Fue Noticia en seguridad Apple: del 28 de mayo al 9 de junio

Damos comienzo al mes de junio y con la llegada del calor en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el martes 28 avisándoos de la llegada de iOS 12.3.1 y macOS 10.14.5, actualizaciones que llegan apenas unos días antes de la WWDC.

El miércoles 29 os enseñamos como son las instalaciones “top secret” de Apple donde ponen a prueba los componentes de sus dispositivos.

El jueves 30 os avisamos de que Apple ha dejado de firmar iOS 12.2, lo que significa que ya no será posible hacer un downgrade a esta versión de iOS.

 El viernes 31 os informamos del descubrimiento de un nuevo Bypass al Gatekeeper de Apple, para el que todavía no se ha encontrado una solución.

El sábado 1 indagamos en la historia de Apple para hablaros algunas de las curiosas características del Apple I y de cómo uno de ellos ha logrado venderse por 471.000 dólares el pasado mes.

El domingo 2 os contamos como podéis comprobar el estado de la garantía de vuestros dispositivos iOS sin tener que acceder a la página web de Apple.

El miércoles 5 os enseñamos cómo podéis saltaros fácilmente la protección de seguridad de macOS Mojave utilizando los clicks “sintéticos” o automáticos.

El jueves 6 os informamos de que el hacker Linus Henze, creador de KeySteal revelará detalles acerca del funcionamiento de su herramienta en la Sea Mac Security Conference.

El viernes 7 os explicamos las razones por las que Apple y WhatsApp han condenado la propuesta realizada por la GCHQ de realizar escuchas en chats cifrados.

Finalmente, ayer sábado hablamos de tres proyectos para construir tu Apple-1. Una de las cosas a tener en cuenta del artículo es que Wozniak lo hizo en 1976 y sin Internet. ¿Te atreves a montar tu propio Apple-1?

Nos vemos en un par de semanas con el mejor resumen de la actualidad del mundo de la manzana mordida. Que paséis buena semana.

Apple y WhatsApp condenan la propuesta del GCHQ para realizar escuchas en chats cifrados

Una propuesta del GCHQ (Government Communications Headquarters) de Reino Unido que permitiría la realización de escuchas en servicios de chat encriptados ha sido condenada como una seria amenaza para la seguridad digital y para los derechos humanos. En una carta firmada por más de 50 compañías, organizaciones civiles y expertos en seguridad (incluyendo a Apple, WhatsApp, Liberty y Privacy International) se pide a GCHQ que abandone al que han llamado Protocolo fantasma y se centre en la protección del derecho a la privacidad, en la ciberseguridad y en la transparencia.

La propuesta en cuestión fue realizada por los oficiales de inteligencia Ian Levy (director del centro nacional de ciberseguridad de Reino Unido) y Crispin Robinson (director de cryptoanalistas en el GCHQ) durante el pasado mes de noviembre. La pareja propuso una técnica que evitaría romper el cifrado, en vez de solicitar a los servicios de mensajería compartir los mensajes con un tercero a la vez que llega a su destinatario. Levy y Robison alegaron que la propuesta no era más intrusiva que los virtual crocodile clips que se usan actualmente en las escuchas telefónicas en comunicaciones no cifradas. En la carta, la respuesta fue rotunda y se alegó que para lograr el resultado que buscaban los oficiales era necesario realizar cambios en los sistemas que podrían minar la seguridad y la confianza de los usuarios en el servicio.

Figura 1: Sede del GCHQ

"En primer lugar, requeriría que los proveedores de servicios inyecten una nueva clave pública en los chats como respuesta a una petición del gobierno. Esto convertiría una conversación de dos-vías en una charla grupal donde el gobierno es el tercer participante, o agregar un participante gubernamental secreto a un chat de grupo existente. En segundo lugar, para asegurar que el gobierno se sume a la conversación en secreto, la propuesta de GCHQ requeriría la ayuda de aplicaciones de mensajería, proveedores de servicios y sistemas operativos para engañar a los usuarios al suprimir las notificaciones que aparecen habitualmente cuando un nuevo integrante se une a un chat." 

Mientras que la propuesta de GCHQ evita solicitar la creación de backdoors en la encriptación, los expertos han argumentado que el daño generado al violar la confianza en la seguridad de los usuarios es comparable al de introducir defectos de seguridad que también puedan ser explotados por ciberdelincuentes. Al darse de alta en un servicio, los usuarios confían en proveedores acreditados para realizar funciones de autenticación y verificar que los participantes de una conversación son los indicados. Por el momento GCHQ ha decidido mantener su propuesta y ha comunicado públicamente que están abiertos a debatir sobre este tema con la idea de llegar a un posible acuerdo en el futuro. 

Fue Noticia en Seguridad Apple: del 13 al 26 de mayo

Se acerca el calor y en este mes de mayo en Seguridad Apple no dejamos de trabajar para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 13 hablándoos de una de las primeras filtraciones de información acerca de iOS 13.

El martes 14 os avisamos de la llegada de actualizaciones para los sistemas operativos de Apple con las que se han parcheado hasta 100 vulnerabilidades.

El miércoles 15 os contamos en qué consisten algunas de las nuevas patentes que ha lanzado Apple orientadas a su proyecto automovilístico.

El jueves 16 os explicamos por qué se destrullen alrededor de 66.000 iPhones al año tras haber sido donados para su reacondicionamiento .

El viernes 17 os alertamos de una vulnerabilidad descubierta por WhatsApp que permitía la instalación de un spyware israelí en dispositivos iOS y Android.

El sábado 18 indagamos en la historia de Apple para hablaros de cunado Bob Dylan denunció a Apple por el nombre de un lenguaje de programación.

El domingo 19 os enseñamos como podéis marcar o generar archivos de plantilla en macOS y así evitar estar haciendo copias de seguridad constantemente.

El lunes 20 os alertamos del descubrimiento de ZombieLoad, una vulnerabilidad que afecta a los chips fabricados por Intel desde el 2011 hasta la fecha.

El martes 21 os contamos como esconder un payload en los metadatos de una foto.

El miércoles 22 os avisamos de que ahora es más fácil notificar a Apple las vulnerabilidades de privacidad o seguridad que encontremos.

El jueves 23 os contamos que opinan los expertos acerca de la vulnerabilidad de WhatsApp descubierta la pasada semana y os recordamos la importancia de mantenerse actualizado.

Finalmente, el sábado 24 publicamos sobre la demoscene del Apple II, la cual sigue activa llevando al límite las capacidades este equipo de los años 70.

Os esperamos en dos semanas con un nuevo resumen bisemanal y con toda la actualidad y seguridad del mundo de la manzana mordida. 

El caso de WhatsApp sigue dando que hablar: Si no has actualizado, ¡actualiza!

La semana pasada os hablamos acerca de un spyware de origen israelí que había causado el caos en WhatsApp al transmitirse a través de llamadas sin dejar rastro de las mismas. Tras una semana investigando el descubrimiento de este spyware en la red social perteneciente a Facebook se ha llegado a la conclusión de que cualquier aplicación en los dispositivos de las víctimas pudo haber sido o puede haberse convertido en un nuevo vehículo para la carga maliciosa de malware y ejecución de código. Según los análisis de la firma de seguridad Lookout, Pegasus sería capaz de robar la lista de contactos, localización a través del GPS y contraseñas de redes Wi-Fi o personales.

La infección se llevaba a cabo a través de una llamada realizada desde la famosa red social, al recibirla los dispositivos quedaban infectados independientemente de si esta era aceptada o rechazada, de hecho el spyware era capaz de borrar los registros de llamadas de la aplicación para no dejar rastro alguno. Este método de infección resulta aterrador ya que la infección se lograba sin necesitar la interacción de las víctimas, en la mayoría de ataques es necesario que la víctima realice algún tipo de acción, por ejemplo, pinchar sobre un enlace. Según los expertos la vulnerabilidad fue descubierta por la propia empresa de WhatsApp, sin embargo su cifrado no se había visto afectada y la infección no se debía a un fallo en el código, sino que se trata de una herramienta externa (en este caso desarrollada por el NSO Group) que ha podido utilizar cualquier otra aplicación como vehículo para llegar hasta WhatsApp.

Pegasus y las posibilidades

El cifrado es una función de seguridad vital a la hora de establecer una comunicación segura, sin embargo no puede protegernos si un atacante o herramienta gana acceso a nuestro dispositivo. La única forma de evitar el acceso por completo seria evitar el uso de tecnología algo que resulta imposible de creer en la sociedad actual. El año pasado un estudio realizado por la universidad de Toronto revelo que al menos 45 países habían sido infectados por software Pegasus a través de al menos 36 gobiernos.

Desde Seguridad Apple os recordamos la importancia de mantener vuestro software, dispositivos y aplicaciones actualizados ya que en las actualizaciones se añaden parches de seguridad que nos ayudan a protegernos contra todo tipo de ataques.

Whatsapp revela una vulnerabilidad que permitia la instalación de Spyware en iPhone

En un artículo publicado hace escasos días por The Financial Times se ha revelado una vulnerabilidad de WhatsApp que permitía a los atacantes inyectar un spyware de origen israelí en algunos dispositivos. El código del spyware en cuestión fue escrito por la compañía israelí NSO Group y su vía de transmisión era a través de llamadas de WhatsApp a usuarios de iPhone o Android. El principal riesgo de este spyware es que el código malicioso podía ser transmitido aunque la persona que recibiese la llamada no contestase, además la llamada no quedaba almacenada en el registro de llamadas haciendo posible infectar a miles de usuarios sin que se diesen cuenta.

Todavía no se conocen todos los detalles acerca de esta vulnerabilidad, pero el informe sugiere que ha podido estar activa durante varias semanas.

“este ataque tiene todas las características de una empresa privada conocida por trabajar con gobiernos entregando spyware que supuestamente asume las funciones de los sistemas operativos de algunos teléfonos móviles, hemos informado a varias organizaciones de derechos humanos para que compartan esta información y que se lo notifiquen a la sociedad". Ha dicho WhatsApp.

Figura 1: Grupo NSO

Según el artículo, WhatsApp todavía no ha podido estimar el número de clientes afectados, aunque el alcance ha sido grande ya que la compañía propiedad de Facebook tiene alrededor de 1,5 billones de usuarios a lo largo del mundo. Por el momento se sabe que la empresa denunció el incidente al Departamiento de Justicia Estadounidense y comenzó a trabajar en la reparación de sus servidores lanzando un parche de seguridad dos días después. Por lo general el NSO Group desarrolla herramientas de este tipo para que los gobiernos de algunos países puedan controlar a algunas organizaciones criminales o terroristas, pero cuando estas herramientas caen en malas manos pueden convertirse en una amenaza para los usuarios de los servicios atacados.

Cómo proteger tus chats de WhatsApp con Face ID o Touch ID

La última versión de WhatsApp incorpora una importante nueva función de privacidad que permite a los usuarios de iPhone proteger sus chats utilizando la autenticación biométrica. Activar esta función es tan sencillo como pulsar un interruptor desde el apartado de ajustes de la aplicación, con esta función podrás activar el uso de Touch ID o Face ID si tu dispositivo dispone de los sensores necesarios. Esta nueva función solo está disponible a partir de la versión 2.19.20 de WhatsApp, si todavía no está disponible en tu dispositivo no te alarmes, no tardarás en poder disfrutar de ella.

Una vez que la autenticación biométrica se ha activado correctamente, los usuarios solo podrán acceder a sus chats de WhatsApp autenticándose a través de cualquiera de los dos sensores biométricos. Esta nueva capa de seguridad ofrece una considerable mejora en la privacidad de los usuarios, ya que eliminará casi por completo la posibilidad de que otras personas que conozcan nuestro passcode, como amigos o familiares puedan fisgonear en nuestros chats cuando olvidemos nuestro teléfono por casa. Para activar la autenticación biométrica solo tendrás que seguir tres sencillos pasos que os contamos a continuación:

1. Lanza la aplicación de WhatApp y ve a la pestaña de configuración.                                                   
2. En la pestaña de configuración dirígete al apartado “Cuenta” y en el selecciona “Privacidad”.                                                                                                                                                               
3. En la página de privacidad busca “Bloqueo de pantalla” y pulsa en el conmutador para activarlo. 

Figura 1: Activar Face ID en WhatsApp

Una vez hayas acabado de configurar la biometría tus chats estarán menos accesibles para cualquier otra persona. La autenticación con Face ID no es requerida cada vez que abres WhatsApp (a no ser que desees lo contrario), puedes configurarla para que se active cada vez que la aplicación lleve un cierto periodo de inactividad. Sin duda una novedad interesante y útil con la que podrás estar mas tranquilo si en tus chats hay información comprometida.

Rusia pide a Apple que elimine Telegram de la AppStore

La aplicación de mensajería Telegram ha tenido, recientemente, algunos problemas con el gobierno ruso. Éste ha pedido a los desarrolladores del servicio de chat cifrado que entreguen las claves de cifrado al gobierno ruso. Telegram se negó a ello y un tribunal de Moscú falló en contra de Telegram, al considerar que no cumple con la legislación local. Esto ha permitido a Rusia bloquear el funcionamiento de la aplicación en el país. Ahora, Rusia le pide a Apple que retire Telegram de la AppStore de Rusia en un intento por hacer más difícil que los usuarios lo descarguen. 

Mientras que los usuarios de Telegram existentes pueden acceder al servicio mediante el uso de una VPN, el acceso normal al servicio se ha bloqueado mediante la restricciones de direccionamiento IP. Después del respaldo del tribunal para llevar a cabo la prohibición de la aplicación en el país, muchos creen que el gobierno ruso podría usar la prohibición de Telegram como precedente y dirigirse a otros servicios que también brindan cifrado de extremo a extremo a los usuarios, por ejemplo, iMessage o WhatsApp.  

Figura 1: Pavel Durov

Telegram, que fue fundada por un empresario ruso Pavel Durov, también ha tenido problemas en otras partes del mundo. Se le ha mirado con lupa desde diferentes gobiernos, por distintas cosas, y está bloqueada en otras partes del mundo como, por ejemplo, Pakistán. Sin duda, esta historia no ha finalizado y tendremos que ver cual es la posición que toma la gente de Apple.

Un bug en Siri permite escuchar tus mensajes de WhatsApp o Skype en iOS

Un bug en Siri ha permitido a usuarios maliciosos poder leer tus mensajes ocultos. Recientemente, se ha descubierto un nuevo error de Siri que ha afectado a las últimas versiones de iOS 11. Este error permite a cualquier persona escuchar los mensajes ocultos del propietario del iPhone cuando el dispositivo está bloqueado. Los usuarios tienen la opción de ocultar las previsualizaciones de las notificaciones en el bloqueo de pantalla, una práctica opción que está habilitada de forma predeterminada en el iPhone X. 

Cuando las visualizaciones están ocultas, los usuarios solo pueden ver el nombre del remitente en la alerta de la notificación en la pantalla de bloqueo, mientras que el contenido del mensaje solo se revela cuando el dispositivo está desbloqueado. Entonces, en el caso del iPhone X, el sistema operativo iOS revelará los mensajes cuando haya verificado al usuario con el Face ID. Con este error de Siri, cualquiera puede coger un iPhone y pedirle a Siri que lea los mensajes pendientes. El error solo afecta a las aplicaciones de mensajería de terceros, por lo que aunque la aplicación Mensajes sigue siendo segura, aplicaciones como WhatsApp o Skype son vulnerables.

Figura 1: Acceso a los mensajes de WhatsApp

Este particular error de iOS 11 parece estar presente en iOS 11.2.6 y en la última versión beta de iOS 11.3. Ahora que este error se ha hecho público, se espera que Apple lo solucione en versiones finales de la iOS 11.3. Estaremos atentos a posibles noticias sobre esta vulnerabilidad y la solución que se toma al final por parte de la empresa de Cupertino.

El 'troleo' se apodera de los clientes de mensajería con el caracter telugu

La semana pasada surgió un error que provocaba el crasheo del terminal debido a un caracter del idioma indio. Esta semana ha sido, sin duda, la semana del 'troleo' y las risas en diferentes grupos. Es cierto que el caracter no afectaba al sistema desde cualquier app, pero al recibir un mensaje había que echarse a temblar. Este hecho ha hecho que Apple lanzara actualizaciones, con lo que este tema parece cerrado. 

Aunque el tema parece cerrado, sigue habiendo muchos usuarios de iOS que no han actualizado a la versión 11.2.6, aunque se recomienda que lo hagan lo antes posible. La broma no solo ha estado ocurriendo a través de iMessage, si no que también afectaba a mensajería de terceros, por ejemplo, WhatsApp o aplicaciones de correo electrónico. Las bromas en los grupos de amigos han sido infinitas, aunque no se tiene claro el daño que ello podría proporcionar. Incluso, hay usuarios de reddit que han sufrido las bromas a través del uso del caracter en la aplicación, incluso a través de mensajes directos. 

Figura 1: Inserción del caracter telugu

Lo que muchos no sabían es que si el dispositivo tiene una versión a iOS 11.1.2 o disponen de Jailbreak, el dispositivo puede reiniciarse hasta que se tenga que restaurar. Este hecho obligar a actualizar a la última versión de iOS, perdiendo los posibles Jailbreak y la posibilidad de llevarlo a cabo. El 'troleo' puede que quede aquí o siga hasta que los usuarios de iOS actualicen y dejen de ser vulnerables a este caracter.

Un mensaje de un solo carácter es capaz de crashear cualquier iPhone, iPad o Mac

Un simple mensaje de un solo carácter puede bloquear tu iPhone y también el acceso a algunas de las aplicaciones mas descargadas de la App Store. No es la primera vez que en Seguridad Apple os hablamos de la posibilidad de crashear un dispositivo de Apple a través de un mensaje de texto o un WhatsApp. En este caso os hablaremos este fallo que fue notificado por primera vez en el blog italiano Mobile World y de cómo su alcance no se limita simplemente a los dispositivos con iOS. Como en muchos de los otros casos de “mensaje bomba” este bug puede ser explotado por cualquier usuario que conozca de su existencia.

Aprovechar el bug es tan sencillo como enviar un carácter Telugu (lengua nativa India), una vez que el destinatario recibe el mensaje que contiene el carácter o intenta introducirlo en el editor de texto, éste crashea automáticamente el dispositivo en el que se haya recibido. Por el momento se ha podido comprobar su efectividad en iPhones, iPads, Macs, Apple TVs e incluso en Apple Watch. Las aplicaciones que reciben el mensaje dejan de funcionar correctamente hasta que el carácter es eliminado, algo que a veces resulta un poco complicado ya que al abrir la conversación otra vez la aplicación volvería a fallar (en el caso de WhatsApp habría que eliminar el chat).

Figura 1: Caracter Telugu que crashea los dispositivos iOS.

La mejor opción para acabar con el mensaje envenenado es pedir ayuda a alguien que pueda enviarte un mensaje a la misma aplicación en la que recibiste el mensaje para poder acceder a ella desde la notificación emergente. El bug afecta a algunas de las aplicaciones más utilizadas como Facebook Messenger, WhatsApp o Gmail, sin embargo parece haber algunas aplicaciones a las que no afecta este problema, como es el caso de Skype o Telegram. Apple ya ha sido notificado del bug y se espera que este sea parcheado en la próxima actualización de seguridad. Se ha comprobado que el bug no afecta a dispositivos iOS que corran con la beta pública de iOS 11.3.

Apple elimina Skype de la AppStore en China

Apple ha retirado la aplicación de Skype de la tienda de aplicaciones en China, tras una solicitud del Ministerio de Seguridad Pública de dicho país. Apple ha confirmado la acción al NY Times. Según informa el propio Apple, el Ministerio de Seguridad Pública ha notificado que varias aplicaciones de protocolo de voz por Internet no cumplen con las leyes locales, por lo que la empresa de Cupertino ha decidido aceptar la petición del gobierno Chino y ha eliminado la aplicación de la tienda en el país. Esto fue comentado el pasado martes, en un comunicado enviado por Apple. 

Por el momento, Skype continúa operando en el país, pero el documento indica que no está claro cuanto tiempo seguirá siendo así. El gobierno utiliza el llamado 'Gran Cortafuegos de China' para bloquear el acceso a ambos sitios web y a una serie de servicios de mensajería, incluido Gmail, Facebook, WhatsApp, Telegram o Twitter. Se cree que el gobierno bloquea las aplicaciones que utilizan el cifrado extremo a extremo, así como los servicios que no cumplen con las reglas del gobierno para identificar cuentas con los nombres completos de los usuarios. El gobierno chino también es hostil con las aplicaciones de mensajería extranjeras. 

Figura 1: iTunes muestra que el item no está disponible en China

Microsoft, propietaria de Skype, dijo que la aplicación fue eliminada temporalmente de la tienda de Apple y que la compañía estaba trabajando para restablecer la aplicación lo antes posible. El verano pasado Apple anunció que estaba abriendo un nuevo centro de datos en China para cumplir con las nuevas leyes que requieren las empresas extranjeras, para que los datos queden dentro del país. Para ello Apple se asocio con varias empresas locales, ¿Realizará la misma maniobra Microsoft?

Fue noticia en Seguridad Apple: del 11 al 23 de septiembre

Comienza el otoño y desde Seguridad Apple nos disponemos a traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 11 hablandoos del comienzo de una nueva serie de Talks llamada Code Talks for Devs. En ellas se hablarán de muchos temas interesantes como la programación, las intergaciones técnicas o APIS. Podreis seguir la serie en nuestro canal de YouTube y consultar vuestras dudas en la Comunity.

El martes día 12 os contamos como la filtración y el ataque a Equifax podría afectar a algunos de los posibles compradores del iPhone 8 a la hora de realizar la compra a través de un crédito, una práctica muy común en EEUU.

El miércoles 13 os hablamos de la quinta edición del security Innovation Day, la cual se celebrará el próximo 5 de octubre. El lema de este año es Security Rocks y contaremos con la presencia de Mikko Hypponen, CRO de F-Secure.

El jueves 14 os presentamos XNSPY, un nuevo Spyware para iOS que funciona tanto en dispositivos con jailbreak como en dispositivos sin el. Gracias a este Spyware podrás monitorear cuentas de Whatsapp, Instagram, Facebook y de muchas otras redes sociales además de poder activar el microfono de tu victima.

El viernes 15 os hablamos del impacto que podría causar el lanzamiento del nuevo Apple Homepod, en su segunda versión podría ofrecer unas prestaciones superiores a las de su competencia en el mercado.

El sábado 16 os informamos de que se esta llevando a cabo una nueva oleada de estafas con os usuarios de Apple como objetivo y os daremos una serie de útiles consejos para evitar caer en la trampa.

El domingo finalizamos la semana hablándoos de las ofertas de trabajo de Apple que se encuentran ocultas en la red y os contamos como un joven estadounidense logró encontrar una de estas ofertas.

El lunes 18 os avisamos de la posible llegada de un nuevo jailbreak para iOS 10.3.2 de la mano del equipo XigTeam además de recordaros el riesgo de hacer jailbreak antes de comprobar que esa versión es estable.

El martes 19 os informamos de que Apple publicará un informe detallado sobre el funcionamiento del nuevo Face ID antes de que el nuevo iPhone X salga a la venta.

El miércoles 20 os avisamos de la llegada de iOS 11 y hacemos un pequeño repaso sobre cuales han sido las actualizaciones de seguridad.

El jueves 21 os hablamos de como Apple ha publicado actualizaciones y boletines para 6 de sus productos y de la problemática real que suponían algunos de los fallos de seguridad ya arreglados.

El viernes 22 os contamos que Apple está eliminando algunas aplicaciones de la App Store por ofrecer algunos servicios que luego no realizan, como es el caso de algunas aplicaciones de análisis de antivirus.

Finalmente, el sábado hablamos del Face ID y su incidente en la presentación en el evento de Apple. Se ha hablado mucho sobre las teorías del fallo, pero tendremos que esperar a tenerlo en las manos para poder ver qué es lo que realmente ocurrió.

XNSPY: Un Spyware para iOS nuevo en la ciudad

Cuando hablamos de iPhone o iPad, muchos lo asocian a “Seguridad” y a un mundo sin malware. Para muchos desde hace unos años los terminales de Apple encabezan el mercado en lo que a seguridad se refiere. Actualmente es muy difícil espiar un iPhone si este no está jailbreakeado, pero los tiempos cambian y los hacks con ellos. En el día de hoy os haremos una pequeña muestra de iPhone Spyware App XNSPY, un spyware con el que pueden espiar dispositivos iOS y Android independientemente de si estos han sido rooteados previamente o no.
 

Según las pruebas realizadas, esta herramienta es capaz de espiar dispositivos con jailbreak desde la versión 6 hasta la 9.0.2 de iOS, y sin jailbreak desde la 6 hasta la 10.3.3. Adquirir e instalar la aplicación es un proceso sencillo, dispondremos de dos opciones, la herramienta para dispositivos con jailbreak y la herramienta para dispositivos “de serie”. Una vez seleccionada la que más se adapte a nuestras necesidades, solo tendremos que seguir los pasos marcados en el tutorial que podemos encontrar en su página web.

Figura 1: Iniciando XNSPY

La principal prestación de esta aplicación es el sigilo, una vez un atacante tiene XNSPY instalado no hay signo visible de su existencia. El spyware se instala sin dejar rastro, es decir en modo oculto, no aparece en la página de aplicaciones del dispositivo. Cuando hablamos de dispositivos sin jailbreak, el hecho de monitorear la posición de alguien es especialmente difícil. Esta aplicación ofrece un sistema capaz de monitorear a las personas con iPhone o iPad, de hecho te ofrece la posibilidad de ver el trayecto realizado por la víctima. XNSPY también permite crear zonas restringidas en las que al entrar el teléfono de la víctima nos llegará un aviso, una funcionalidad cuanto menos curiosa. Aunque otros spyware ofrecen esta opción lo que hace que XNSPY sea diferente es la posibilidad de guardar una o varias listas de observación que contengan nombres clave o ubicaciones relevantes.

Figura 2: Menú principal de XNSPY.

Otra característica importante que utilizan los delincuentes a la hora de espiar a alguien es poder acceder a sus perfiles en las redes sociales, con esta aplicación podrás monitorear los mensajes de aplicaciones como Facebook, Tinder, Whatsapp, Instagram y muchas más. Por si no fuese suficiente también te dará acceso a los mensajes de texto y los chats de iMessagge. Como cualquier otra aplicación espía, XNSPY también ofrece la posibilidad de grabar llamadas, con esta función se puede escuchar las conversaciones del objetivo además de localizar el origen de la llamada e identificar con que persona de su lista de contactos habla. Siempre y cuando el dispositivo en el que se instala  XNSPY no esté realizando una llamada se puede activar su micrófono y enterarnos de todo lo que sucede a su alrededor.

Hay que estar precabido y conocer este tipo de herramientas para poder detectarlas. Conocerlas es el principio para protegerse, por lo que hay que entender que el malware en iOS existe y como se puede ver en este artículo está al alacance de cualquiera.

Primo iPhone Data Recovery for Mac & Windows: Recupera tus datos de manera sencilla

La pérdida de datos personales puede suponer un quebradero de cabeza, por lo que se recomienda utilizar un dispositivo o un disco duro dónde poder tener un backup de nuestras cosas. También la recuperación de los datos puede suponer un quebradero de cabeza. Hoy hablaremos de la herramienta Primo iPhone Data Recovery for Mac & Windows, la cual facilita al usuario recuperar 25 tipos diferentes de datos desde el dispositivo iOS. Se puede utilizar esta herramienta para extraer contenido del dispositivo iOS, la copia de seguridad de iTunes y la copia de seguridad de iCloud, por lo que esta herramienta es interesante.

Aparte de las fotos, contactos, recuperar mensajes, notas, historial de llamadas, calendario, etcétera, se puede, también, recuperar mensajes y archivos adjuntos relacionados con aplicaciones de terceros, incluyendo WhatsApp y Line. Lo mejor de esta herramienta es que te permite ver el contenido antes de pulsar sobre el botón de recuperación. Además, la herramienta se puede utilizar para reparar el sistema del iPhone y arreglar una serie de fallos y problemas del sistema iOS. 

Figura 1: Primo iPhone Data Recovery

El uso de la herramienta es muy sencillo. Vale con conectar el dispositivo al equipo, ya sea un Mac o un Windows, y esperar a que éste detecte el dispositivo. Una vez que aparece conectado, se puede seguir adelante con el proceso que necesitemos, ya sea restauración, recuperación o realización de backup. Interesante herramienta a tener en cuenta.

Vigila qué aplicaciones tienen integración con Siri

El asistente de iOS, Siri, ofrece soporte para aplicaciones de terceros, lo cual significa que se puede utilizar Siri con aplicaciones como WhatsApp, Facebook, Skype. ¿Cómo sabemos qué aplicaciones podemos utilizar o tienen integración con Siri? Podemos verlo de forma sencilla con el mismo Siri, aunque, por otro lado, también podemos utilizar el listado que podemos encontrar en los ajustes del sistema sobre el soporte de aplicaciones. Esta integración de aplicaciones con Siri abre un abanico de posibilidades con los desarrolladores.

Como hemos mencionado, existen dos formas de ver qué aplicaciones instaladas admiten Siri. La primera se realiza a través de la aplicación de Configuración. Simplemente con ir a Ajustes - Siri - Soporte de aplicaciones podríamos ver el listado. Se puede determinar si queremos que Siri "se entienda" con estas aplicaciones. La segunda forma de ver qué aplicaciones soportan Siri es activando el propio Siri con el botón de inicio. Una vez que Siri nos pregunte, hay que pulsar sobre el botón "?". Esto debería revelar la página de "Algunas cosas que puedes pedirme". Si vamos hacia abajo en esa página podremos ver las aplicaciones de terceros instaladas en el dispositivo.

Figura 1: Listado de apps y órdenes de aplicaciones de terceros con Siri

Tenemos que tener claro que esto puede ser un pequeño riesgo, por lo que debemos controlar que aplicaciones pueden interactuar con Siri. Además, es necesario comprobar si Siri es accesible con el dispositivo bloqueado y estas circunstancias que pueden provocarnos algún que otro susto. De todos modos, creemos que son funcionalidades interesantes y que aportan riqueza al ecosistema Siri.

HackerOne rechaza a FlexiSpy de su programa de Bug Bounty

Los programas de Bug Bounty permiten a los investigadores obtener un reconocimiento o, incluso, un beneficio por sus méritos a la hora de descubrir vulnerabilidades en ciertas plataformas o tecnologías. Es una forma de tener una auditoría continua y proactiva por parte de algunas compañía, lo cual mejorará, sin duda, la seguridad de los entornos. La gente de FlexiSpy planeó atraer a los investigadores de seguridad con el fin de revelar vulnerabilidades en su software. 

El mes pasado, la firma FlexiSpy reveló sus planes vía Twitter para llevar su programa de Bug Bounty a HackerOne. El programa de recompensas ofrecía entre 100 y 5000 dólares para divulgar de forma privada errores. FlexiSpy indicó que el movimiento se encontraba en la etapa de aprobación. FlexSpy ofrece software para espiar para cualquier persona, por lo que, para muchos, no será una empresa muy ética. La idea de este software es permitir el rastreo de personas como niños, cónyuges o socios. Una vez pagado e instalado, el software espía permite a los usuarios escuchar de forma remota las llamadas en vivo, mirar los mensajes de texto, enviar SMS falsos, interceptar y ver contenido multimedia, leer correos electrónicos y/o comprometer otras aplicaciones como WhatsApp, Facebook, Skype o Instagram.

Figura 1: Dashboard de FlexiSpy

El CEO y el CTO de HackerOne aclararon la posición de la plataforma de Bug Bounty. Comentaron que FlexiSpy no es cliente, ya que los principios de la empresa chocan con la filosofía del programa de Bug Bounty. Además, el mes pasado un grupo de hackers llamados Deceptions comprometieron, supuestamente, FlexiSpy y filtraron el código fuente del software de la empresa. Esto provocó, junto a al propósito de consumo de FlexiSpy, las dudas de la gente de HackerOne. 

La plataforma de Bug Bounty argumenta que en el supuesto caso de que FlexiSpy sea aceptada por HackerOne, la compañía deberá publicar una política de divulgación de vulnerabilidades y comprometerse a proteger a los hackers contra acciones legales, ninguna de las cuales está actualemten en uso. Interesante debate, sin duda, el cual no será el último asalto. Seguro que pronto, tenemos más noticias.

El malware del movimiento que puede robarte las contraseñas

Un nuevo malware ha salido a la luz y se le ha puesto foco mediático debido a la forma que tiene de conseguir las contraseñas de un dispositivo móvil. La idea del malware es conseguir las contraseñas apoyándose en el sensor de movimiento del dispositivo móvil. Incluso, algunos sitios web hacen uso del sensor de movimiento o acelerómetro, por lo que dicha web podría conocer una contraseña tuya. Aunque esto parezca de ciencia ficción es muy real, tal y como puede leerse en el Paper publicado que demuestra la técnica. 

Para demostrar esta técnica los investigadores utilizaron un pequeño código escrito en Javascript, denominado PINLogger.js. Este código, a través del uso del acelerómetro, podía obtener los datos de las contraseñas introducidas por el usuario. En la imagen se puede ver la aplicación de prueba utilizada para llevar a cabo la investigación.

Figura 1: Prueba de concepto

Desde iOS 9.3, Apple no se ve afectado por este tipo de malware, el cual pone encima de la mesa los diferentes vectores que se pueden utilizar para llevar a cabo la materialización de amenazas. Vivimos en un mundo dónde la tecnología avanza diariamente, pero las nuevas amenazas surgen también diariamente debido al desarrollo y prosperidad de la tecnología. Por ejemplo, queremos referenciar a un tipo de evolución de ingeniería social y phishing, basado en los códigos QRCode, os dejamos un artículo dónde se puede visualizar el QRLJacking a WhatsApp.

El malware Pegasus para iOS aparace en el mundo Android

Pegasus ha aparecido para dispositivos Android, según ha publicado la empresa Lookout Security, quienes han mostrado un documento de la investigación llevada a cabo. Esta nueva versión ha sido bautizada como Chryasor y muestra como un malware creado para sistemas iOS puede aparecer "mutado" en otra plataforma, en este caso, una tan popular como Android. Lookout Security indica que es una pieza sofisticada de malware, aunque en el mundo de iOS el malware necesitaba del Jailbreak en el dispositivo. En Seguridad Apple ya hablamos de este malware.

El comunicado de la empresa indica que: "Los equipos de Google y Lookout colaboran por descubrir y rastrear a Pegasus con el fin de extender la protección para los usuarios de Android". Esta investigación se originó con el informe de Lookout. En Android el malware tiene muchas de las funcionalidades que tenía el malware en iOS. El malware es capaz de capturar una alta gama de información, por ejemplo de WhatsApp, Skype, Facebook, Gmail, Twitter, etcétera.

Figura 1: Funcionalidades de la nueva versión de Pegasus en Android

El malware puede realizar capturas de teclado y de pantalla e, incluso, grabar audio. Es todo lo que una agencia de espionaje de un gobierno puede querer. "Pegasus para Android es un ejemplo del conjunto de características comunes que vemos en el malware avanzado que puede utilizar cualquier Estado", se indica en el informe. Además, el malware es muy sigiloso, utiliza exploits, ofuscación de código y cifrado. Tiene un amplio conjunto de funciones de vigilancia como se ha visto anteriormente. Sin duda, una noticia interesante ver como el malware en iOS pasa a un entorno tan poblado como Android. Estaremos atentos a posibles noticias.

Apple envía a iCloud los logs de las llamadas que haces en iPhone

Una firma de seguridad rusa ha puesto en duda la nobleza de Apple, en lo que a la privacidad del usuario se refiere. Según un informe publicado por la empresa, parece que Apple envía los registros o logs de las llamadas a iCloud, conservando así todo el historial de llamadas de todos los iPhone durante, al menos, 4 meses, por lo que es un objetivo fácil para la aplicación de la ley y la vigilancia. La firma Elcomsoft descubrió que mientras un usuario tenga habilitado iCloud, su historial de llamadas se sincroniza y se almacena. 

El registro incluye los números de teléfono, las fechas y la duración de las llamadas, incluso de las llamadas perdidas. El registro no cesa aquí, además, se registra las llamadas de Facetime, así como las llamadas de aplicaciones que utilizan la función "Historial de llamadas", como puede ser Facebook y WhatsApp, también serán almacenadas. Aparentemente, no hay forma de desactivar la función, ya que no hay alternancia para la sincronización de llamadas. Un portavoz de Apple comentó: "Ofrecemos la sincronización el historial de llamadas como una comodidad para nuestros clientes para que puedan devolver llamadas desde cualquiera de sus dispositivos". Además, añadió que los datos del dispositivo están cifrados con la contraseña de un usuario y el acceso a los datos de iCloud, las copias de seguridad requieren del Apple ID y la contraseña del usuario.

Figura 1: Registro de llamadas de iPhone

En el documento de seguridad que Apple proporciona sobre el sistema operativo, se define claramente qué información se recopila para las copias de seguridad de iCloud. Del mismo modo, en las pautas de proceso legal, Apple anota que los registros de invitaciones de Facetime pueden almacenarse hasta 30 días. Esto es lo que dice Apple, pero la realidad parece ser otra. A continuación, se muestra la información que iCloud respalda:

• Información sobre música, películas, programas de TV, aplicaciones y libros comprados, pero no el contenido en sí.
• Fotografías y vídeos. 
• Contactos, eventos de calendario, recordatorios y notas. 
• Configuración del dispositivo.
• Datos de aplicación.
• Archivos PDF y libros agregados a iBook. 
• Historial de llamadas. Aquí es dónde queda reflejado que Apple informa de la sincronización de llamadas. 
• Pantalla de inicio y organización de la aplicación iMessage.
• Tonos de llamada.
• Datos de HomeKit.
• Datos de HealthKit.
• Correo de voz visual.

Apple indica que la sicronización del historial de llamadas es intencional. El investigador Jonathan Zdziarski comentó que no cree que Apple esté haciendo nada extraño con la sincronización de llamadas, ya que claramente están siendo almacenadas con propósito de continuidad y de poder acceder a su historial de llamadas a través de dispositivos Apple, incluso después de restaurar desde una copia de seguridad. Sin embargo, Zdziarski enfatizó la necesidad de que Apple sea claro con sus usuarios sobre los datos que se recopilan y almacenan en iCloud. Apple no indica que los registros de llamadas se sincronizan con el respaldo de iCloud desactivado, mientras que los registros de Facetime parecer estar almacenados durante más tiempo que lo que se indica.

Apple recomienda a todos los clientes seleccionar contraseñas seguras y utilizar la doble autenticación para acceder a la cuenta. Cuando hay una funcionalidad como ésta, oculta, y que, aparentemente, no se puede deshabilitar, surgen las dudas. Un ex-agente del FBI y experto en informática forense, Robert Osgood indica que: "Esto es una ventaja para la aplicación de la ley. Cuatro meses es mucho tiempo para retener registros de llamadas. Generalmente son 30 o 60 días, por que no quieren tener más registros de lo que por ley tienen que hacerlo".

HomeKit y el DDoS de Mirai: Apple lo pone difícil

El pasado viernes 21 de Octubre sucedió uno de los ataques más grandes que Internet ha visto. Una DDoS que afectó a muchos usuarios de Netflix, Twitter, WhatsApp, entre otros. Esta denegación de servicio distribuida venía, en gran parte, de una botnet del IoT. En el artículo de hoy vamos a centrarnos en el análisis desde el punto de vista de Apple y su protocolo HomeKit. La empresa Dyn, que fue la empresa atacada, fue incapaz de proporcionar una fuente del ataque, la información publicada posteriormente por la empresa Flashpoint revela que los ataques dirigidos venían de un malware denominado Mirai.

Mirai busca en Internet dispositivos IoT que tengan el usuario administrador y contraseña por defecto. Una vez descubierto se infecta con malware y se añade a la botnet. Además, DVR y cámaras con direcciones IP pudieron ser añadidas a la botnet, debido a vulnerabilidades conocidas. El problema radica en que los usuarios no pueden cambiar las contraseñas por defecto de forma factible, o que el firmware de los elementos es difícilmente actualizable, lo que hace que queden expuestos a vulnerabilidades en el tiempo que no se puedan solucionar de forma sencilla. Aquí es dónde Apple habla del HomeKit. Apple incorporó un cifrado extremo a extremo, protección wireless y ofuscación del acceso remoto. Es relativamente más difícil que un dispositivo HomeKit MFI fuera parte de una botnet como la de Mirai.

Figura 1: HomeKit

El HomeKit utiliza la infraestructura de iCloud y el modelo iOS para la sincronización de datos de forma segura, o al menos más que lo visto hasta el momento en el mundo IoT. En el documento que Apple publicó respecto a la seguridad en iOS 9.3, se puede ver un apartado del HomeKit. En esta parte podemos ver: identidad con clave pública para cada dispositivo iOS, comunicación cifrada punto a punto, almacenamiento cifrado de datos local, etcétera. Mínimas y poderosas medidas de seguridad en comparación con passwords por defecto de los dispositivos IoT.

Cuando un iPhone se comunica con un accesorio HomeKit, son los dos dispositivos los que se autentican entre sí. La identidad única de HomeKit es almacenada en el llavero y sincronizado con otros dispositivo a través de iCloud. Merece la pena echar un ojo a estas características de seguridad, teniendo en cuenta que Apple ha hecho que algunos fabricantes que quieren integrarse con el HomeKit, retrasen su fecha de salida, debido a la integración con el HomeKit y la seguridad por defecto que ofrece, que como hemos visto no ocurre en gran parte del Internet of Things.