Fue Noticia en seguridad Apple: del 2 al 13 de octubre

Comenzamos el mes de octubre y en Seguridad Apple continuamos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el jueves 3 avisándoos del lanzamiento de iOS 13.1.2 e iPadOS 13.1.2 y os explicamos que problemas de seguridad se han resuelto y que novedades incorporan estas actualizaciones.

El sábado 5 os hablamos del popular Macintosh SE y de un huevo de pascua oculto en su ROM, además fue el protagonista de una charla en la Navaja Negra.

El lunes 7 os contamos las novedades que trajeron iOS 13.1 e iPadOS 13.1 a pesar de que Apple tardase menos de 10 en sacar sus actualizaciones de ambos sistemas operativos.

El martes 8 os explicamos por que Apple no podrá parchear Checkm8, la vulnerabilidad que permite hacer jailbreak a todos los iPhone con chips anteriores al chip A12.

El miércoles 9 os presentamos MacOS Catalina 10.15 y os hablamos de que novedades nos ofrece desde el punto de vista de la seguridad (se han parcheado numerosas vulnerabilidades en el kernel de MacOS y en Webkit).

El jueves 10 os hablamos de las nuevas funciones de salud que incorporará Apple en sus dispositivos contando con el apoyo de las instituciones médicas estadounidenses.

El viernes 11 os contamos los últimos rumores acerca de cual será el aspecto del nuevo iPhone 12 que saldrá a la venta el próximo año.

Finalmente, ayer sábado os hablamos de MacsBug, el interruptor del programador de los Macintosh. Un botón, en muchas ocasiones físico, que ayudaba a facilitar la vida de los programadores en las décadas de los 80 y 90.

Warning: Nuevo caso de malvertising en Chrome para iOS

Desde hace unos años el uso de navegadores en dispositivos móviles y tablets se ha disparado brutalmente, ya sea por comodidad o porque son dispositivos que llevamos encima todo el día. Google Chrome se ha convertido en uno de los navegadores más utilizados gracias a su rapidez y eficacia, sin embargo recientemente se ha sabido que cuenta con un grave problema de seguridad que afecta única y exclusivamente a los dispositivos iOS, si utilizas este navegador desde sistemas operativos Android, macOS o desde Windows no tienes por qué preocuparte.

En la mayoría de sus versiones el navegador de Google está desarrollado bajo Chromium, un motor de búsqueda desarrollado por Google, sin embargo la versión de Chrome para iOS se basa en el mismo motor que Safari, en Webkit (aunque esté desarrollado en Webkit la vulnerabilidad no afecta a Safari). Según la firma de ciberseguridad Confiant la versión de Chrome desarrollada en Webkit se ve afectada por un gran problema de malvertising, un tipo de ataque del que ya os hemos hablado en el blog y que se ha popularizado bastante en los últimos años.

Figura 1: Pop-up proveniente del malveritsing

Este tipo de ataque consiste en aprovecharse de los anuncios que circulan por internet para inyectar código malicioso en ellos y esquivar así las medidas de seguridad de los navegadores. Algunos de los síntomas más comunes de estos ataques son la redirección a algunas páginas fraudulentas o la aparición de pop-ups que resultan bastante molestos. La firma de seguridad ya ha alertado a Google, que ya está trabajando para solucionar este problema. Por el momento lo mejor que podéis hacer para aseguraros de no caer en esta oleada de ataques es cambiar temporalmente de navegador hasta que se solucionen los problemas. 

Fue Noticia en seguridad Apple: del 24 de diciembre al 13 de enero

Nos adentramos en 2019 y en Seguridad Apple aprovechamos para brindaros nuestros mejores deseos para el año que entra. A continuación os traemos algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas tres semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 24 deseándoos unas felices fiestas y avisándoos de que a pesar de las Navidades la actividad en este blog no cesa para que podáis disfrutar de interesantes artículos durante las vacaciones. 

El martes 25 os contamos como una vulnerabilidad de WebKit afecta a las últimas versiones de Safari permitiendo la ejecución de código arbitrario de manera remota.

El miércoles 26 os explicamos cómo podéis mejorar la seguridad de vuestro iPhone al desactivar Siri cuando la pantalla está bloqueada.

El jueves 27 os enseñamos un Shorcut para el teclado con el que podréis acceder rápidamente al menú de forzar detención en Mac.

El viernes 28 os avisamos de la llegada de la beta de iOS 12.1.3 para desarrolladores y os contamos cuales son las novedades que incorpora.

El sábado 29 aprovechamos el final del año para hacer una recopilación de las mejores anécdotas y curiosidades de la historia de Apple de las que os hemos hablado este año.

El domingo 30 os hablamos de algunas herramientas de gestión de contraseñas en iOS y de la importancia de los TOTP.

El lunes 31 aprovechamos para despedir el año deseándoos unas felices fiestas y una buena entrada en el 2019.

El martes 1 os alertamos de que algunas aplicaciones comparten nuestra ubicación sin permiso y os contamos como evitarlo en iOS.

El jueves 3 damos comienzo a una serie de dos artículos en la que recopilamos algunas de las mejores herramientas preinstaladas de Mac.

El viernes 4 finalizamos la serie Recopilación navideña de herramientas para Mac, la serie en la que os hablamos de algunas de las mejores aplicaciones preinstaladas de Mac.

El sábado 5 finalizamos nuestra recopilación de las mejores anecdotas y curiosidades de la historia de Apple de las que os hemos hablado.

El lunes 7 os hablamos de la actualización del USB C con USB Type-C Authentication Program permitiendo el uso de criptografía para la autenticación de dispositivos.

El martes 8 os contamos cuales son las novedades del lenguaje de programación Swift 5, uno de los lenguajes predilectos de Apple.

El miércoles 9 os alertamos del perfeccionamiento de las técnicas en los ataques Phishing telefónicos a los dispositivos de Apple.

El jueves 10 os recordamos que el ramsonware sigue siendo una amenaza global y os contamos las predicciones de Bitdefender para este año.

El viernes 11 os hablamos de lo que supondrá la participación de Apple, Tesla y otras grandes empresas de la Nasdaq en el blockchain

El sábado 12 de enero hablamos sobre, seguramente, el huevo de pascua más famoso de la historia de Apple. Os recomendamos su lectura, ya que siempre es interesante conocer la historia de Apple. Sin duda, unas semanas de noticias e interesantes artículos en Seguridad Apple.

Una vulnerabilidad en Webkit afecta a las últimas versiones de Safari

Hace unos días se hizo público el código de un exploit para una vulnerabilidad de webkit, el motor de búsqueda que mueve safari y muchas otras aplicaciones y herramientas de macOS, iOS y Linux. El exploit se aprovecha de un error de optimización a la hora de conectar expresiones regulares, lo que puede acabar ofreciendo la posibilidad de ejecutar código arbitrario. Linus Henze, el desarrollador del exploit, ha dicho que la vulnerabilidad ya ha sido parcheada en su origen (Webkit), pero todavía no se ha solucionado en el navegador Safari. Según Henze tanto la versión para iOS como la versión de macOS se encuentran afectadas por el bug, aunque su código solo este diseñado para macOS.

En el caso de iOS, Henze ha dicho que existe un variante de WebKit vulnerable y que afecta directamente a las versiones de iOS que comienzan con la nomenclatura 12.0. En cuanto a macOS la vulnerabilidad también sigue siendo explotable en la versión 10.14 y posteriores. Según Linus los pasos a seguir para obtener un resultado exitoso son muy similares a los que se usaron con el exploit creado hace unos meses por Samuel Grob, al que se le asignó el código CVE-2018-4233 y del que se ha hablado en la Pwn2Own de este año por permitir la ejecución de código remoto en Safari.

“Este es un exploit para las últimas versiones de Safari (como la lanzada el 6 de diciembre de 2018). Como ya se ha arreglado el fallo en WebKit, he decidido hacerlo público” de hecho Henze ha incluido en su GitHub una guía explicado cómo hacer que su exploit funcione correctamente. 

Figura 1: Tweet de Linus Henze.

Aunque el exploit de Henze funcione e incluya instrucciones de uso, un atacante principiante no lo encontraría práctico ya que la protección de Sandbox de Safari podría prevenir que el código se ejecutase correctamente. Para realizar esta prueba de concepto hay que utilizar una serie de exploits conjuntamente con los que se puede evitar la protección de Sandbox explotando otras vulnerabilidades conocidas. En el caso de ser utilizado por un experto este exploit permitiría la ejecución de código arbitrario y a través de él obtener privilegios con los que se podrían bypasear políticas entre ellas la SOP (Same Origin Policy). Esta vulnerabilidad también puede afectar a otros productos basados en JavaScript. Aunque este no sea el caso de Chrome sí podría afectar a algunas aplicaciones basadas en las nuevas versiones de WebKit.

El Security Update de diciembre acaba con 13 vulnerabilidades críticas para macOS e iOS

Como es habitual, Apple ha lanzado una serie de actualizaciones de seguridad para el software de Mac e iOS. Los parches de diciembre también solucionan fallos en tvOS, Safari y en la versión de iTunes e iCloud para Windows. Todas estas actualizaciones deberían de instalarse lo antes posible. Para los Mac, las actualizaciones vendrás de la mano de Mojave 10.14.2, High Sierra Security Update 2018-003 o Sierra Security Update 2-18-006, dependiendo de la versión de macOS instalada en el equipo. Cada actualización incluye la solución de un total de 13 vulnerabilidades, incluyendo 7 que permitirían a una aplicación o usuario malicioso escalar privilegios y obtener el control de los dispositivos.

Estas brechas incluyen dos fallos en Windows Server, tres en el Kernel, uno en el Carbon Core, uno en las imágenes de disco y otro en IOHIDFamily. La actualización también soluciona problemas de exposición en la memoria de del Kernel por parte del driver de gráficos de Intel. Los usuarios de Mac quieren obtener la versión 12.0.2 de Safari con la intención de solventar nueve vulnerabilidades en el navegador y en el funcionamiento de WebKit. Todos los bugs de WebKit permitirían la ejecución de código arbitrario en remoto a través de una página web maliciosa, mientras que las brechas en Safari permitirían la realización de un interface o address bar spooffing además de provocar algunos problemas a la hora de hacer limpieza en el historial.

Figura 1: Actualización de macOS 10.14.2

Para los propietarios de iPhone e iPad, la actualización vendrá con el nombre de iOS 12.1.1, en ella se incluirán parches para las anteriormente mencionadas vulnerabilidades de Safari y Webkit, además de los fallos en las imágenes de disco y en el Kernel. Los fallos que son únicamente relativos a iOS corresponden al bug que permitía acceder a los contactos a través de Facetime y a otros 3 bugs que revelan información comprometida. Para Apple TV el lanzamiento de tvOS 12.1.1 supondrá la solución de todos los bugs derivados de los anteriormente mencionados para macOS e iOS. En cuanto a los usuarios de softwares de Apple en sistemas operativos Windows se encuentran a la espera de la llegada de las actualizaciones de iTunes 12.9.2 e iCloud 7.9 for Windows. Cómo estas dos aplicaciones se basan en componentes de WebKit y Safari, la instalación de los parches también será necesaria en las aplicaciones para Windows.

Apple, Google, Microsoft y Mozilla han anunciado su plan de deshabilitar TLS 1.0 y 1.1 en 2020

Los cuatro titanes de la industria han anunciado recientemente su plan de sustituir el protocolo Transport Layer Security (TLS) 1.0 y 1.1 por otras versiones más seguras y modernas del mismo. En un artículo publicado en el blog de WebKit el ingeniero de software de Apple Christopher Wood presentó la posibilidad de sustituir las versiones 1.0 y 1.1 de TLS por la versión 1.2 y la reciente versión 1.3. Wood, que está especializado en infraestructuras públicas y servicios de encriptación define TLS como un protocolo de seguridad de internet crítico a la hora de proteger el tráfico web que viaja entre los clientes y los servidores.

El protocolo nació con la intención de ofrecer confidencialidad e integridad a la información sensible de los usuarios y eso sigue haciendo, sin embargo las versiones a sustituir se remontan a 1999. Para salvaguardar a los usuarios de una potencial explotación de vulnerabilidades de navegador y frente a posibles ataques man-in-the-middle, Wood sugirió actualizar el protocolo y aseguró que la versión 1.2 de TLS se ajusta más a las necesidades actuales de la red. Además Christopher declaró que Apple sustituirá las versiones del protocolo en futuras actualizaciones programadas con el lanzamiento de una nueva versión de iOS y macOS en marzo de 2020.

Figura 1: Apache también se despide de TLS 1.0 y 1.1.

En la actualidad Apple utiliza TLS 1.2 como versión estándar, haciendo que cerca del 99.6% de las conexiones realizadas con safari utilicen esta versión más moderna del protocolo. Como un esfuerzo por parte de la industria para realizar esta transición de las versiones más anticuadas a las actuales, Google Chrome, Microsoft Edge y Mozilla Firefox dejaran de ofrecer soporte para TLS 1.0 y 1.1 al mismo tiempo que Safari. Actualmente el navegador con mayor índice de uso de estos anticuados protocolos es Firefox con tan solo un 1.2% de las conexiones que realiza, cifras considerablemente bajas.

Aprovechando el fin de semana o el puente de Mayo para actualizar los sistemas de Apple

En la última semana Apple ha liberado varias actualizaciones que debemos instalar lo antes posible. Se lanzaron actualizaciones de seguridad para iOS y macOS, mientras que Safari se actualizó a la versión 11.1, con el objetivo de evitar vulnerabilidades en el WebKit. Una de las correcciones más sonadas en esta tanda de actualizaciones ha sido la que involucraba a APFS, relacionada con el error de contraseña. En resumen, el sistema operativo iOS llega a su versión 11.3.1, mientras que macOS obtiene un parche llamado Security Update 2018-001.

Como parte de la actualización de seguridad, Safari se actualiza a la versión 11.1. El nuevo parche se centra en las vulnerabilidades que permitían ejecución de código remota, las cuales, en teoría, podrían ser explotadas por un atacante para implantar malware de manera silenciosa en un dispositivo. Además, se solventa una vulnerabilidad crítica en el WebKit. La segunda parte de la actualización de seguridad es algo a lo que Apple se refirió como un "error de contraseña APFS". Es decir, cuando el usuario conecta su unidad USB, macOS escribe un archivo de registro del sistema en la unidad que contiene la información de la contraseña. Hay que tener en cuenta que las claves de contraseña no deberían ser visibles, ni accesibles, para nadie tan fácilmente. Esto ha sido considerado una amenaza de seguridad. Apple ha arreglado esto en el Security Update 2018-001.

Figura 1: iOS 11.3.1 liberado con actualizacones críticas

Sin duda, son actualizaciones importantes que deben ser aplicadas lo antes posible. En el caso de los dispositivos iOS puedes ir a la app de Configuracion / General / Actualización de Software y verificar qué versión de iOS se está utilizando. Si se utiliza Mac y se aplica la actualización se seguirá en la versión 10.13.4. No dejes para después del puente lo que tenemos que hacer hoy y actualiza tus sistemas Apple.

Día de actualizaciones en Apple luchando contra Meltdown y Spectre

Ayer hablábamos del impacto de Meltdown y Spectre, los cuales también afectaban a la empresa de la manzana mordida. Hoy tenemos que hablar de las actualizaciones que la empresa de Cupertino ha liberado para el sistema operativo iOS y macOS. En primer lugar, hay que hablar de iOS y la nueva versión 11.2.2, la cual ha sido liberada de urgencia y mitiga los efectos de Spectre en el webkit de Safari. Si tienes un iPad, iPod Touch o iPhone actualiza hoy mismo la versión de iOS y mitiga el impacto que Spectre puede tener en tu dispositivo. 

Por otro lado, el sistema operativo macOS también ha sido actualizado. En esta ocasión con un sumplemento especial, o así lo han llamado. La versión de macOS High Sierra se mantiene en la 10.13.2, pero se recomienda que instales el Supplemental Update liberado por la empresa ayer mismo. Esta actualización mitiga el impacto de Spectre en el Webkit de Safari. En los últimos días se había hecho hincapié en la posibilidad de que un atacante se pudiera bastar de un Javascript para poder aprovecharse de esta vulnerabilidad, cuando el usuario visita un sitio web. Lo cual es potencialmente muy peligroso. 

Figura 1: macOS High Sierra 10.13.2 Supplemental Update

Sin duda, es un tema que seguirá dando que hablar, pero no dudes en actualizar hoy mismo, ya que el impacto de la vulnerabilidad es crítico. Hoy los equipos de IT de las organizaciones tendrán trabajo que realizar para implantar las actualizaciones en los equipos y dispositivos de los empleados. Seguiremos atentos a Meltdown y Spectre, ya que parece que seguirán dando que hablar.

8 años después la vulnerabilidad de Click to Call reaparece en iOS 10

Hoy traemos una de esas historias que parecen de ficción, pero que son pura realidad. Hace 8 años, el invesigador de seguridad Colin Mulliner encontró y reportó un error en Apple, el error era cuanto menos intrigante. En el blog hablamos de esto, ya que afectaba a otros servicios, el bug se denominó Click to Call.

Este error estaba presente en Safari, aunque la vulnerabilidad se debía a llamadas telefónicas no deseadas, gracias al enlace que comenzaba por tel:[número teléfono]. Este prefijo le decía al navegador que se quería realizar una llamada de teléfono, suponiendo que el dispositivo utilizado para navegar puede realizarlas. Si se permitía la llamada, tras ver un cuadro de diálogo de confirmación, ésta era realizada al contacto indicado en el enlace. Años después vimos como el bug de click to call también se daba en un buen número de apps, como Facebook o Google.

Figura 1: Enlace para hacer una llamada con un clic

Ocho años después, el investigador Mulliner, vio como un joven estadounidense era arrestado por promocionar un sitio web que contenía un enlace, el cual en última instancia iniciaba llamadas al 911. Esto, al estar en la web, provocó miles de llamadas a este número, el cual es el de emergencia en Estados Unidos. El investigador se preguntó si sería el error que él descubrió en el año 2008. Lo curioso es que sí, salvo que esto se realiza de forma ligeramente diferente, pero el efecto es el mismo. En la siguiente animación se puede ver un ejemplo del pasado Click to Call.

Figura 2: Click to Call en iOS 10

¿A qué se debe? Esto es debido a que iOS incluye una especie de "minibrowser" que utilizan las aplicaciones de la AppStore para mostrar el contenido HTML sin cambiarlo. Este componente se denominada WebView, y lo hemos visto en otros ejemplos de seguridad como en casos de phishing. El investigador ha reportado el problema a Apple, por lo que una corrección del componente WebView tendremos que verla en poco tiempo, seguramente en la próxima actualización del sistema operativo iOS.

Apple parchea un bug explotable mediante un JPEG malicioso

El pasado lunes Apple lanzó una serie de actualizaciones, entre ellas la de iOS que llega a su versión 10.1. Esta actualización es urgente, ya que se ha descubierto que el CVE-2016-4673 es una vulnerabilidad crítica, la cual puede provocar que un atacante ejecute código arbitrario a través de la apertura en tu dispositivo de una imagen JPEG maliciosa o un fichero en formato PDF. Una acción tan simple como mirar una imagen JPEG puede provocar el hackeo del dispositivo, por lo que hay que tener esto muy en cuenta y actualizar lo antes posible, si no se ha realizado ya la actualización a iOS 10.1.

Analizando la lista de vulnerabilidades corregidas con la versión 10.1 de iOS, nos encontramos con la de ejecución de código remota en el WebKit a través de la imagen maliciosa creada y que es enviada a las potenciales víctimas. Es importante entender que un atacante puede hacernos llegar una imagen o documento PDF de múltiples formas, por lo que sería realmente difícil parar este tipo de amenaza. La única solución es que actualicemos a la versión dónde se corrige esta gran amenaza que sufre el sistema operativo.

Figura 1: Actualización de iOS 10.1

Seguiremos atentos a las posibles novedades o campañas de malware que puedan utilizar este tipo de vulnerabilidades para aprovecharse y tomar control de los dispositivos remotos. La recomendación es clara, actualiza ya a la nueva versión de iOS 10.1 y cierra una de las puertas más peligrosas del sistema operativo hoy día.