Así fue cómo 18 aplicaciones de malware se colaron en el Apple Store

El ecosistema de aplicaciones del iPhone es uno de los más seguros que pueden adquirirse hoy día, gracias al gran control que ejerce Apple sobre su App Store. Aún así, es posible que algunas aplicaciones lleguen a superar los severos controles de seguridad. Recientemente, unas 18 aplicaciones consiguieron diseñar técnicas de evasión para esquivar todos esos procesos de defensa. Vamos a ver cómo lo consiguieron.

Una serie de aplicaciones, las cuales iban desde una calculadora hasta incluso uno sobre cómo realizar ejercicios de yoga, aparentemente inocuas, realizaban una serie de tareas en background un tanto oscuras. Por ejemplo, creaban anuncios invisibles los cuales generaban clicks falsos en un sitio web para aumentar sus ingresos por publicidad. Este tipo de malware se llama adware y realmente el único impacto sobre el usuario sería una disminución de la duración de la batería y posiblemente mayor consumo de datos. No existe un daño directo a la confidencialidad ni a la integridad del dispositivo, están enfocadas únicamente a sacar un beneficio económico indirecto por publicidad.

Figura 1. Iconos de las aplicaciones afectadas por el adware. Fuente.

Pero lo importante no es realmente lo que hacían, sino cómo consiguieron llegar al App Store. La empresa de seguridad Wandera detectó una actividad inusual en una aplicación aparentemente normal, como es un simple velocímetro. Pero de repente, la aplicación conectó con un servidor de "Command and Control", que también ejercía la tarea de emisor de la publicidad que antes hemos mencionado. Consiguieron identificar al desarrollador de la aplicación llamado AppAspect Technologies (India) y además vieron que tenían otras aplicaciones (17 más). Así que las instalaron y comenzaron también a monitorizarlas.

Lo curioso es que en principio, no detectaron nada extraño. De hecho durante varios días ejecutaron las aplicaciones en varios dispositivos y no vieron ninguna comunicación extraña con ningún servidor. Y aquí viene lo mejor. Las pruebas se realizaron utilizando WiFi y durante ese periodo no se activó ninguna acción maliciosa. En cambio, cuando los desarrolladores añadieron una tarjeta SIM, y después de un tiempo, comenzaron a ver actividad enviada a ese servidor de adware. Es decir, estaban programadas para detectar una SIM, pero además, estaban programadas para esperar un tiempo razonable antes de realizar la conexión. Este es el listado de dichas aplicaciones:

• RTO Vehicle Information
• EMI Calculator & Loan Planner
• File Manager - Documents
• Smart GPS Speedometer
• CrickOne - Live Cricket Scores
• Daily Fitness - Yoga Poses
• FM Radio PRO - Internet Radio
• My Train Info - IRCTC & PNR​ (not listed under developer profile)
• Around Me Place Finder
• Easy Contacts Backup Manager
• Ramadan Times 2019 Pro
• Restaurant Finder - Find Food
• BMI Calculator PRO - BMR Calc
• Dual Accounts Pro
• Video Editor - Mute Video
• Islamic World PRO - Qibla
• Smart Video Compressor

Si un dispositivo tiene una SIM quiere decir que pertenece a una persona real con un número de teléfono y una línea, y no a un ecosistema montado para detectarlo. Es decir, estaba perfectamente programado para calcular los tiempos de espera y detectar la tarjeta SIM. Cuando contactaron con la empresa AppAspect Technologies estos comentaron que no tenían ni idea de este comportamiento. Lo más inquietante de toda esta historia es que podemos creer perfectamente a la empresa AppAspect, ya que la mayoría de empresas compran e insertan código de terceros en sus programas, muchas veces, como podría ser este caso, sin analizarlos previamente.

Apple ha retirado las aplicaciones y lo mejor de esta historia es que a partir de ahora, no sólo se centraran en comportamientos asociados al malware y se ha abierto un nuevo enfoque poniendo en el punto de mira al adware. Todo lo que sea mejorar los sistemas de detección de malware es bienvenido en el ecosistema de Apple.

Descubren Apps populares en iOS que comparten datos sensibles con Facebook

Cuando te compras un dispositivo iOS, es muy posible que tengas en mente eso que siempre trasmiten desde Apple, "la seguridad y la privacidad de los clientes es lo primero". Por desgracia, esto no siempre se cumple, ya sea de manera voluntaria o por desconocimiento, y en esta ocasión un estudio de The Wall Street Journal, demostró que 11 de las 70 aplicaciones más populares comparten datos sensibles (entre ellos datos de salud o de localización), la mayor parte de las aplicaciones tienen que ver con salud y deporte.

Casi siempre que vemos este tipo de noticias se refieren a Android, pero ya vemos que iOS tampoco está a salvo, pese a sus medidas más restrictivas en temas de privacidad. Lo que parece que no sorprende es que Facebook se vea otra vez envuelto en este tipo de problemas.En el mundo digital se comparte más información de la que se debería compartir, y hay que tenerlo en mente, desde luego todo ello debería tener nuestro consentimiento (aunque a veces no es así). La violación de datos no solo afecta a usuarios con Facebook, usuarios que no tienen cuenta en la red social también se ven afectados.

Figura 1: Ejemplos de apps. Fuente

Desde Apple no obligan a las aplicaciones a decir con quién compartirán los datos que recopilan al estar en el dispositivo, algo que se debería hacer. Y nosotros como usuarios podemos limitar cosas a compartir, como puede ser la localización, pero otros datos, pueden que no estén a nuestro alcance el bloquear si se comparten o no. Esperemos que desde Apple tomen nota para un futuro próximo.

Creadores de malware están encontrando nuevos métodos para espiar iPhone

Gracias a la combinación de fuertes controles e innovadoras medidas de seguridad Apple ha convertido su iPhone en uno de los productos más seguros para los consumidores de todo el mundo. Por desgracia, nada es imposible de hackear y el malware en iOS es más común de lo que la gente cree. A principios de este año, la firma de ciberseguridad Kaspersky Lab encontró la prueba de que un desarrollador de spyware para el gobierno llamado Negg había desarrollado un malware personalizado para iOS que permitía el rastreo GPS y que tenía acceso a la actividad de audio. A pesar del descubrimiento Kaspersky Lab no lo hizo público al tratarse de un malware todavía en proceso de desarrollo.

El malware en iOS siempre ha sido poco común gracias al incremento de la dificultad de los Jailbreak en los iPhone y el empeño de Apple por bloquear sus dispositivos. Este esfuerzo por parte de la compañía ha provocado que se ponga precio a los bugs y exploits que se descubran en sus sistemas operativos. A día de hoy hay compañías que ofrecen hasta 3 millones de dólares por softwares que sean capaces de llevar a cabo un jailbreak o sean capaces de hackear dispositivos, haciendo que muchos desarrolladores se muestren reacios a reportar los bugs que encuentran por el simple hecho de que hay compañías que les pagarán mejor. Pero las compañías no son las únicas en ofrecer dinero por este tipo de herramientas, hace tiempo se descubrió que el gobierno de Arabia Saudí pagó alrededor de 55 millones de dólares por un malware para iPhone desarrollado por la firma NSO Group.

Figura 1: iPhone con perfil MDM instalado

A comienzos de este año mientras investigaba un sofisticado spyware para Android desarrollado por Negg, Kaspersky Lab descubrió un servidor preparado para la realización de ataques MDM (Mobile Device Management) en dispositivos Apple. La función MDM de iOS permite a las compañías que utilizan iPhone monitorear la actividad de los dispositivos de sus empleados a través de la instalación de un perfil MDM. Durante la investigación se descubrió que Negg es una pequeña empresa desarrolladora italiana. Todavía no se sabe cómo este malware fue distribuido por los hackers del gobierno, sin embargo los expertos de Kaspersky Lab han especulado acerca de la ingeniería social ya que por el momento no se ha descubierto la forma de instalar un perfil MDM sin tener acceso físico a los dispositivos.

Miles de apps en iOS y Android filtran datos a través de Firebase

Un informe generado y distribuido por la firma de seguridad móvil Appthority, ha revelado que miles de aplicaciones iOS y Android están dejando al descubierto una gran cantidad de datos de los usuarios a través de bases de datos de Firebase mal configuradas. No es la primera vez que Appthority encuentra bases de datos mal configuradas en la nube. La compañía de seguridad encontró en su día información crítica expuesta en servicios como MongoDB, CouchDB, Redis, MySQL y Twilio.

En enero de este año, Appthority comenzó a escanear un gran número de apps para móvil que hacían uso de los sistemas de Firebase para almacenar datos, analizando los patrones de comunicación de las aplicaciones con los dominios de Firebase. Tras encontrar el problema, se reportó que el origen del mismo estaba causado por los en wl proceso de desarrollo de apps, pues los desarrolladores tendían a optar por no exigir la autenticación para las bases de datos en la nube de Google Firebase; esta opción no está marcada por defecto cuando los developers hacen uso de este entorno de desarrollo. De las 2,7 millones de apps iOS y Android analizadas, se identificaron 28,502 aplicaciones (1,275 de iOS y 27,227 de Android) que hacían uso de bases de datos Firebase. En el caso de las aplicaciones desarrolladas para iOS, la información vinculada a 600 de ellas era vulnerable. En total, más de 3,000 apps filtraban datos desde 2,271 bases de datos mal configuradas dejando al descubierto más de 100 millones de registros de usuario. En total, la información filtrada ocupa más de 113 GBs e incluye datos como:

• 2.6 millones de credenciales en texto plano (user IDs y contraseñas);
• 4 millones de registros PHI (Protected Health Information); 
• 25 millones de localizaciones GPS; 
• 50,000 registros financieros entre los que se incluyen movimientos bancarios y transacciones de Bitcoin; 
• 4.5 millones de user tokens corporativos y también de Facebook, LinkedIn y Firebase.

Para evitar que esta filtración de datos vuelva a ocurrir, desde Google recomiendan que los desarrolladores abandonen la práctica de no implementar la autenticación a todas las bases de datos, pues de lo contrario resultaría muy sencillo para cualquier atacante capacitado a accedes a una ingente cantidad de datos privados almacenados en las aplicaciones. A raíz de esta incidencia, Google ha publicado una guía completa sobre cómo hacer bases de datos seguras con Firebase. Google no sólo fue avisado del leak encontrado antes de la publicación del artículo, sino que también se le facilitó la lista de apps y servidores de bases de datos de Firebase afectados.

Cómo crear tu propio pass del wallet de iOS (Parte 1 de 2)

Los pass de la Wallet de iOS son una representación digital de información referente a tickets o entradas de un evento determinado. Estos passes incorporan ciertos mecanismos que permiten al usuario realizar acciones en el mundo físico, como por ejemplo notificar de una reserva en un hotel, escanear una entrada en un cine o un billete de avión en un aeropuerto. Para permitir realizar estas acciones, los pass pueden estar compuestos por imágenes, códigos de barras o información que puede ser actualizada a través de notificaciones push.

El usuario puede gestionar todos sus pass a través de la aplicación Wallet donde podrá visualizarlos, organizarlos o eliminarlos a voluntad. La tecnología inherente a estos passes se divide en los siguientes componentes:

• Un formato particular para crear pass. 
• Una API Web Service para poder actualizar los pass, implementado en los servidores del desarrollador.
• Una API para que las apps puedan interactuar con la Wallet.

PassKit es el framework que recoge estas APIs y permite implementar todo lo necesario para desarrollar los pases. Con este framework y junto a un kit de desarrollo que proporciona Apple podemos generar nuestros propios tickets para almacenar en el Wallet de iOS. Para ello solo es necesario tener una cuenta de desarrollador de Apple y XCode.

Figura 1: Esquema de funcionamiento

Introducción al caso

Hace unos meses, al comprar unas entradas por internet me mandaron adjunto un ticket con extensión .pkpass. Al intentar abrirlo, el fichero no respondía como otros passes que había descargado anteriormente. Normalmente al abrir uno de estos archivos adjunto a un correo, el sistema presenta una ventana modal que permite visualizar el contenido con varias opciones, como la posibilidad de añadirlo al Wallet.  

Figura 2: Ejemplo de Pass

Al no responder de esa manera, me hizo sospechar que el pass podría tener un problema, así que decidí destripar el archivo en busca de posibles fallos. Al descomprimir y comprobar en la página de desarrolladores de Apple el formato esperado, no había nada que difiriese a lo indicado en la documentación.

Composición de un pass
 

Los pass son creados como paquetes comprimidos con la extensión .pkpass. Todos los recursos utilizados son cargados en el sistema usando las técnicas estándar de localización en paquetes, implementadas en la clase NSBundle. Los elementos principales de un pass contienen los siguientes archivos:

• background.png -> La imagen que se mostrará como el fondo del pass.
• footer.png -> La imagen mostrada en la parte frontal del pass, cercano a el código de barras. 
• icon.png -> El icono del pass. Este icono se mostrará en notificaciones y emails que tienen el pass adjunto o en la pantalla de bloqueo cuando sea necesario mostrarlo.
• logo.png -> La imagen que aparece en la esquina superior izquierda.
• manifest.json -> Diccionario JSON en formato clave/valor donde cada clave es la ruta correspondiente al archivo y el valor es un hash en SHA1 de la clave para el archivo. Todos los elementos que aparezcan en el paquete deben estar contenidos en el manifest, a excepción del manifest y la firma.
• pass.json -> Diccionario JSON que define el pass con un formato que explicaremos posteriormente.
• signature -> Firma en PKCS #7 del manifest.json.
• strip.png -> La imagen que se muestra debajo de los campos principales. thumbnail.png -> Una imagen adicional que se muestra en el frontal del pass, puede servir para mostrar un logo de la marca o información adicional.

Todas las imágenes son cargadas en el sistema siguiendo el estándar de UIImage, por lo que para poder visualizarlas correctamente en todos los dispositivos será necesario crear una versión en alta resolución con el doble de puntos que termine con el nombre @2x.png. En el próximo artículo se verá los ficheros, la modificación y el resultado final.

Apple prohíbe la subida de apps dedicadas al minado de criptomonedas para todos sus dispositivos

La última versión de las políticas de desarrollo de Apple, actualizada el pasado 4 de junio, impedirá que cualquier aplicación que ejecute procesos en segundo plano que no estén directamente relacionados con la actividad de la app puedan ser descargadas en ningún dispositivo Apple. La política actualizada es bastante clara al respecto en la sección de Compatibilidad Hardware: “2.4.2 Las aplicaciones no deberán consumir rápidamente la batería, recalentar o exigir en exceso los recursos de los dispositivos. Toda aplicación, incluyendo cualquier anuncio soportado en las mismas, no podrán correr procesos en segundo plano, como en el caso del minado de criptomonedas.”

Apple también ha incluido en la política un apartado exclusivamente dedicado a las criptomonedas. Mientras que la empresa de Cupertino permite aquellas aplicaciones que funcionan como monedero, siempre y cuando sean ofrecidas por desarrolladores registrados como organizaciones autorizadas, dejará fuera a todas aquellas que intenten el minado de criptomonedas haciendo uso de los recursos del dispositivo. Del mismo modo, las aplicaciones involucradas en negociaciones u otras transacciones de valores de criptomoneda quedarán limitadas sólo a aquellos bancos, empresas u otras instituciones financieras aprobadas. Las aplicaciones de criptomonedas no podrán ofrecer monedas virtuales a los usuarios a cambio de que otros usuarios descarguen la aplicación, descargar otras aplicaciones o aumentar la actividad de las redes sociales. 

Figura 1: Cambios de Apple frente a la crypto

En realidad, estas restricciones no son nuevas, pues Apple ya lleva unos meses aplicándolas a raíz de los eventos reportados en varias aplicaciones, las cuales presentaban esta funcionalidad ahora fraudulenta. Con su formalización buscan cortar de raíz una serie de prácticas que amenazaban con convertirse en un problema. Uno de los primeros casos fue reportado en marzo de este año con la aplicación de Calendar 2 de Qbix. En aquella ocasión se informó de que esa app minaba Monero a cambio de dar a los usuarios accesos a servicios premium. Como consecuencia, los usuarios veían incrementar su nivel de uso de la CPU drásticamente. No olvidemos que estos procesos de minado, que suelen operar sin el conocimiento del usuario, pueden causar una degradación en rendimiento de los dispositivos, pudiendo provocar problemas en los componentes si estos son exigidos de manera continuada.

Apple elimina apps de la App Store que recopilan datos de ubicación debido a la GDPR

Apple ha decidio mover ficha y ha comenzado a eliminar aplicaciones de la App Store que recopilan datos de ubicación, ¿Por qué? Por la GDPR. Solo faltan dos semanas para que llegue oficialmente el Reglamento General de Protección de Datos, GDPR, de la Unión Europea. Apple sigue trabajando para garantizar que los datos de los clientes estén dentro de la GDPR.  

Apple está mirando más allá de su propia privacidad. Ha estado tomando medidas enérgicas contra los desarrolladores cuyas aplicaciones comparten datos de ubicación, expulsándolos de la App Store, si violan las políticas de datos de ubicación de Apple. Se conocen varios casos en los que Apple ha enviado correos electrónicos a desarrolladores para informarles que sus aplicaciones infringen las secciones 5.1.1 y 5.1.2 de las pautas de revisión de la App Store. Esas secciones se refieren a la recopilación de datos, el almacenamiento, el uso y su uso compartido, así como a que las personas deben conocer qué tipo de datos solicita una aplicación. 

Figura 1: Correo electrónico de Apple a un usuario

Apple no quiere que los desarrolladores pidan solamente el permiso, les está indicando que expliquen para qué se usan los datos y cómo se comparten. Si se trata de mejorar la experiencia del usuario, está bien. De lo contrario, las aplicaciones son eliminadas. No puede usar o transmitir los datos personales de otra persona sin antes obtener su permiso y proporcionar acceso a la información sobre cómo y dónde se usarán los datos. Sin duda, la llegada de la GDPR afectará a todo el mundo, sea una pequeña empresa o una gran empresa. A partir del 25 de mayo veremos, seguramente, casos que nos llamarán la atención.

No caigas en falsos mensajes de iTunes y la App Store

Hoy en día uno de los ataques más utilizados para robar credenciales y cuentas es el Phishing. Muchas veces este tipo de ataques logra engañar a las victimas utilizando falsos correos electrónicos en los que se avisa de un problema con una de tus cuentas y proporcionándote un enlace (aparentemente legitimo) que te redirige a una página fraudulenta de aspecto similar a la página oficial de uno de los servicios que utilizas habitualmente, estos ataques cada vez van siendo más sofisticados ya que cada vez la gente tiene más conocimiento de su existencia y funcionamiento.

Hace unos días Apple publicó una guía rápida con la que ayudar a los clientes para diferenciar los emails legítimos de App Store, iTunes, Apple Music… de los fraudulentos. Apple recalca que los emails fraudulentos utilizan el mismo formato, fuente e imágenes que los oficiales, incluso imitan el logo oficial de Apple.

“Algunos mensajes de Phishing te pedirán que hagas clic en un link para actualizar la información de tu cuenta. Otros intentaran parecer un recibo de la App Store, iTunes Store, iBooks Store o de Apple Music, de los que estés seguro que no has comprado. Nunca introduzcas la información de tu cuenta en links asociados a estos correos, ni descargues archivos asociados a ellos”

Figura 1: Correo fraudulento suplantando a Apple.

Si quieres realizar una comprobación de tus recibos o actualizar tus datos Apple recomienda acceder directamente desde la página oficial o desde un dispositivo iOS accediendo a través de los ajustes de la App Store o iTunes. A continuación os proporcionamos una serie de pautas que podéis usar para comprobar si se trata de un email legítimo o no.

• Si el mensaje recibido es real, no necesitas pinchar en el enlace que trae asociado, accede a tu Apple ID desde tu navegador o desde los ajustes de tu dispositivo. (Independientemente de la legitimidad del correo, la mejor opción es no pulsar en el enlace).

• Si el mensaje o página fraudulenta te solicita información personal como número de la seguridad social o datos bancarios no respondas, Apple nunca solicita este tipo de información y mucho menos por e-mail.

Figura 2: Página de phishing solicitando datos bancarios.

• En cuanto al tema de la facturación y compras, cualquier duda o cuestión que tengas podrás aclararla desde tu App Store, donde podrás comprobar tu historial de compras.

Apple es una empresa muy concienciada con la seguridad y ya ha puesto a disposición de los usuarios un correo en el que se puede informar de las sospechas de un ataque Phishing.

iOS 12: La seguridad como dimensión obligada (y el arreglo de la batería)

Apple quiere centrarse en el rendimiento y la fiabilidad del sistema operativo, pero tendrá que abordar y cubrir cuestiones de seguridad. Quizá uno de los mayores problemas que a día de hoy tenga sea el tema de la batería. Apple tiene pensado hacer de la seguridad una de las bases características del sistema operativo iOS 12, que está por llegar. El nuevo sistema operativo se espera para finales de este año, aunque veremos muchas betas durante este año. 

Además, todo parece indicar que iOS y macOS se convertirán en plataformas que estarán más unidas, con algunas aplicaciones fusionadas, aunque de momento no hay mucho detalle sobre este tema. Algunas fuentes indican que iOS 12 no verá la luz hasta principios del año 2019, debido a ciertos problemas, pero parece que hay mucho tiempo para que Apple pueda llegar a tiempo. Generalmente, Apple lanza una versión de iOS con su nueva gama de dispositivos iPhone en septiembre, lo que significa que los usuarios tienen al menos siete meses para esperar hasta que se sepa algo más sobre iOS 12. 

Figura 1: iOS 11 vs iOS 10

Lo que sí llegará en breve es una actualización de iOS a la versión 11.3. Se prevée para primavera, pero puede que la tengamos antes, en función de las necesidades y las vulnerabilidades que se tapen con la nueva versión. La versión 11.3 ya fue lanzada en versiones para desarrolladores, incluyendo la capacidad de desactivar una función que ralentiza los iPhone e iPad antiguos para preservar la duración de la batería. Sin duda, una versión del sistema operativo muy esperada.

Apple actualiza sus “App Store guidelines” añadiendo nuevas secciones sobre VPNs y criptomonedas entre otras.

Apple ha publicado hace unos días una revisión de sus App Store guidelines incluyendo cambios de gran relevancia. Probablemente uno de los cambios más importantes haya sido el relacionado con las Apps generadas mediante plantillas. Hoy en día existen numerosas herramientas que nos permiten generar Apps de manera muy sencilla utilizando una serie de plantillas existentes. Este tipo de aplicaciones son frecuentemente utilizadas con propósitos fraudulentos, principalmente debido a que en la mayoría de los casos la aplicación esta subida a la tienda por el propio servicio de plantillas y no por el autor.

Es por esto que, desde hacía un tiempo, Apple estaba cancelando de su tienda todas las apps de este estilo. A pesar de ser una buena iniciativa, la ejecución no resultó del todo efectiva y se terminaron cancelando un gran número de aplicaciones legítimas que habían utilizado este tipo de servicios. Por ello, la compañía ha detallado mucho más su política relacionada con las aplicaciones basadas en plantillas, sustituyendo el párrafo antiguo:

4.2.6 Apps created from a commercialized template or app generation service will be rejected 

Por el nuevo párrafo:

4.2.6. Apps created from a commercialized template or app generation service will be rejected unless they are submitted directly by the provider of the app’s content. These services should not submit apps on behalf of their clients and should offer tools that let their clients create customized, innovative apps that provide unique customer experiences. 

Another acceptable option for template providers is to create a single binary to host all client content in an aggregated or “picker” model, for example as a restaurant finder app with separate customized entries or pages for each client restaurant, or as an event app with separate entries for each client event. 

Ahora los motivos por los que una aplicación de este estilo será rechazada o eliminada de la tienda quedan muchísimo más claros y detallados. Además de esta nueva inclusión relacionada con las Apps construidas a partir de plantillas, se han añadido otras nuevas secciones interesantes:

Apps offering VPN services must utilize the NEVPNManager API and must make a clear declaration of what user data will be collected and how it will be used. VPN apps must not violate local laws, and if you choose to make your VPN app available in a territory that requires a VPN license you must provide your license information in the App Review Notes field.

Figura 1: App Store Review Guidelines

En el párrafo anterior, Apple detalla muchos aspectos muy relevantes relacionados con el uso de VPNs, como la cantidad de información que se recolecta de los usuarios, o la forma en la que esta información va a ser utilizada. Además, señala la importancia del cumplimiento con las leyes del territorio donde la aplicación estará disponible.

Por último, otra de las secciones que resulta de especial interés, es la relacionada con las criptomonedas:

3.1.5 (b) Cryptocurrencies: Apps may facilitate transmission of approved virtual currencies (e.g. Bitcoin, DogeCoin) provided that they do so in compliance with all state and federal laws for the territories in which the app functions. Apps facilitating Initial Coin Offerings (“ICOs”), cryptocurrency futures trading, and other crypto-securities or quasi-securities trading must come from established banks, securities firms, futures commission merchants (“FCM”), or other approved financial institutions and must comply with all applicable law. 

En este párrafo, una vez más, se hace hincapié en el cumplimiento de las leyes del territorio donde estará disponible, así como en el tipo de instituciones que pueden ofrecer estas criptodivisas, reduciéndolo a instituciones bancarias, firmas de seguridad, FCM u otras instituciones financieras aprobadas.

En conclusión, si eres desarrollador y dispones de una aplicación en la App Store relacionada con alguno de estos temas o algunos otros, quizá te interese echarle un ojo a la guía completa para que tu App cumpla completamente con la política de Apple.

Algunas aplicaciones de iOS pueden acceder a tu ubicación a través de tu galería

Si eres de esas personas a las que les importa su privacidad lo suficiente como para no compartir tu ubicación a través de aplicaciones de terceros, tenemos malas noticias para ti. Recientemente se ha revelado que algunas aplicaciones pueden acceder a tu ubicación actual y a otras en las que has estado a través de los datos EXIF asociados a las fotografías que se encuentran en tu galería. Cualquier foto tomada con un dispositivo iOS esta geo-localizada y contiene información sobre cuándo y en qué lugar fue tomada.

Cuando a una aplicación le facilitamos acceso a nuestra galería, esta aplicación puede acceder a los datos de las imágenes que en ella se encuentran y será capaz de saber que lugares has visitado anteriormente. Lo alarmante de esta cuestión es que una vez que la aplicación ha recibido acceso a la galería, ésta puede continuar monitoreando las fotografías a medida que las vas tomando y estar al día de tu paradero a pesar de que no hayas querido compartir tu ubicación con ella.

Figura 1: Mapeo realizado por DetectLocations App.

La posibilidad de hacer esto no quiere decir que todas las aplicaciones lo hagan, esto es algo que el desarrollador Félix Krause ha demostrado por medio de una prueba de concepto consistente en el lanzamiento de una app llamada DetectLocations, cuyo funcionamiento se basa en el principio anteriormente explicado y sirve para realizar un mapa con las ubicaciones en las que se ha encontrado un usuario. La aplicación de Félix también es capaz de generar rutas que haya podido realizar el usuario si ha tomado varias fotos durante un viaje en coche, tren, barco u otros medios de transporte.

Para evitar que algunas aplicaciones puedan acceder a tu localización puedes desactivar la geolocalización desde la aplicación Ajustes de tu dispositivo, solo tendrás que acceder al apartado Privacidad y una vez en él seleccionar Localización > Servicios > Cámara y marcar la opción “Nunca”. Hecho esto podrás tomar las fotos que quieras sin que estas guarden tu localización.

Fue noticia en Seguridad Apple: del 11 al 23 de septiembre

Comienza el otoño y desde Seguridad Apple nos disponemos a traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 11 hablandoos del comienzo de una nueva serie de Talks llamada Code Talks for Devs. En ellas se hablarán de muchos temas interesantes como la programación, las intergaciones técnicas o APIS. Podreis seguir la serie en nuestro canal de YouTube y consultar vuestras dudas en la Comunity.

El martes día 12 os contamos como la filtración y el ataque a Equifax podría afectar a algunos de los posibles compradores del iPhone 8 a la hora de realizar la compra a través de un crédito, una práctica muy común en EEUU.

El miércoles 13 os hablamos de la quinta edición del security Innovation Day, la cual se celebrará el próximo 5 de octubre. El lema de este año es Security Rocks y contaremos con la presencia de Mikko Hypponen, CRO de F-Secure.

El jueves 14 os presentamos XNSPY, un nuevo Spyware para iOS que funciona tanto en dispositivos con jailbreak como en dispositivos sin el. Gracias a este Spyware podrás monitorear cuentas de Whatsapp, Instagram, Facebook y de muchas otras redes sociales además de poder activar el microfono de tu victima.

El viernes 15 os hablamos del impacto que podría causar el lanzamiento del nuevo Apple Homepod, en su segunda versión podría ofrecer unas prestaciones superiores a las de su competencia en el mercado.

El sábado 16 os informamos de que se esta llevando a cabo una nueva oleada de estafas con os usuarios de Apple como objetivo y os daremos una serie de útiles consejos para evitar caer en la trampa.

El domingo finalizamos la semana hablándoos de las ofertas de trabajo de Apple que se encuentran ocultas en la red y os contamos como un joven estadounidense logró encontrar una de estas ofertas.

El lunes 18 os avisamos de la posible llegada de un nuevo jailbreak para iOS 10.3.2 de la mano del equipo XigTeam además de recordaros el riesgo de hacer jailbreak antes de comprobar que esa versión es estable.

El martes 19 os informamos de que Apple publicará un informe detallado sobre el funcionamiento del nuevo Face ID antes de que el nuevo iPhone X salga a la venta.

El miércoles 20 os avisamos de la llegada de iOS 11 y hacemos un pequeño repaso sobre cuales han sido las actualizaciones de seguridad.

El jueves 21 os hablamos de como Apple ha publicado actualizaciones y boletines para 6 de sus productos y de la problemática real que suponían algunos de los fallos de seguridad ya arreglados.

El viernes 22 os contamos que Apple está eliminando algunas aplicaciones de la App Store por ofrecer algunos servicios que luego no realizan, como es el caso de algunas aplicaciones de análisis de antivirus.

Finalmente, el sábado hablamos del Face ID y su incidente en la presentación en el evento de Apple. Se ha hablado mucho sobre las teorías del fallo, pero tendremos que esperar a tenerlo en las manos para poder ver qué es lo que realmente ocurrió.

Aplicaciones oscuras eliminadas de la AppStore

Apple está eliminando un gran número de aplicaciones de la AppStore que no tienen declaradas todas las funcionalidades que ofrecen o que no son todo lo transparente que las políticas de la empresa requieren. Muchas aplicaciones que se encuentran en el store pueden ser potencialmente un spyware u otro tipo de software nefasto. Apple está eliminando aplicaciones que podrían ser oscuras o cuyas funcionalidades no son las que se venden. Apple ha actualizado recientemente las pautas para los desarrolladores con el objetivo de incluir que las aplicaciones no puedan estar en la App Store si son engañosas.

Este hecho incluye la prohibición de aplicaciones que afirman que están ejecutando un análisis de antivirus o que realizan otras acciones contra el malware. Este tipo de malas aplicaciones de malware han gestionado y conseguido millones de descargas entre ellos.  Apple prohibe este tipo de aplicaciones que ofrecen lo que en realidad no ofrecer, es decir, servicios de antivirus y escaneos. Las aplicaciones de escaneo de malware están siendo apuntadas por Apple. ¿Son importantes estas aplicaciones? ¿Afectan a los usuarios? La verdad es que sí. El mayor problema es que engañan a los usuarios y pueden darles una falsa sensación de seguridad o, incluso, obtener beneficios o ejecutar cierto código no ético.

Figura 1: Aplicaciones Shady

No es la primera vez que Apple ha eliminado algunas aplicaciones que son algún tipo de malware de la App Store. En el año 2015, Apple eliminó a VirusBarrier. La prohibición era algo de lo que Apple no hablaba, pero era una prohibición implícita. Ahora, Apple ha hecho pública la prohibición sobre este tipo de aplicaciones. Sin duda, interesante reflexión y ejecución por parte de Apple para intentar lograr tener más limpia la AppStore.

Cómo escoger la mejor VPN para tu iPad

A pesar de que iOS generalmente es considerado uno de los sistemas operativos más seguros tiene algunos pequeños fallos en lo que a seguridad y privacidad se refiere, hoy en día con la siempre inminente llegada de nuevos exploits y vulnerabilidades el uso de una VPN te proporciona una capa extra de seguridad, por no mencionar algunos de los otros beneficios que puede ofrecerte. Al hablar de VPN para iOS rápidamente lo asociamos al uso del iPhone, sin embargo no debemos olvidarnos de los iPad. Actualmente existen muchas herramientas diseñadas para iOS en las que el iPad se ha tenido en mente.

Como ya hemos dicho, hay una gran oferta de proveedores que han dedicado sus aplicaciones a iOS, en un mundo ideal estas herramientas deberían ser capaces de satisfacer tanto a usuarios básicos como avanzados a través de un sencillo uso y muchos ajustes y opciones para los que desean experimentar más a fondo. Otro aspecto importante de este tipo de herramientas es que pueden proporcionarnos seguridad e intimidad además de tener un rápido funcionamiento a la hora de encontrar una conexión. Teniendo en mente esos criterios hemos hecho una selección de los 5 mejores servicios de VPN para iOS de este 2017.

Figura 1: IPVanish VPN for iOS.

1. IPVanish: Esta VPN cuenta con más de 750 servidores y permite un máximo de 5 dispositivos conectados, en cuanto a seguridad es una de las más completas, soporta los protocolos IKEv2, IPSec y PPTP. El único inconveniente es que solo hay versión de pago.                                                    
2. VyprVPN: En este caso contaremos con más de 700 servidores y proporciona una velocidad que dobla la velocidad normal de la conexión, soporta los protocolos IPsec e IKEv2, su precio dista de ser barato pero ofrece la posibilidad de realizar una prueba gratuita.                                                                                                                                                                                        
3. ExpressVPN: Con 1500 servidores esta VPN es capaz de ofrecer un excelente soporte para iOS, funciona en algunas de sus versiones más antiguas permitiendo su uso a los iPads e iPhones de anteriores generaciones. El inconveniente de esta VPN es su precio, es la más cara de las que hemos mencionado hasta ahora y no ofrece la posibilidad de realizar una prueba gratuita.                                                                                                                                                     

   

   Figura 2: Keepsolid VPN.

                                
4. KeepSolid VPN Unlimited: Esta VPN cuenta con mas de 1000 servidores, su uso es muy sencillo e intuitivo, también incluye un Firewall de DNS que bloquea los anuncios. Cuenta con versión de prueba gratuita y luego ofrece la posibilidad de comprar la herramienta indefinidamente a un precio razonable.                                                                                             
5. Speedify: Esta herramienta cuenta con tan solo 86 servidores, su punto fuerte es la velocidad, (como su propio nombre indica), solo soporta versiones de iOS iguales o superiores a la 9.0. Esta VPN ofrece un plan mensual gratuito de 1Gb y el precio de sus otros planes dista de ser caro.

Protege tus iMessage con touch ID

Cloak It es una de esas aplicaciones que nos ayuda a añadir otra capa de seguridad a la hora de utilizar el servicio de mensajería iMessage de Apple. Con esta aplicación podemos mandar texto e imágenes para que el receptor únicamente podrá visualizar el contenido utilizando touch ID, por lo que se asegura que el contenido que se envía sea leído únicamente por el dueño del teléfono, o aquellas personas personas que tengan acceso con su huella al dispositivo. La forma de uso es muy simple, ya que se trata de una extensión de iMessage, característica que se presentó con la llegada de iOS 10 el pasado Septiembre.

Para utilizarlo lo primero que debemos hacer es buscarla e instalarla desde la tienda de apps de iMessage, aparece el icono de la App Store al lado de la entrada de texto del mensaje, o bien desde la App Store teniendo en cuenta que cuando se descargue no se va a encontrar ningún icono en el Springboard, sino que vamos a poder acceder a esta característica a la hora de escribir en la plataforma de mensajes de Apple.  Si queremos enviar un mensaje “seguro”, únicamente tenemos que seleccionar el icono de la App Store a la hora de enviar el mensaje y buscar Cloak It. Ahí se nos activará la cámara y se puede tomar una foto rápida y mandarla pixelada hasta que se desbloquee el mensaje o bien pulsar sobre la “T” para enviar texto. A la hora de recibirlo pedirá introducir el touch ID para ver el contenido. En el caso de fallar, aparecerá un mensaje de aviso de acceso no autorizado y tendremos la posibilidad de desbloquear el mensaje con una contraseña que se establece la primera vez que se utiliza la aplicación.

Figura 1: Cloak It en acción

De esta manera podemos proteger nuestros mensajes secretos para asegurarnos de que deben llegar a la persona adecuada, sin embargo, al hacer uso de esta aplicación es importante tener en cuenta su política de privacidad http://getcloaked.xyz/privacy-policy/ en la que anuncian que cuando se utiliza el servicio se recopila información anónima para realizar análisis sobre el uso del servicio. De esta manera pueden saber si hemos enviado unas pocas imágenes o algunos mensajes de texto.

Apple y el reto asiático: Tiendas, pagos móviles y un iCloud

Apple corre el riesgo de ser rechazado por el gobierno Chino. Apple ha disfrutado de un gran ético en el páis asiático, ya que el iPhone ha sido sin duda el producto estrella. A medida que las empresas empujan a la sociedad a un mundo en la nube, los pagos electrónicos y los diferentes servicios que se ofrecen, se enfrentan a los mismos reguladores que expulsaron a los Facebook y Uber. No es un secreto saber que en China se favorecen a las empresas locales sobre las extranjeras. Esto es debido a razones económicas y de seguridad nacional. 

Según algunos analistas, China es un quinto de los ingresos totales de Apple en el último año fiscal y una cuarta parte de su beneficio operativo de 60.000 millones de dólares. En comparación, China representó una pequeña fracción de los ingresos totales de IBM, Oracle y EMC. Apple se ha mantenido al margen de cualquier problema con el gobierno Chino. La semana pasada Apple accedió a la petición de China de eliminar algunas aplicaciones de VPN de la AppStore. Hoy en día, la mayor amenaza para Apple proviene del consumidor, ya que los envíos de iPhone cayeron un 27% en el primer trimestre de 2017, ya que Huawei y OPPO ganan cuota de mercado. Apple quiere conseguir más dinero a través de aplicaciones y servicios en China. 

Figura 1: Apple en China

Otro de los problemas en el país asiático es la censura. Censores obligaron a Apple a cerrar sus tiendas de libros y películas en línea después de lanzarla 6 meses antes. Apple se enfrenta a las duras leyes sobre los requisitos de vigilancia y almacenamiento de datos, lo cual añade mucha incertidumbre al posible iCloud que se quiere montar en China con la ayuda de un socio local. Esto es una noticia interesante, pero Apple tendrá que luchar contra el gobierno y las leyes que en China se tienen. Sin duda, un nuevo reto aparece en el país asiático, y es que Apple quiere competir contra Alibaba, Tencent y Baidu, que ya dominan el almacenamiento en la nube, los pagos móviles, las tiendas de aplicaciones y el contenido en línea. Interesante reto para los de Cupertino.

Apple elimina aplicaciones fraudulentas de comercio de opciones binarias de la App Store

Apple y Google han eliminado cientos de aplicaciones comerciales fraudulentas. Recientemente, cientos de aplicaciones móviles que ofrecen opciones de comercio se han eliminado de Google Play y de la App Store después de una investigación de la Comisión de Valores e Inversiones de Australia, conocida como ASIC. La ASIC investigó a más de 330 aplicaciones ofrecidas a los australianos y encontró muchas declaraciones engañosas publicadas sobre la rentabilidad de la negociación y las cantidades que se podrían conseguir. 

El comercio de opciones binarias es aquel que tiene una rentabilidad fija o nada. Suele ser de dos tipos: efectivo o nada o activos o nada. El comercio de opciones binarios se ha comparado al juego, e implica al comerciante que consigue el valor en un momento dado o pierde todo el dinero invertido. ASIC encontró que el 80 por ciento de las aplicaciones no contenía ninguna advertencia sobre los riesgos de perder dinero y muchas aplicaciones recopilaban información para llamadas de alta presión de clientes. También ofrecieron actividades asociadas tales como casino, lotería y otros servicios. Los inversores más ancianos eran un objetivo claro.

Figura 1: Comercio de opciones binarias

La comisionada de ASIC, Cathie Armor, comentó en un comentado que: "Este es un recordatorio oportuno para los inversores para permanecer atentos y no caer en publicidad llamativa o venta. Los inversores también necesitan asegurarse de que cualquier proveedor de servicios financieros, independiente de la forma en que se presta el servicio, está debidamente licenciado y autorizado para proporcionar esos servicios". Sin lugar a la duda, la acción de ASIC para proteger a los inversores y usuarios de los markets oficiales de Google y de Apple es una acción dura contra el fraude.

Apple libera la beta 4 de macOS High Sierra, watchOS 4 y tvOS 11

Apple sigue preparando la aparición de los nuevos sistemas operativos de la compañía. El otro día vimos la salida de la beta 4 de iOS 11, sistema operativo que en un par de meses veremos en nuestros dispositivos iPhone, iPad e iPod Touch. Por otro lado, Apple ha liberado las nuevas betas 4 de los sistemas operativos macOS High Sierra, watchOS 4 y tvOS 11. Todas ellas están disponibles para su descarga a través del developer center. Las actualizaciones han sido liberadas para todos los modelos que soportan estos sistemas operativos.

La beta 4 de macOS High Sierra para Mac trae características nuevas como el nuevo Apple File System optimizado, con un actualizado y renovado stock de apps y algunos parches de seguridad y mejoras de estabilidad y rendimiento. Desafortunadamente, en esta beta no se muestra ninguna característica nueva. Se puede decir que esta nueva versión liberada del sistema operativo es una actualización menor, dando estabilidad y soluciones a errores encontrados, en su mayoría, en betas anteriroes. 

Figura 1: Programa beta públicas para tvOS 11. Fuente

Del mismo modo que ocurre con la beta 4 de macOS High Sierra, watchOS 4 y tvOS 11 presentan soluciones a bugs, algunos de seguridad, pero no presentan características nuevas. Son, por lo tanto, actualizaciones menores que corrigen bugs encontrados por los desarrolladores en las betas anteriores. Apple sigue preparando sus sistemas operativos para el gran día, el día de la liberación de estas versiones, el día que cada vez está más cerca. Seguiremos informando desde Seguridad Apple.

iOS 10 en el 80% de los dispositivos y el usuario el eslabón más débil

Los expertos en IT suelen demostrar confianza en la seguridad de los dispositivos iOS, aunque siempre hay vulnerabilidades que vigilar o de las que estar pendientes. Una de las cosas de las que se quejan los expertos en IT es que los usuarios suelen evitar los códigos de acceso o passcode para proteger sus dispositivos. El sistema operativo iOS tiene la confianza de la empresa y de los expertos IT y suelen ser los usuarios los que representan una amenaza a la seguridad. Siempre se ha dicho que el eslabón más débil es el usuario, aunque no siempre sea así.

Ningún software es completamente seguro, pero iOS tiene una sólida reputación debido al control estricto de Apple sobre apps y sus actualizaciones. Por otro lado, los riesgos de seguridad basados en el comportamiento de los usuarios es grande. Hay situaciones más difíciles de controlar, por ejemplo, cuando un usuario hace clic en un enlace o introduce una contraseña en un sitio no legítimo. Estas son las situaciones que deben tener la atención del equipo de IT. Como resultado, las organizaciones deben concienciar a sus empleados, lo cual siempre es una tarea difícil. Erik Lightbody comentó que se pueden hacer todos los avances de seguridad que se quiera, pero si un usuario da una contraseña o no protege su equipo no hay mucho que hacer.

Figura 1: iOS 10 y su despliegue

Una de las ventajas de iOS es que los usuarios actualizan el sistema operativo con más frecuencia que los otros sistemas operativos móviles. Esto permite a sus usuarios tener las últimas características de seguridad y parches. Casi el 80% de dispositivos iOS se actualizaron a la versión más reciente, es decir a iOS 10, en febrero, mientras que el 16% todavía tiene que actualizar desde iOS 9. En comparación, solo el 6,6% de los usuarios Android ha actualizado a la última versión del sistema operativo, Android 7, en mayo, mientras que el 31,2% todavía estaban en Android 6 y el 23,3% en la versión 5.1. Sin duda, interesante reflexión, pero siempre habrá que emplear fondos e invertir en la concienciación de los empleados, formarles y darles los criterios adecuados para manejar la información de la organización de una forma eficiente y segura.

Apple castiga a los desarrolladores de bloqueadores de anuncios

Puede que Apple esté evitando algunos de los bloqueadores de anuncios que se basan en el uso de VPN o certificados raíz. Este hecho está basado en la interacción que el desarrollador Tomasz Koperski tiene con el equipo de revisión de la AppStore. Koperski es el CTO de Future Mind, una compañía que produce software como AdBlock, Weblock y Admosphere, tres aplicaciones de bloqueo de anuncios. Al enviar una actualización de AdBlock para iOS, la cual está basada en el uso de la VPN, se rechazó. Koperski apeló a la Junta de Revisión de Aplicaciones, dónde Apple le informó de que los bloqueadores de anuncios basados en certificados VPN / root ya no serán permitidos.

En otras palabras, no se aceptarán actualizaciones de este tipo de bloqueados de anuncios. Según indica Apple, la aplicación de AdBlock viola la sección 4.2 de las Pautas de revisión de la AppStore. Concretamente, la aplicación viola la sección 4.2.1, la cual indica que las aplicaciones deberían utilizar API y marcos para los propósitos previos y deberían indicar esa integración en la descripción de la aplicación. Aún más en concreto, la aplicación fue rechazada porque "Su aplicación utiliza un perfil VPN o un certificado raíz para bloquear anuncios u otro contenido en una aplicación de terceros, lo cual no está permitido en la AppStore".

Figura 1: AdBlock

A Koperski se le comentó que los bloqueados de contenido de Safari, introducidos en la versión 9 de iOS, serían los únicos bloqueados de anuncios compatibles con Apple en el futuro. Actualmente, hay docenas de aplicaciones de blqoueo de anuncios similares a AdBlock y se verán afectadas de forma similar cuando lancen una nueva actualización. A Koperski se le comentó que la aplicación sería actualizada si cambia el modo del bloqueador de anuncios pasando al de contenido de Safari. La compañía de la aplicación aún no ha decidido qué hacer y están estudiando varias opciones, como dejar la aplicación tal y como está, expandir la funcionalidad existente en un servicio VPN o realizar la transición al bloqueador de Safari.