Ya está aquí Checkra1n, el primer jailbreak permanente basado en checkm8

Uno de los jailbreaks más esperados del año ya está aquí, esto es una buena noticia para toda la comunidad del jailbreak y para aquellos a los que les gusta acabar con las limitaciones que Apple impone en sus dispositivos. El jailbreak en cuestión es el conocido Checkra1n, se trata del primer jailbreak basado en el exploit checkm8, el que se hizo público hace unos meses. Este nuevo jailbreak llega de la mano de Luca Todesco y su equipo de desarrolladores. Con checkra1n podrás instalar Cydia y otros administradores de archivos con los que disfrutar de una gran variedad de aplicaciones no firmadas por Apple.

Gracias al soporte de inyección de tweaks los usuarios podrán disfrutar de sus tweaks favoritos en iOS 13 y personalizar varias características de su dispositivo. La llegada de checkra1n supone un lavado de cara para la comunidad del jailbreak y animará a numerosos desarrolladores a añadir soporte para iOS 13 en sus herramientas. Como checkm8 es una vulnerabilidad permanente Apple no podrá parchear el jailbreak en futuras actualizaciones (para poder hacerlo tendría que arreglar la memoria de arranque de todos los dispositivos afectados, algo imposible una vez que han abandonado la fábrica). Este jaillbreak es compatible con las versiones más nuevas de los sistemas operativos de Apple (iOS 13.2.x e iPadOS 13.2.x).

Figura 1: Checkra1n ejecutandose en un iPhone.

En cuanto a compatibilidad con dispositivos checkra1n es compatible con todos los modelos de iPhone comprendidos entre el iPhone 6 y el iPhone X y con los iPad comprendidos entre el iPad Air 2 y el iPad Pro de segunda generación (que son los que montan el chip A11 o versiones anteriores). Si quieres adquirir este jailbreak podrás hacerlo desde su página oficial, por el momento la herramienta está disponible únicamente para macOS pero no tardará mucho en salir su versión para Windows. En este caso en concreto es recomendable extremar precauciones a la hora de realizar la descarga debido a que hace un par de meses se descubrió una página fraudulenta que ofrecía la posibilidad de descargar este jailbreak antes de su lanzamiento y que acabó con la inyección de malware en miles de equipos por todo el mundo. Desde Seguridad Apple aprovechamos para recordaros que hacer jailbreak a vuestros dispositivos os ofrece grandes posibilidades de personalización a cambio de una pérdida importante de seguridad. 

Ya está aquí iOS 13.2.2. Los problemas de cobertura y datos persisten.

Desde la llegada de iOS 13 ya son 6 las actualizaciones lanzadas por Apple. Con la llegada de esta nueva versión de iOS Apple pretende solucionar algunos problemas introducidos con la llegada de iOS 13.2, sin embargo parece haber ignorado algunos errores graves en este parche además de haber introducido alguno nuevo. A continuación analizamos las novedades y fallos que se han solucionado con esta nueva actualización. IOS 13.2.2 es compatible con todos los dispositivos capaces de correr iOS 13 (dispositivos a partir del iPhone 6s e iPod Touch de séptima generación). Os recordamos que iPad ahora cuenta con su propio sistema operativo.

iOS 13.2.2 se trata de una actualización de emergencia para solucionar algunos problemas surgidos en su versión anterior, sin embargo parece estar generando más problemas de los que ha logrado solucionar. De hecho han surgido nuevos fallos gráficos, problemas con la pantalla de bloqueo y un consumo excesivo de batería. Aunque esta actualización siga estando plagada de errores parece haber tenido una mayor aceptación que la polémica iOS 13.1.3. A continuación os contamos cuales son los cambios contemplados en el ChangeLog de esta actualización:

Figura 1: Changelog de iOS 13.2.2.

• Se ha arreglado un error que hacía que algunas aplicaciones se detuviesen inesperadamente cuando estaban en segundo plano.                                                                                                       
• Se ha resuelto un problema que dejaba sin cobertura a los iPhone tras realizar una llamada.                                                                                                                                                                  
• Se ha solucionado un problema que hacía que la cobertura de datos estuviese temporalmente deshabilitada.                                                                                                                                         
• Se ha arreglado un problema que causaba que los mensajes de correo cifrados fuesen ilegibles.                                                                                                                                                            
• Se ha abordado un fallo que hacía que al utilizar Kerberos en Safari apareciese otra pantalla de autenticación.                                                                                                                                          
• Se ha resuelto un problema en el que la carga puede interrumpirse en los accesorios alimentados por YubiKey.

En su página web Apple ha dicho que no se han realizado correcciones de seguridad y que esta actualización ha sido dedicada exclusivamente a solucionar fallos menores. Con esta nueva actualización Apple no solo ha fallado al intentar arreglar algunos bugs, si no que ha expuesto a aquellos usuarios que no se habían visto afectados en un primer momento. Hace unos días ya se comenzó a hablar de la llegada de iOS 13.3 beta, (cuya versión oficial se espera para finales de año) pero antes de que iOS 13.3 se convierta en una realidad se espera por lo menos otra actualización más entre medias. ¿Logrará Apple solucionar todos estos problemas en la versión de 13.2.3 de iOS? Desde Seguridad Apple os mantendremos al tanto de cualquier novedad al respecto.

Fue Noticia en seguridad Apple: del 28 de octubre al 10 de noviembre

Nos adentramos en el mes de noviembre y con la llegada del frio en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 28 analizando si los métodos de carga inalámbrica para nuestros dispositivos móviles merecen la pena desde el punto de vista de la seguridad.

El martes 29 os contamos que iOS 13.1.2 sigue causando problemas a los usuarios de iPhone y en qué consisten los mismos. 

El miércoles 30 os explicamos cómo es posible que 18 aplicaciones con malware se colaran en el Apple Store.

El jueves 31 os hablamos de los nuevos problemas surgidos en la batería de los iPhone e iPad tras la llegada de iOS 13.1.3.

El viernes 1 os contamos que el phishing ha golpeado duramente a la compañía de la manzana duran te el primer semestre del año.

El sábado 2 indagamos un poco más en la historia de Apple para hablaros del Apple IIe, una actualización inesperada del Apple II que arrasó en el mercado.

El domingo 3 os hablamos de los problemas que están causando un descenso de la velocidad de carga en los cargadores inalámbricos para dispositivos iOS. 

El martes 5 realizamos un análisis a fondo de iOS 13.2 y os hablamos de sus novedades y de que fallos de seguridad se han resuelto.

El miércoles 6 os alertamos de la importancia de actualizar Xcode a su versión 11.2, especialmente si eres un desrrollador.

El jueves 7 os hablamos del lanzamiento de iOS 13.2.1 una actualización con la que se ha solucionado un fallo que brickeaba el altavoz HomePod.

El viernes 8 os contamos cuales son las novedades incorporadas en MacOS Catalina 10.15.1 y que fallos han sido solucionados respecto a la version anterior.

Finalmente, ayer sábado volvimos a indagar en la historia de Apple para hablaros de la historia detrás de los originales diseños del Macintosh y de cómo surgieron.

Nuevos problemas en iOS 13 afectan a la velocidad de la carga inalámbrica

El lanzamiento de iOS 13 ha sido uno de los lanzamientos más esperados de este año, sin embargo ha resultado ser uno de los lanzamientos más caóticos para la empresa californiana. Con varios bugs desde su lanzamiento, el sistema operativo ya ha recibido tres actualizaciones en menos de dos semanas y a pesar de ello todavía le quedan pequeños fallos y algunos aspectos por pulir. En el día de hoy os hablaremos de uno de los últimos problemas que han surgido con las últimas actualizaciones de iOS 13. El problema en cuestión afecta a todos los usuarios de iPhone e iOS 13 o versiones posteriores.

Un estudio realizado por ChargerLab ha revelado que Apple está reduciendo el rendimiento de los cargadores inalámbricos fabricados por otras empresas en los iPhones que corren iOS 13. Por el momento Apple no ha querido explicar que puede estar causando esta pérdida de rendimiento a los fabricantes, haciendo que varios clientes estén pagando de más por cargadores inalámbricos que no funcionan correctamente. Según el estudio llevado a cabo por ChargerLab se mostró que algunos cargadores de distintos fabricantes que garantizaban 7.5 W de carga debido a la actualización de iOS 13 solo podían operar a 5 W, lo que supone una pérdida del 30% de la velocidad de carga. Por ejemplo, un iPhone 11 ejecutando la primera versión de iOS 13 debería alcanzar el 80% de su carga en un periodo de 2 horas. Tras la actualización a iOS 13.1 se ha podido comprobar que utilizando el mismo cargador durante el mismo periodo de tiempo la carga solo ha ascendido hasta un 55%, una diferencia más que considerable. Tras la actualización a iOS 13.2 la perdida de rendimiento ha persistido y Apple todavía no ha dado una explicación oficial al respecto.

Figura 1: Estación de carga inalámbrica para iPhone y Apple Watch.

Según una fuente interna cualquier proveedor cuyos dispositivos sean completamente compatibles con las especificaciones del sistema de carga Qi contaran con los 7.5 W de carga, sin embargo la compañía no ha compartido cuales con esas especificaciones con los fabricantes haciendo que sus productos no puedan garantizar potencias de cargas superiores a 5 W. El problema en cuestión fue descubierto por el equipo de pruebas de ChargerLab, también pudo comprobar que los cargadores de algunas compañías como Belkin, Mophie o Anker funcionaban correctamente, esto se debe a que cumplen con la regulación de voltaje de frecuencia fija recomendada por Apple. Esta situación es bastante curiosa ya que Apple canceló su proyecto de carga inalámbrica (Airpower) durante el año pasado y no hay indicios de que planee el lanzamiento de una estación de carga inalámbrica ni nada similar.

Surgen nuevos problemas de batería y cobertura en iOS 13.1.3

El año pasado con el lanzamiento de iOS 12 muchos usuarios reportaron un problema en la duración de la batería de sus dispositivos, algo que Apple acabó solucionando a través de una serie de actualizaciones de software. Apenas un año después y con la llegada de iOS 13 la historia parece estar repitiéndose. Hace unos días se publicó la versión 13.1.3 de iOS y desde ese momento son numerosos los usuarios que no han dudado en contactar con el soporte de Apple vía Twitter para reportar problemas en la duración de su batería.

Al parecer con la llegada de iOS 13.1.3 la batería de los iPhone puede llegar a agotarse en tan solo 3 horas, algo preocupante si tenemos en cuenta que realizando un uso normal del dispositivo antes de la actualización la duración de la batería podía alcanzar sin problema las 18 horas. Este fallo podría deberse a la realización de tareas en segundo plano, de hecho se ha podido comprobar que algunos módulos relativos a la localización se activan cuando no son necesarios y sin el consentimiento del usuario. Otro de los problemas que han surgido con la llegada de esta actualización es la pérdida de cobertura, al parecer algunos dispositivos son incapaces de detectar las redes 4G impidiendo la realización de llamadas. Al reiniciar los dispositivos la conexión parece haberse reestablecido pero tras unos 15 o 20 segundos el problema surge de nuevo.

Figura 1: Aviso de batería baja en iPhone.

Desde la página de soporte de Apple se admite que es posible que el problema se trate de un fallo de software y se proponen una serie de posibles soluciones en caso de que no fuese así. La primera de ellas es el reinicio del dispositivo, en caso de que esto no funcione Apple explica cómo hacer un reinicio forzado en todos aquellos dispositivos que soportan iOS 13. Si el segundo método tampoco funciona Apple recomienda realizar una restauración del sistema a través de iTunes utilizando un ordenador. Por último se explica que a partir de un determinado número de ciclos de recarga la batería del dispositivo se verá mermada y se facilita una serie de consejos con los que alargar la duración de tu batería. Evidentemente las soluciones propuestas por la compañía no han sido muy bien recibidas por la comunidad ya que el problema está afectando también al nuevo iPhone 11 y sus diferentes versiones lo que deja claro que se trata de un problema de software que tendrá que solucionarse a través de una actualización.

iOS 13.1.2 sigue causando problemas a los usuarios de iPhone

Desde el lanzamiento de iOS 13 Apple no ha parado de enfrentarse a numerosos problemas que ha tratado de abordar por medio de actualizaciones de software. A pesar de llevar tres actualizaciones relámpago los problemas con el nuevo sistema operativo persisten haciendo que muchos usuarios hayan decidido permanecer en la última versión de iOS 12 hasta que Apple logre solucionarlos definitivamente. A lo largo de la última semana se han dado a conocer nuevos problemas en iOS 13, algunos de ellos bastante graves.

El mayor problema conocido hasta la fecha afecta a las llamadas telefónicas. Al parecer son varios los usuarios de iPhone que están experimentando caídas del servicio durante los primeros minutos de sus llamadas. A parte de ser un problema para los usuarios comunes de iPhone esto también puede afectar directamente a numerosas empresas que utilizan dispositivos de Apple. A parte de las molestias causadas por una llamada interrumpida un problema así podría afectar a la imagen de la compañía. El problema no tardó en darse a conocer a través de la red social Twitter, donde varios usuarios con el mismo problema no dudaron en pedir explicaciones y cargar contra la cuenta de soporte de Apple.

Figura 1: Llamada en iOS 13.

Con este tipo de acciones los usuarios ya han forzado a Apple a lanzar actualizaciones fantasma (de urgencia) en otras ocasiones, estas actualizaciones en la mayoría de los casos resultan ser un arma de doble filo ya que aunque se utilicen para solucionar una vulnerabilidad o un fallo grave tienden a incluir otros fallos. Actualmente se sabe que la beta de iOS 13.2 también se encuentra afectada por este problema, lo que sugiere que Apple puede estar trabajando en solucionar problemas mayores. Un iPhone que no puede funcionar como teléfono es sin duda un problema bastante grave, por eso mismo Apple ha habilitado una página de soporte en la que ofrece posibles soluciones al problema por lo menos hasta que este pueda resolverse definitivamente.

Fue Noticia en seguridad Apple: del 15 al 27 de octubre

Con noviembre a la vuelta de la esquina en Seguridad Apple continuamos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el martes 15 contándoos que MacOS Catalina ha revelado los primeros indicios de la posible incorporación de Face ID en ordenadores de Apple.

El miércoles 16 os avisamos de que Safepost ha sido actualizado y optimizado para funcionar correctamente en iOS 13 y de que ya está disponible en la App Store.


El jueves 17 os contamos por qué es peligroso conectar un cable lightning cualquiera a nuestro Mac.

El viernes 18 os explicamos cuales son las nuevas funciones de seguridad que incorpora el nuevo MacOS Catalina.

El sábado 19 indagamos un poco más en la historia de Apple para hablaros de la primera oficina de la compañía, la cual aún sigue siendo propiedad de Apple.


El domingo 20 comenzamos la semana contándoos que China ha acusado a Apple de dar soporte a las protestas de Hong Kong.

El lunes 21 os avisamos del lanzamiento de iOS 13.1.3 una actualización lanzada para realizar mejoras de rendimiento y solucionar algunos fallos graves.

El martes 22 os contamos cómo surgió la función de autorrellenado de códigos de seguridad de Apple según uno de los ingenieros que la desarrolló.

El miércoles 23 os explicamos las razones por las que Safari comparte algunos historiales de navegación de sus usuarios con Google y Tencent.

El jueves 24 os hablamos de los routers habilitados para HomeKit que planea lanzar Apple para aumentar la seguridad de sus usuarios.

El viernes 25 os alertamos de la aparición de un sitio web fraudulento que ofrece la realización de jailbreak para atraer usuarios de Apple.

Finalmente, ayer sábado nos adentramos en los años 80 para hablaros de Diversi-Dial, un servicio de chat online desarrollado con el Apple II. 

Fue Noticia en seguridad Apple: del 16 al 30 de septiembre

Comienza el otoño y en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el martes 17 avisándoos de que Apple ha dejado de firmar iOS 12.4 justo después de parchear un importante bug.

El miércoles 18 os contamos cómo iOS 13 notificará a sus usuarios cuando haya aplicaciones realizando acciones sospechosas.

El viernes 20 os enseñamos cómo podéis acceder a los contactos de un iPhone con iOS 13 saltándoos la pantalla de bloqueo.

El sábado 21 ahondamos un poco en la historia de Apple para contaros cómo Steve Wozniak gastó una broma con el ordenador “Zaltair” durante la presentación del Apple II.

El lunes 23 os contamos cuales son las mejoras de seguridad y privacidad incorporadas por iOS 13 y Android 10.

El martes 24 os hablamos del creciente mercado de los exploits para iOS y las razones de su gran crecimiento durante los últimos años.

El miércoles 25 os explicamos como un fallo en un programa de la empresa AVID ha dejado fuera de juego casi todos los MacBook Pro de Hollywood.

El jueves 26 os contamos la percepción que tiene una alta directiva de Apple acerca de las criptomonedas y del potencial de las mismas.

Finalmente, el sábado pasado hablamos sobre Joanna Hoffman, la mujer que no temía a Steve Jobs y su contribución al proyecto Macintosh.

Esto es toda la actualidad del mundo Apple por estas dos semanas. Seguiremos informando de todo lo que suceda en el mundo de la manzana mordida. 

Las nuevas mejoras de seguridad y privacidad que incorporan iOS 13 y Android 10

Sin los sistemas operativos que los hacen funcionar tanto los iPhones como el resto de Smartphones no serían más que un bonito y caro pisapapeles. Este año tanto Android como iOS recibirán grandes e importantes actualizaciones. Aunque en el ámbito de la privacidad ya haya un claro ganador (iOS 13) ambos sistemas operativos vienen pisando fuerte con sus nuevas mejoras de seguridad. A continuación os explicamos brevemente en que consisten algunas de las novedades y mejoras de seguridad y privacidad incorporadas en esta nueva remesa de sistemas operativos.

Durante los últimos años Apple ha trabajado arduamente para mantener la información de sus usuarios a salvo, al contrario que Google, cuyo modelo de negocio se basa en parte a la publicidad personalizada basada en la información de los usuarios y sus búsquedas en el navegador. Durante la WWDC Apple explicó a los usuarios que pretendía ofrecerles un mayor control sobre los permisos de localización que solicitan algunas aplicaciones, además presentó un nuevo método para logarse en sitios web y servicios de manera anónima para no ser rastreado ni bombardeado con publicidad personalizada (Sign in with Apple).

Google también asegura estar apostando por la privacidad, el CEO de la compañía dijo en una entrevista al New York Times: “La privacidad no puede ser un bien de lujo solo para la gente que pueda permitírsela”. Con la llegada de Android 10 Google ha dado un gran paso en la dirección correcta ofreciendo a sus usuarios la posibilidad de gestionar la información que comparten con las aplicaciones que utilizan y de saber en qué ocasiones lo hacen.

Figura 1: Comparativa iOS 13 y Android 10

En cuanto a la seguridad por un lado tenemos a iOS 13, en el que se ha incrementado la seguridad especialmente en los apartados de IoT y de localización, ahora cada vez que una aplicación quiera acceder a tus datos recibirás una alerta con la que podrás decidir si proporcionar tu ubicación solo una vez o indefinidamente. También podrás aprovechar un nuevo método basado en balizamiento Bluetooth para encontrar tu iPhone perdido aunque este no tenga acceso a internet. En el campo de la domótica Apple ha incrementado su seguridad cifrando toda la información y videos utilizados por Homekit.

Android 10 también incluirá varias mejoras de seguridad entre las que entran la gestión de datos de localización en las aplicaciones que estén en segundo plano, un nuevo apartado dedicado a la privacidad en los ajustes de seguridad y la descarga e instalación de actualizaciones de seguridad automáticas a través del App Store. Pero sin duda la mayor ventaja con la que cuenta el sistema operativo Android se basa en el gran número de fabricantes que lo escogen como sistema operativo nativo, esto fortifica su seguridad a cierto modo ya que a pesar de utilizar el mismo SO no todos los dispositivos responderían de la misma forma frente a un ataque con malware.

Una forma de saltarse la pantalla de bloqueo en iOS 13

Los usuarios de iOS 13 deberán actualizar su firmware para parchear una vulnerabilidad que ha sido descubierta recientemente por el investigador Jose Rodriguez. El fallo en cuestión permite a cualquier usuario hacer un bypass al bloqueo del iPhone y acceder a los contactos. Este exploit afecta a aquellos dispositivos que dispongan de iOS 13, el nuevo sistema operativo de Apple que será lanzado durante este mes. Para llevar este “hack” a cabo es necesario responder a una llamada utilizando una de las opciones de Siri que permite responder a través de un mensaje de texto. Una vez que Siri se vuelve a activar la aplicación debería de cerrarse pero no sucede así. La aplicación de contactos se queda abierta permitiendo el acceso a los contactos del dispositivo.

Según Jose Rodriguez las versiones beta de iOS 13.1 ya no cuentan con este fallo, el nuevo sistema operativo será lanzado al público el 30 de septiembre. Aunque esta vulnerabilidad no sea algo bueno tampoco supone un problema mayor, sobre todo si la comparamos con un exploit que permitiese la inyección de malware, de hecho aprovechar una vulnerabilidad de este tipo para inyectar malware resulta muy complicado (casi imposible) ya que sería necesario acceso físico al dispositivo además de que la transición entre aplicaciones fuese bastante más lenta. Por suerte para los usuarios las consecuencias de este exploit se puede solucionar fácilmente instalando la actualización de iOS 13.1 o simplemente desactivando Siri cuando la pantalla este bloqueada desde el menú de preferencias (esta función viene activada por defecto).

Figura 1: Accediendo a los contactos a través de Siri

Durante los últimos meses Apple ha tenido que responder a una avalancha de reportes por fallos de seguridad que podían afectar potencialmente a sus clientes. En agosto el equipo de Project Zero descubrió un ataque web que tenía como principal objetivo el mercado chino. Los usuarios que visitaron los sitios web infectados fueron inyectados con spyware en sus dispositivos. Este malware era capaz de escapar del sandbox y engañar al kernel para acceder a la información de los iPhone. Tras esta mala racha y con la llegada de iOS 13 y sus nuevos dispositivos Apple pretende apostar por la seguridad y la privacidad de sus usuarios más que nunca, de hecho iOS 13 incorporará un montón de nuevas funciones de seguridad, si todavía no sabes en qué consisten en este post podrás descubrir algunas de ellas. 

iOS 13 notificará al usuario cuando detecte apps realizando acciones un poco "oscuras"

Dentro de dos días saldrá publicada la nueva versión de iOS 13. Esta nueva actualización importante del sistema operativo más famoso de Apple ofrecerá una gran cantidad de nuevas características que ya hemos ido contando por nuestro blog. Pero entre ellas, destacan muchas relacionadas con la seguridad que pretenden dar más control al usuario sobre el acceso a datos privados, como por ejemplo la ubicación física.

El nuevo iOS 13 notificará al usuario cuando alguna aplicación esté recolectando información utilizando por ejemplo Bluetooth o cualquier otra actividad que se encuentre en background cuya funcionalidad sea parecida. En el caso mencionado de Bluetooth, es posible monitorizar la posición física de la persona su proximidad a otros smartphones, sin necesidad de tener conectado el GPS o incluso la WiFi. Además, todo esto sin ni siquiera estar usando directamente la aplicación.

Figura 1. Ejemplo de notificación de la aplicación de Facebook intentando conectar a Bluetooth. Fuente.

Parece que está claro que algunas compañías ya no se dedican sólo a recopilar información relevante para poder mostrar publicidad seleccionada o dirigida, esto va un paso más allá. Los usuarios de iPhone ya tienen la opción de desactivar por defecto la localización para aplicaciones específicas, pero con iOS 13 se añaden más para ofrecer mayor control al usuario, además de las notificaciones mencionadas anteriormente.

Pero ¿cómo consiguen toda esta información con sólo acceso al Bluetooth? Analizando los datos recopilados de la conexión Bluetooth y comparándolos con otros, como por ejemplo de los accesos vía WiFi, pueden conseguir la localización física de la persona. Estos datos son muy valiosos ya que estos se podrían contrastar con posibles ubicaciones conocidas como bares, tiendas, etc, ofreciendo todo un timeline completo de la vida de alguien y sus hábitos. Esto para empresas que se dedican a servicios de contactos o citas es auténtico oro (precisamente, Facebook ha publicado hace unos días una aplicación de este tipo). 

Figura 2. Otro ejemplo de notificación de aplicaciones en "background" y el servicio utilizado. Fuente.

Todas estas soluciones orientadas a la seguridad y privacidad del usuario son bienvenidas, así que iremos viendo poco a poco la utilidad y funcionalidad del nuevo iOS 13. Por otro lado, es recomendable saber en todo momento qué aplicaciones tienen acceso, por ejemplo, a la ubicación y leer siempre el mensaje que muestran cuando alguna de ellas nos solicite acceso a dispositivos o servicios que no necesitan (en principio) para realizar su función.

Apple deja de firmar iOS 12.4 justo después de parchear el bug que permitía hacer jailbreak en iOS 12.4.1

Con iOS 13 listo para su lanzamiento Apple ha decidido dejar de firmar iOS 12.4. Esto ha sucedido apenas dos semanas después del lanzamiento de la última versión estable de iOS 12 y de solucionar el bug de iOS 12.4 que permitía la realización del jailbreak a dicha versión. Este movimiento es una de las prácticas habituales de Apple, cada vez que la empresa de la manzana presenta una nueva generación de dispositivos y su respectiva actualización de sistema operativo deja de firmar las versiones anteriores para poder garantizar la seguridad de sus usuarios y evitar que los nuevos dispositivos utilicen versiones antiguas de software.

Esta última actualización se ha debido en parte a que en iOS 12.4 se volvió a introducir una antigua vulnerabilidad conocida. En este caso el fallo de seguridad fue descubierto por los investigadores de Google Project Zero a principios de año. Poco después de la llegada de iOS 12.4 el investigador Pwn20wnd aprovecho este fallo en el software para trabajar en una nueva versión de Unc0ver jailbreak, el que ha sido uno de los primeros jailbreak en afectar directamente a la versión más actual del sistema operativo en ese momento.

Figura 1: Apple deja de firmar iOS 12.4

Cuando esto sucedió Pwn20wnd aseguró que era muy posible que este bug se estuviese utilizando con otros propósitos como la construcción de malware. Tras arreglar este bug de nuevo en iOS 12.4 y dejar de firmar esta versión de software Apple cierra la puerta al jailbreak, al downgrade y a los posibles ataques que aprovechen esa vulnerabilidad.

Vulnerabilidad en Airdrop y BLE pone en riesgo tu dispositivo

AirDrop es un viejo conocido de los usuarios de iOS y en este blog. Actualmente la mayoría de dispositivo de Apple lo soporta y es un protocolo muy eficaz a la hora de transferir archivos entre dispositivos de manera local y rápida. Desafortunadamente, no es la primera vez que atacantes usan este protocolo para el mal, y es que recientemente se ha encontrado una vulnerabilidad que permite que cualquier persona con un ordenador y un software específico puedan ver el número de teléfono de tu dispositivo.

Según los investigadores de Hexway si el bluetooth the tu dispositivo Apple está encendido y cercano, cualquier persona puede obtener el estado del dispositivo, información de la batería, el nombre del dispositivo, el estado del Wi-Fi, versión del Sistema Operativo e incluso el número de teléfono.

BLE

Esto es debido a cómo funciona Bluetooth LE. Los dispositivos que cuentan con ello mandan constantemente paquetes de datos para el servicio Discovery, así es como otros Macs, iPhones y iPads pueden saber la localización de los dispositivos colindantes. Conociendo esta propiedad estos investigadores han creado un script que saca toda la información de estos paquetes y los traduce para que cualquier atacante vea el estado del dispositivo. 

AirDrop 

Por otro lado, dentro del apartado de Airdrop, han descubierto que este protocolo puede ser menos anónimo de lo que los usuarios creen. Los investigadores declaran que es posible identificar al usuario a través del hash SHA256 que se genera a los usuarios de alrededor cada vez que el dispositivo entra en modo búsqueda de Airdrop. Así, con un poco de ingenio se puede obtener el número de la persona de la siguiente manera:

• Crear una base de datos con el formato SHA256(numero_telefono):numero:telefono por cada región, por ejemplo en españa sería +34……., en EEUU sería +1-…….. 
• Correr el script y esperar a que alguien entre en modo discovery de Airdrop. 
• Al obtener el hash, compararlo con la base de datos para recuperar el móvil. 
• Debido al formato de iMessage, podremos obtener el nombre del usuario a través de la función TrueCaller. 

Envío contraseña Wi-Fi 

Los mismos investigadores también han encontrado que en la función de envío de contraseñas Wi-Fi presentada en iOS 13 también envía paquetes a través de Bluetooth LE pidiendo la contraseña. Cuando un usuario de iOS selecciona una Wi-Fi que no conoce entra automáticamente en este modo, mandando paquetes pidiendo la contraseña, pero, ¿cómo es posible que el usuario que nos da la contraseña sepa que somos nosotros?. Esto es porque en el hash SHA256 de envío se encuentra nuestro número de telefono, AppleID y mail. Solo los tres primeros bytes de los hashes se envían pero es lo suficiente para identificar el número de teléfono.

Envíos Bidireccionales 

Pero estos investigadores no se han quedado ahí, también se han aprovechado de otras propiedades Bluetooth de los iDevices para hacerse pasar por dispositivos BLE como los AirPods y establecer una conexión.

Como dicen estos investigadores, muchos de estas vulnerabilidades podrían ser consideradas features del sistema operativo, por lo que es muy probable que no se cambien en un futuro cercano. De momento todos los dispositivos desde iOS 10.3.1 a iOS 13 beta son vulnerables a estos ataques y la única manera de protegernos es desactivar el Bluetooth.

Una vulnerabilidad en la beta de iOS 13 permite acceder a los usuarios y contraseñas almacenadas en la App de Ajustes

iOS 13 sigue en fase beta por lo tanto es comprensible que existan algunos fallos en esta versión del sistema operativo, recientemente se ha descubierto una importante vulnerabilidad que facilita el acceso a los datos almacenados en la configuración relativos a los usuarios y contraseñas de aplicaciones y servicios web. Esto significa que esta versión beta bypassear la autenticación biométrica resulta bastante sencillo para acceder a los datos almacenados en el Keychain de iCloud (usuarios y contraseñas). La vulnerabilidad descubierta se dio a conocer a través de la red social Reddit.

Como ha detallado el usuario iDeviceHelp en su canal de YouTube, puedes acceder a todos los usuarios y contraseñas almacenados en los ajustes pulsando repetidamente el menú de “website y app passwords” saltándote así la autenticación con biometría. Tras unos cuantos intentos, iOS 13 te mostrará todas tus contraseñas y logins incluso aunque no llegases a autenticarte con Face o Touch ID. Según el blog 9to5mac se ha confirmado que esta vulnerabilidad se encuentra presente en la última versión de la beta de iOS 13 para desarrolladores. Apple ya ha sido informado de este incidente a través de la nueva app de feedback de iOS 13. El fallo también se ha encontrado en la beta de iPadOS 13.

Figura 1: Acceso a contraseñas del Keichain desde la App de Ajustes.

Por suerte para poder llevar a cabo este robo de contraseñas es necesario tener el dispositivo desbloqueado, algo que no es posible en caso de no conocer la contraseña o no habernos autenticado antes con Face iD o Touch ID. Al convertirte en Betatester aceptas un cierto nivel de riesgo y esta vulnerabilidad no puede ser mejor ejemplo del mismo, hay que recordar que al probar una nueva versión de un sistema operativo es normal encontrar fallos o brechas de seguridad, no se puede esperar que na beta sea completamente segura y estable, especialmente cuando solo lleva en proceso de prueba unas 6 semanas aproximadamente. La beta 3 de iOS 13 salió el día 2 de julio, lo que quiere decir que Apple pronto lanzara su beta 4, una actualización en la que podrían resolverse este y otros pequeños problemas del sistema operativo aun en desarrollo.

Medidas de Seguridad Introducidas en IOS 13 (Parte 1)

Ya han pasado un par de meses desde que Apple introdujese iOS 13 en un WWDC. Hemos estado cubriendo algunas de estas novedades junto a noticias relacionadas acerca de la próxima iteración del sistema operativo móvil de Apple. Estando el lanzamiento de iOS 13 a la vuelta de la esquina, vamos a repasar las principales novedades relacionadas con la privacidad y seguridad de nuestros dispositivos.

Permitir la localización una sola vez

iOS ha sido desde hace muchos años un sistema operativo muy eficiente a la hora de manejar los permisos de aplicaciones. Hasta ahora, las apps podían requerir permisos de localización en segundo plano o solo cuando éstas estuvieran activas. Con iOS 13 se añade la opción por defecto de dar permisos de localización solo una vez. Esto permite a los usuarios manejar de una forma más eficiente las aplicaciones que usan la localización del dispositivo y evitar que compañías que solo necesitaban la ubicación para una tarea muy específica sigan recopilando estos datos sin el conocimiento del usuario.

Reporte de localización

Para los servicios que el usuario decida dar permisos de localización permanentes, el propio sistema operativo mostrará notificaciones con los datos recopilados recientemente por esa misma aplicación. Esto permitirá tener un mejor conocimiento de la información que obtienen las aplicaciones de un servicio tan sensible como es la localización.

Figura 1. Reporte con reporte de localización. Fuente.

Eliminación del seguimiento Bluetooth y Wi-Fi

Algunos desarrolles consiguen la localización  a través de otros métodos que el proporcionado por defecto en iOS. En vez de usar los datos por GPS, utilizan una combinación de Wi-Fi y Bluetooth para triangular la posición de nuestro dispositivo. Por ello iOS 13 incluye limitaciones en esta técnica, para que aplicaciones no abusen de esta técnica y recuperen nuestra localización sin consentimiento. Así, al actualizar a iOS 13 muchas de nuestras aplicaciones nos pedirán consentimiento para hacer uso de Bluetooth, medida que antes era permitida sin ningún tipo de control y limitará el uso de los iBeacons para localización.

Buscar mi y localización offline

La aplicación Buscar mi iPhone pasa a ser llamada Buscar mi y añade interesantes novedades. Una de las más destacadas es la localización offline. Actualmente si perdías el ordenador o el teléfono, solo obtenías la última localización con Wi-Fi/4G. Apple anunció que utilizarán una tecnología de retransmisión por balizas Bluetooth que podrán escuchar dispositivos cercanos para transmitir a los servidores de Apple y actualizar la localización. Esta información como no estará cifrada y completamente anonimizada para que no pueda usarse con malas intenciones

Figura 2. Reestructuración de los permisos en iOs 13. Fuente.

Iniciar Sesión con Apple

Últimamente ha habido varios escándalos relacionados con la información compartida con los inicios de sesión sociales de compañías como Google o Facebook. Ahora los usuarios de Apple podrán iniciar sesión en apps y páginas web con el ID de Apple sin rellenar formularios ni crear contraseñas nuevas. Solo hay que pulsar en el botón de Iniciar sesión con Apple y confirmar un segundo factor de autenticación con Face ID o Touch ID.  Esta forma de inicio de sesión da control total al usuario para elegir que datos compartir con la aplicación y añade funciones muy interesantes, como la opción de crear una dirección de correo  específica para ese servicio que esté conectada a la cuenta principal de correo, así las aplicaciones no podrán obtener información sensible a través del correo principal.

Fue Noticia en Seguridad Apple: del 22 de julio al 4 de agosto

Ya estrenando nuevo mes dese hace unos días, una parte comenzando vacaciones, otra regresando y desde Seguridad Apple, como siempre, al pie del cañón, seguimos subiendo noticias, para que estéis al tanto de lo que rodea al mundo Apple en temas de seguridad informática. Hoy toca un nuevo post de Fue Noticia, donde os dejamos las noticias que se han ido publicano a lo largo de estas dos últimas semanas.

El lunes 22 de julio comenzamos hablando sobre el robo de productos de Apple, y como el verano hace aumentar este tipo de delitos.

El martes 23 de julio os contamos que el ingeniero jefe de Apple, Ivan Krstic, dara una charla en la Blak Hat 2019, donde hablará de iOS 13 y macOS Catalina.

El miércoles 24 de julio escribimos sobre las más de 100 vulnerabilidades solucionadas por Apple en sus productos.

El jueves 25 de julio informamos sobre la sanción millonaria a Apple en su disputa con VirnetX.

El sábado 27 de julio os hablamos sobre HyperCard, que permitía crear documentos multimedia.

El domingo 28 de julio toco el turno de hablar sobre el cierre automático de pestañas en Safari, si normalmente te despistas y dejas pestañas con contenido sensible, quizás te interese seguir los pasos y proteger tu privacidad.

El martes 30 de julio se hablo de un tema que en los últimos tiempos afecta a varias compañías con sus asistentes virtuales, y es que las conversaciones que tienes con Siri las revisan empresas externas.

El miércoles 31 de julio se volvió a hablar sobre la guerra de patentes entre VirnetX y Apple, y es que la compañía de Nevada ha ganado su apelación a la californiana en relación a las patentes 6,502,135 y 7,490,151.

El viernes 2 de agosto hablamos sobre unas pruebas de rendimiento del Macbook Air de 2019 respecto al modelo de 2018. Todo esto se trata sobre su SSD.

Y por último, pasamos al sábado 3 de agosto, donde se público un post sobre Clarus "The DogCow", el icono de un perro creado por Susan Kare que se convirtió en la mascota de Apple durante años.

Nos vemos como siempre en dos semanas en el repaso de la actualidad del mundo Apple. Que paséis un gran verano y tened en cuenta los consejos para tener un verano seguro con vuestros iDevices de Apple. 

Cómo hacer que Safari cierre automáticamente las pestañas con el paso del tiempo

iOS 13 e iPadOS 13 trae una funcionalidad bastante llamativa, y es la posibilidad de que las pestañas de Safari se cierren cuando pasa un determinado tiempo (1 día, una semana o un mes). Para las personas que son de abrir muchas pestañas y a lo largo del tiempo no saben ni lo que tienen abierto es ideal. Si eres de los que prefieres controlar cuando cerrar una pestaña, también está la opción de hacerlo de manera manual (como hasta ahora).

Sin duda es algo útil, puede ayudar a mejorar nuestra privacidad, ya que en ocasiones podemos olvidar pestañas abiertas y con información sensible. Ahora, veamos cómo se configura esta nueva funcionalidad.

1. Abre la pestaña de ‘Ajustes’ y busca la configuración de Safari (ver figura 1). 
2. Entra en los Ajustes de Safari y busca ‘Cerrar pestañas’. 
3. Entre las 4 opciones que ofrece, elige la que más se adapte a ti. 

Figura 1: Configuración del cierre de pestañas en Safari (Fuente)

Recuerda, si no quieres que las pestañas se cierren automáticamente después de un tiempo, elige la opción manual. Se puede apreciar que la configuración rápida y sin complicación. ¿Qué os parece está funcionalidad? ¿Os aporta valor?

Ivan Krstic: Ingeniero jefe de seguridad en Apple hablará sobre iOS 13 y macOS Catalina en la Black Hat 2019

Se acerca el mes de agosto y con él llega una de las conferencias más importantes para el mundo de la seguridad informática, la Black Hat. Este año se ha confirmado la asistencia de Ivan Krstic, jefe de ingeniería de seguridad y arquitectura de Apple. Ivan impartirá una charla de 50 minutos titulada “Detrás de las escenas de iOS y la seguridad en Mac” en la que abordará diversos temas y aclarará varias dudas acerca de las novedades de iOS 13 y macOS Catalina. El horario estipulado para esta ponencia es el 8 de agosto a las 12:10 PM. Si no puedes asistir al evento o seguirlo en directo no te preocupes, Black Hat publicará los videos de las sesiones en su página web.

Esta no será la primera vez que Ivan participe en este evento, también fue el encargado de representar a Apple en la Black Hat de 2016. Según uno de los adelantos publicado en la página web de Black Hat, Ivan se centrará en tres importantes cuestiones durante su intervención. La primera cuestión abordará el funcionamiento del chip T2, en segundo lugar hablará de la función y aplicaciones Find My para iOS 13 y macOS Catalina y por último abordará el tema de la integridad de la ejecución de código. Sin duda tres interesantes temas que han dado mucho que hablar durante los últimos meses.

Figura 1: Ivan Krstic en Black Hat 2016.

A continuación os dejamos la información publicada en la página web de Black Hat acerca de la sesión de Ivan Krstic:

“Vamos a discutir tres tópicos acerca de la seguridad en iOS y Mac con detalles sin precedentes, ofreciendo el primer debate sobre las nuevas tecnologías que incorporará iOS 13 y Mac. Echaremos un vistazo a como se implementan los códigos de autenticación Pointer Autthentication Code (PAC), también hablaremos de los permisos que se le conceden a las máquinas virtuales y de las tecnologías de protección de páginas que forman parte de la integridad en la estructura de iOS. 

Hablaremos de la secuencia de inicio en iOS Mac con el chip de seguridad T2 y explicaremos cómo funcionan algunos de los ataques y defensas clave en cada punto. 

La función Find My disponible en macOS Catalina e iOS 13 es una función que permite a los usuarios recibir ayuda de otros dispositivos Apple cercanos para encontrar sus Macs extraviados garantizando la protección de los mismos. Discutiremos nuestro eficiente sistema de diversificación de curvas elípticas que deriva claves públicas cortas no-enlazables del keypair de un usuario, y permite a los usuarios encontrar sus dispositivos sin conexión sin divulgar información sensible de Apple.”

Pwn20wnd ha confirmado que su jailbreak es compatible con iOS 13

Desde su lanzamiento, Cydia se ha convertido en una herramienta imprescindible para aquellos que deciden hacer jailbreak en sus dispositivos, por desgracia Saurik, su creador dejó de trabajar en la herramienta hace tiempo, pero permitiendo que los desarrolladores pudiesen trabajar sobre ella y modificarla en función de sus necesidades. Eso mismo es lo que han hecho algunos desarrolladores independientes o equipos como el de Unc0ver o Electra adaptando Cydia para compatibilizarla con sus proyectos e ir lanzando nuevas versiones de jailbreak. La semana pasada el desarrollador Pwn20wnd junto a su equipo anunció en Twitter que Cydia será compatible con iOS 13 si se realizan algunos cambios menores en la herramienta.

Desde que Cydia dejó de estar mantenido han nacido algunos nuevos gestores de archivos como Sileo (desarrollado por el equipo de Electra) o Installer 5 package manager un gestor con un aspecto similar al de la App Store. Estos gestores funcionan bastante bien, pero si eres un usuario reacio a los cambios vas a tener suerte. Pwn20wnd ha dicho a través de Twitter que ha probado Cydia en iOS 13 en un dispositivo sin jailbreak a través de la virtualización de iOS CorelliumHQ y que debería ser compatible realizando algunos cambios menores. Sin duda esta es una gran noticia para el mundo del jailbreak ya que Cydia Substrate es un componente fundamental que permite la instalación de tweaks en los dispositivos “liberados”.

Aunque todavía no haya salido ningún jailbreak que funcione en iOS 13 estas son noticias alentadoras para la comunidad del jailbreak. iOS 13 llegará en septiembre de este año, hasta entonces los desarrolladores no podrán trabajar en el desarrollo de una versión totalmente compatible con iOS 13. Además cada vez que aparece un nuevo jailbreak este pasa por un proceso de preparación para ser lanzado públicamente retrasando un poco más su llegada. Independientemente de lo que tardemos en tener un jailbreak para iOS 13 el hecho de que Cydia Substrate pueda trabajar con la nueva versión del sistema operativo (haciendo cambios menores) es una gran noticia para los desarrolladores y para los amantes del jailbreak.