seguridad que ayuden a la resolución de este problema.

Recopilación navideña de herramientas para Mac. Parte I

Hoy damos comienzo a una serie de dos artículos en los que os hablaremos de algunas de las herramientas que incorpora Mac, que son muy útiles y que probablemente no sabías de su existencia. Aunque al adquirir un ordenador nuevo este no disponga de todo el software que utilicemos habitualmente y tengamos que descargar varias herramientas de uso cotidiano, los equipos de hoy en día son cada vez más completos. En el caso de los Mac, podemos encontrar gran cantidad de aplicaciones preinstaladas en el escritorio (Keynote, Calendario, Mail, Fotos, Safari,…) sin embargo algunas de las aplicaciones más interesantes no estan ancladas en la pantalla de inicio y deberemos buscarlas en la carpeta Aplicaciones.

Instantánea: Esta es posiblemente una de las Aplicaciones más útiles de las que os hablaremos hoy, se trata de una herramienta con la que realizar capturas de lo que se muestra en pantalla. Las capturas se guardarán como imágenes. La aplicación se encuentra en la carpeta de utilidades y dispone de Shortcuts para que puedas utilizar sus funciones sin tener que abrir la aplicación. Con instantánea podrás capturar tanto la pantalla completa, como ventanas o fragmentos seleccionados a tu gusto. Otra posibilidad que ofrece es la de programar una captura y también permite la captura de la Touchbar si tu Mac la incorpora.

Figura 1: Instantánea

Utilidad de discos: Esta herramienta resulta muy útil si habitualmente utilizas discos duros externos, USB o utilizas máquinas virtuales que requieren unidades de almacenamiento. A través de esta herramienta podrás controlar el espacio disponible en tu unidad principal y modificar el formato de los discos externos y seleccionar el formato que desees (Mac OS Plus, FAT32, ExFAT,…).

Grapher: Esta herramienta poco conocida pero muy práctica, sobre todo para estudiantes sirve para representar ecuaciones gráficamente. Grapher es capaz de representar las ecuaciones que se le soliciten tanto en formato bidimensional como en tridimensional, además cuenta con gran variedad de configuraciones con las que podrás cambiar el tipo de coordenadas, el tipo de fondo e introducir símbolos matemáticos que no se pueden encontrar en el teclado.

Figura 2: Grapher

ColorSync: Esta herramienta está diseñada con un enfoque hacia el diseño gráfico. Los Mac son ordenadores que gracias a su gran potencia y capacidad de procesamiento son elegidos por muchos trabajadores del ámbito de diseño. Para todos estos diseñadores ColorSync permite calibrar los colores del equipo y escoger entre distintos perfiles cromáticos preinstalados. También te permite comprobar la gama cromática que admiten otros dispositivos como un segundo monitor de trabajo.

Una vulnerabilidad en Webkit afecta a las últimas versiones de Safari

Hace unos días se hizo público el código de un exploit para una vulnerabilidad de webkit, el motor de búsqueda que mueve safari y muchas otras aplicaciones y herramientas de macOS, iOS y Linux. El exploit se aprovecha de un error de optimización a la hora de conectar expresiones regulares, lo que puede acabar ofreciendo la posibilidad de ejecutar código arbitrario. Linus Henze, el desarrollador del exploit, ha dicho que la vulnerabilidad ya ha sido parcheada en su origen (Webkit), pero todavía no se ha solucionado en el navegador Safari. Según Henze tanto la versión para iOS como la versión de macOS se encuentran afectadas por el bug, aunque su código solo este diseñado para macOS.

En el caso de iOS, Henze ha dicho que existe un variante de WebKit vulnerable y que afecta directamente a las versiones de iOS que comienzan con la nomenclatura 12.0. En cuanto a macOS la vulnerabilidad también sigue siendo explotable en la versión 10.14 y posteriores. Según Linus los pasos a seguir para obtener un resultado exitoso son muy similares a los que se usaron con el exploit creado hace unos meses por Samuel Grob, al que se le asignó el código CVE-2018-4233 y del que se ha hablado en la Pwn2Own de este año por permitir la ejecución de código remoto en Safari.

“Este es un exploit para las últimas versiones de Safari (como la lanzada el 6 de diciembre de 2018). Como ya se ha arreglado el fallo en WebKit, he decidido hacerlo público” de hecho Henze ha incluido en su GitHub una guía explicado cómo hacer que su exploit funcione correctamente. 

Figura 1: Tweet de Linus Henze.

Aunque el exploit de Henze funcione e incluya instrucciones de uso, un atacante principiante no lo encontraría práctico ya que la protección de Sandbox de Safari podría prevenir que el código se ejecutase correctamente. Para realizar esta prueba de concepto hay que utilizar una serie de exploits conjuntamente con los que se puede evitar la protección de Sandbox explotando otras vulnerabilidades conocidas. En el caso de ser utilizado por un experto este exploit permitiría la ejecución de código arbitrario y a través de él obtener privilegios con los que se podrían bypasear políticas entre ellas la SOP (Same Origin Policy). Esta vulnerabilidad también puede afectar a otros productos basados en JavaScript. Aunque este no sea el caso de Chrome sí podría afectar a algunas aplicaciones basadas en las nuevas versiones de WebKit.

El Security Update de diciembre acaba con 13 vulnerabilidades críticas para macOS e iOS

Como es habitual, Apple ha lanzado una serie de actualizaciones de seguridad para el software de Mac e iOS. Los parches de diciembre también solucionan fallos en tvOS, Safari y en la versión de iTunes e iCloud para Windows. Todas estas actualizaciones deberían de instalarse lo antes posible. Para los Mac, las actualizaciones vendrás de la mano de Mojave 10.14.2, High Sierra Security Update 2018-003 o Sierra Security Update 2-18-006, dependiendo de la versión de macOS instalada en el equipo. Cada actualización incluye la solución de un total de 13 vulnerabilidades, incluyendo 7 que permitirían a una aplicación o usuario malicioso escalar privilegios y obtener el control de los dispositivos.

Estas brechas incluyen dos fallos en Windows Server, tres en el Kernel, uno en el Carbon Core, uno en las imágenes de disco y otro en IOHIDFamily. La actualización también soluciona problemas de exposición en la memoria de del Kernel por parte del driver de gráficos de Intel. Los usuarios de Mac quieren obtener la versión 12.0.2 de Safari con la intención de solventar nueve vulnerabilidades en el navegador y en el funcionamiento de WebKit. Todos los bugs de WebKit permitirían la ejecución de código arbitrario en remoto a través de una página web maliciosa, mientras que las brechas en Safari permitirían la realización de un interface o address bar spooffing además de provocar algunos problemas a la hora de hacer limpieza en el historial.

Figura 1: Actualización de macOS 10.14.2

Para los propietarios de iPhone e iPad, la actualización vendrá con el nombre de iOS 12.1.1, en ella se incluirán parches para las anteriormente mencionadas vulnerabilidades de Safari y Webkit, además de los fallos en las imágenes de disco y en el Kernel. Los fallos que son únicamente relativos a iOS corresponden al bug que permitía acceder a los contactos a través de Facetime y a otros 3 bugs que revelan información comprometida. Para Apple TV el lanzamiento de tvOS 12.1.1 supondrá la solución de todos los bugs derivados de los anteriormente mencionados para macOS e iOS. En cuanto a los usuarios de softwares de Apple en sistemas operativos Windows se encuentran a la espera de la llegada de las actualizaciones de iTunes 12.9.2 e iCloud 7.9 for Windows. Cómo estas dos aplicaciones se basan en componentes de WebKit y Safari, la instalación de los parches también será necesaria en las aplicaciones para Windows.

Safari se suma a los navegadores que ofrecen soporte para llaves USB

Los usuarios de Safari pronto podrán iniciar sesión en sus cuentas utilizando llaves USB. Según la última visualización anticipada del buscador web de Apple, entre las notas de liberación de Safari se incluyen un gran número de nuevas funcionalidades, algunas de ellas son el Dark Mode, animaciones web y soporte para la API de WebAuthentication. A parte de estos curiosos cambios, la última versión del buscador de Apple incluirá una función que permita a los usuarios logarse utilizando llaves USB con protocolos de autenticación (CTAP2).

Las llaves de seguridad USB ofrecen un mayor nivel de protección que las contraseñas escritas y hacen que sea más difícil para los atacantes ganar acceso a tus cuentas a través de Phishing u otro tipo de ataques. Safari ha sido el último navegador en añadir soporte para las llaves USB, durante el pasado año esta medida de seguridad fue implementada en Firefox y días después en Google Chrome. Actualmente existen varios servicios que ofrecen soporte para esta tecnología, entre ellos Facebook, Twitter y Microsoft Office 365. 

Figura 1: Titan Security Key de Google

La popularidad de las llaves USB se disparó a comienzos de año cuando Google reveló que hasta 85.000 de sus empleados utilizaban Titan Security Keys internamente para eliminar por completo la posibilidad de caer en un ataque Phishing. De hecho, tuvieron tanto éxito que el gigante tecnológico decidió ponerlas a la venta en su página web. Mientras que las llaves USB ofrecen una mayor protección que las contraseñas tradicionales, requieren que los usuarios lleven encima otro dispositivo en todo momento. En este caso los beneficios superan con creces los inconvenientes, además su pequeño tamaño te permitirá llevarlas en tu llavero y tenerlas siempre localizadas.

Un test de seguridad para Dropbox revela tres vulnerabilidades de Zero-Day

En el mundo digital es habitual que una empresa contrate a otra con el fin de realizar pruebas de seguridad en sus servicios. El año pasado Dropbox contrató a una firma de seguridad para llevar a cabo una simulación de ciberataque en sus servicios sabiendo que era posible encontrar algunas vulnerabilidades de Zero-Day en los productos de Apple que podrían afectar más de una compañía. En un artículo publicado por Dropbox en un blog se explica cómo realizan simulaciones de ataques rutinarias para comprobar la efectividad de sus políticas y sistemas de seguridad. Con estos tests  Dropbox pretendía evaluar la capacidad de sus sistemas para detectar y realizar el seguimiento de una vulnerabilidad inesperada.

Para sorpresa de Dropbox la empresa de seguridad Syndis descubrió varias vulnerabilidades Zero-Day en el software de Apple. Cuando estas vulnerabilidades se explotan simultáneamente pueden permitir la ejecución de código arbitrario de forma remota en un macOS infectado a través de una página maliciosa. Estas vulnerabilidades fueron descubiertas por Syndis y Dropbox el 19 de febrero del pasado año y solucionadas en menos de un mes, con el lanzamiento del Securitty Update de Apple a finales de marzo del mismo año. Las vulnerabilidades que permiten la ejecución de código arbitrario se consideran críticas ya que permiten a los atacantes ejecutar los comandos que deseen remotamente en el equipo infectado.

“Hemos invertido un montón en el enrobustecimiento, la detección, la alerta y capacidad de respuesta en Dropbox. Incluso si un atacante logra acceder a varios sistemas sin hacer saltar ninguna alarma, disponemos de herramientas capaces de realizar un seguimiento de su trabajo de post explotación. Nuestras metas de testeo con este tipo de simulaciones es descubrir nuevos métodos de comprometer la seguridad de Dropbox. En el caso de no encontrar ninguna brecha durante nuestro análisis introducimos malware para simular sus efectos” Dijo Chris Evans, director de seguridad de Dropbox.

Figura 1: CVE-2018-4176

Cuando Syndis realizó su test descubrió que tres vulnerabilidades anteriormente desconocidas se podían combinar de tal manera que permitiesen la ejecución de código arbitrario en un equipo macOS vulnerable. La primera vulnerabilidad descubierta se encontraba en el CoreTypes.bundle, un listado de elementos que pueden abrirse desde Safari. En este caso la extensión .smi (self-mounting images) estaba asignada de manera incorrecta a CoreTypes y podía ser abierta por Safari. La segunda vulnerabilidad se relaciona con el funcionamiento de las Disk Images en macOS. La última consiste en un bypass al Gatekeeper de Mac a través de la modificación de una app legítima con la que era posible registrar nuevas extensiones asociadas al archivo. Sin duda una combinación peligrosa y que permitió a Syndis realizar una prueba de concepto en la que se activaba remotamente la calculadora de un equipo infectado.

Safari víctima de un nuevo ataque spoofing

Hace unos meses un investigador descubrió una vulnerabilidad no parcheada en el navegador web de Safari. La vulnerabilidad en cuestión permitiría a un atacante controlar el contenido mostrado en la barra de direcciones. Este bug si es explotado correctamente podría permitir la construcción de un buen ataque phishing que resultaría muy difícil de identificar por cualquier usuario. Esta brecha de seguridad ha sido generada por un fallo en la actualización de la barra de búsqueda. El navegador de Apple permite a javascript actualizar la información de la barra de direcciones antes de que la página buscada acabe de cargar por completo.

El investigador Rafay Baloch ha sido capaz de reproducir esta vulnerabilidad únicamente en los buscadores Safari de Apple y Edge de Microsoft. Tras su descubrimiento Rafay no dudó en informar a los responsables de cada compañía, sin embargo solo Microsoft ha respondido con un parche de seguridad lanzado el pasado 14 de agosto que formaba parte de sus actualizaciones de seguridad. Apple recibió el aviso el día 2 de junio y 90 días después tras superar el periodo de no divulgación el bug se ha dado a conocer públicamente. 

Esta vulnerabilidad ya es conocida como CVE-2018-8383 y está esperando para ser puntada. Explotar esta vulnerabilidad requiere que el atacante engañe a la víctima para acceder a una página diseñada especialmente para suplantar la página buscada, algo que no resulta muy complicado. Retrasando la actualización de la barra de direcciones un atacante podría suplantar cualquier página web mientras que la víctima ve el dominio legítimo con sus respectivas marcas de autenticación. En la mayoría de los casos el cambio en la barra de direcciones se puede apreciar perfectamente, sin embargo esto pasa también con muchas páginas legitimas que aprovechan para cargar algunos elementos secundarios en background, haciendo que no resulte nada sospechoso.

Cómo ver los certificados desde tu navegador Safari

La semana pasada se publicaba en el blog de Eleven Paths un nuevo informe sobre los indicadores de seguridad que se encuentran en los navegadores móviles. En el caso de Android, la mayoría de los navegadores disponibles ofrecen bastante información comparado con Apple, ya que iOS por defecto no muestra ninguna información acerca de los certificados desde ningún navegador. Buscando una solución a este problema, se encontró la app Inspect. Dicha aplicación permite ver toda la información de los certificados de manera sencilla e incluso exportarlos.

Una vez que se ha instalado la app se puede encontrar la opción Certificate desde el menú compartir que tiene cada navegador. Si se abre la aplicación, se puede ver que no tiene muchas opciones, poco más que un tutorial, un buscador para introducir la URL manualmente (o abrir los navegadores Safari o Chrome) y una opción muy interesante que activa una detección para ataques MITM que da una notificación cuando los certificados raíz no son de confianza.

Figura 1: Evaluación certificado

Figura 2: Inspección

Según la descripción de Inspect, la aplicación funciona con Safari y Chrome, sin embargo al realizar las pruebas desde otros navegadores como Firefox también funciona sin problema. En el caso de utilizar un navegador que no fuera compatible siempre es posible copiar y pegar la URL en la propia aplicación de inspect para obtener la información del certificado.

Apple parchea 76 vulnerabilidades con su última actualización de software

El pasado día 9 de julio Apple lanzó parches para varios de sus servicios, entre los que se encuentran iTunes, Safari e iOS. La mayor parte de las vulnerabilidades corregidas pertenecían al sistema operativo, que acumulaba 22 CVEs pendientes de parchear. Estas vulnerabilidades afectaban a los dispositivos posteriores al iPhone 5S, iPad Air e iPod Touch de sexta generación, dispositivos en los cuales los problemas de corrupción en su memoria podían causar la posibilidad de ejecutar código arbitrario en ellos.

Continuando con las reparaciones, Apple ha arreglado 14 fallos en iTunes 12.8 para Windows. En caso de no haber solucionado estos fallos podría haberse traducido en la ejecución de código arbitrario, denegación del servicio, y varios fallos relacionados con las Cookies en el navegador Safari. En su navegador Apple ha cubierto 16 CVEs, de los cuales 7 permitían la ejecución de código remoto. En iCloud para Windows también se ha realizado el parcheo de 13 vulnerabilidades que también corrompían la memoria de los dispositivos.

Figura 1: CVE de iOS 11.4.1 arreglado en la actualización

En cuanto al sistema operativo de escritorio, macOS High Sierra 10.13.6 acumulaba un total de 11 vulnerabilidades, las cuales podrían permitir varios fallos de corrupción de memoria dando lugar a posibilidad de ejecutar código arbitrario, realizar un ataque de escalada de privilegios e incluso a la obtención de acceso root. De esta actualización de seguridad tampoco se salvan el Apple Watch ni el Apple TV, en el caso de WatchOS 4.3.2 se han cubierto 14 vulnerabilidades relacionadas con la gestión de las cookies, la denegación de servicio y la prohibición de acceso. Para terminar hablamos de tvOS 11.4.1, sistema en el cual se han arreglado ni más ni menos que 18 vulnerabilidades, en este caso era posible la lectura de partes restringidas de la memoria utilizando aplicaciones maliciosas y la ejecución de contenido web malicioso capaz de crashear Safari.

macOS Mojave y la concesión de permisos para utilizar recursos del sistema

La llegada de Mojave, el nuevo sistema operativo de Apple, trae un gran número de noticias y de inquietudes por parte de los usuarios, quienes quieren saber más y más. El objetivo de Mojave es fusionar las características populares de iOS con el ecosistema Mac, limpiar la vista del escritorio y mejorar las protecciones de seguridad. En lo que a seguridad se refiere Apple se lo toma en serio y macOS Mojave hace más para mantener la privacidad de los datos privados de los usuarios. Para empezar, Apple hace que los usuarios tengan que conceder permiso a una aplicación para poder acceder a la cámara y al micrófono.

El hecho de conceder permiso a la aplicación para acceder a la cámara y al micrófono lo hacen que sea similar a un dispositivo móvil. También se hace algo similar con aspectos sensibles como el correo electrónico, mensajes y copias de seguridad. También se ha mejorado la detección de tracking de Safari, Apple está cerrando la brecha que permite que los botones de compartir y los campos de comentarios rastreen a los usuarios automáticamente. Los usuarios verán una notificación emergente que les preguntará si desean conceder permisos. El híbrido entre iOS y macOS comienza por este tipo de arquitectura de permisos, lo cual lo hace realmente interesante. 

Figura 1: Presentación de características de seguridad en macOS Mojave

Mojave también dificulta a los rastreadores la creación de una huella o fingerprint única basada en la información del sistema, ya que sólo muestra datos del sistema simplificados. El Mac será más parecido al del resto y será más complejo que las empresas de datos puedan aprovecharse de técnicas pasadas. Sin duda, los próximos detalles traerán un gran número de noticias sobre macOS Mojave y ya puedes probarlo en su preview. Para la versión final tocará esperar unos meses aún. Bienvenido macOS Mojave.

Aprovechando el fin de semana o el puente de Mayo para actualizar los sistemas de Apple

En la última semana Apple ha liberado varias actualizaciones que debemos instalar lo antes posible. Se lanzaron actualizaciones de seguridad para iOS y macOS, mientras que Safari se actualizó a la versión 11.1, con el objetivo de evitar vulnerabilidades en el WebKit. Una de las correcciones más sonadas en esta tanda de actualizaciones ha sido la que involucraba a APFS, relacionada con el error de contraseña. En resumen, el sistema operativo iOS llega a su versión 11.3.1, mientras que macOS obtiene un parche llamado Security Update 2018-001.

Como parte de la actualización de seguridad, Safari se actualiza a la versión 11.1. El nuevo parche se centra en las vulnerabilidades que permitían ejecución de código remota, las cuales, en teoría, podrían ser explotadas por un atacante para implantar malware de manera silenciosa en un dispositivo. Además, se solventa una vulnerabilidad crítica en el WebKit. La segunda parte de la actualización de seguridad es algo a lo que Apple se refirió como un "error de contraseña APFS". Es decir, cuando el usuario conecta su unidad USB, macOS escribe un archivo de registro del sistema en la unidad que contiene la información de la contraseña. Hay que tener en cuenta que las claves de contraseña no deberían ser visibles, ni accesibles, para nadie tan fácilmente. Esto ha sido considerado una amenaza de seguridad. Apple ha arreglado esto en el Security Update 2018-001.

Figura 1: iOS 11.3.1 liberado con actualizacones críticas

Sin duda, son actualizaciones importantes que deben ser aplicadas lo antes posible. En el caso de los dispositivos iOS puedes ir a la app de Configuracion / General / Actualización de Software y verificar qué versión de iOS se está utilizando. Si se utiliza Mac y se aplica la actualización se seguirá en la versión 10.13.4. No dejes para después del puente lo que tenemos que hacer hoy y actualiza tus sistemas Apple.