Bypass a iOS 12.1. Accede a la información de los contactos sin desbloquear el dispositivo

Recientemente Apple ha lanzado una actualización se su sistema operativo para móviles, la versión 12.1 de iOS. Por desgracia esta actualización ha venido con un bug que permite a un atacante acceder a toda la información guardada de los contactos sin tener que introducir el passcode. Además es un exploit tan sencillo que no es necesario tener ningún conocimiento previo de programación. El único condicionante a la hora de explotar este bug es que se necesita tener acceso físico al dispositivo de la víctima. Como en casos anteriores el bug se aprovecha del asistente personal Siri, en este caso para acceder a los contactos.

El exploit en cuestión es muy simple, el atacante solo tendrá que iniciar una llamada telefónica (con el teléfono bloqueado), una vez se conecte la llamada deberá cambiar rápidamente a FaceTime, a continuación se dirigirá a la parte inferior de la pantalla y pulsará sobre “añadir” (+). Una vez se encuentre en los contactos solo es necesario mantener pulsado sobre uno de ellos para que el 3D Touch te muestre toda la información guardada sobre ese contacto, desde su correo electrónico hasta la imagen con la que fue guardado. Este fallo también puede ser explotado al recibir una llamada, algo esperado si el dispositivo es encontrado o sustraído.

Como se ha mostrado en el vídeo esta vulnerabilidad es extremadamente sencilla de explotar y parece funcionar en todos los modelos de iPhone (que admitan iOS 12), incluyendo los nuevos iPhone XS, siempre y cuando estén actualizados. Si dispones de un iPhone y ya lo has actualizado la mejor manera que tienes de protegerlo es asegurarte de que nadie pueda acceder a él. La buena noticia de esto es que ha tenido una gran repercusión en los medios y por lo tanto se espera que Apple no tarde mucho en ofrecer una solución o en lanzar un parche de corrección de errores.

Kanye West debería cambiar la contraseña de su iPhone

El conocido cantante reveló su contraseña por error cuando desbloqueaba su iPhone X en un video durante una reunión con el presidente Trump. Como se podía apreciar en el video, su contraseña era 000000, una de las contraseñas con la seguridad más pobre del mundo. West reveló la contraseña inconscientemente al fallar el reconocimiento facial de su iPhone cuando pretendía enseñar al presidente unas imágenes del iPlane 1 (un prototipo de avión que funcionaba con hidrogeno diseñado en 2012) en el que afirmaba que debería viajar el presidente.

A pesar de usar un iPhone X o XS, dispositivos que soportan Face ID haciendo que no sea necesario introducir una contraseña escrita, el rapero decidió desbloquear su dispositivo manualmente delante de las cámaras, (aún no se sabe si Face ID no estaba configurado, si Kanye lo tenía desactivado o fue un fallo del dispositivo). Apple recomienda a los usuarios de sus smartphones no utilizar contraseñas tan sencillas en sus dispositivos, de hecho si intentas cambiar tu contraseña a 000000, 123456 o alguna combinación similar te aparecerá un pop up en la pantalla avisándote de que esa combinación puede adivinarse fácilmente y que deberías optar por una contraseña algo más complicada.

En su reunión West dijo: “tendremos a Apple, una empresa americana trabajando en este avión” Actualmente la flota presidencial está compuesta por dos Boeing VC-25s, dos adaptaciones militares del Boeing 747 fabricadas por la empresa francesa en su fábrica de Everett, Washington. West también dijo al presidente que convertir un avión así en el avión presidencial haría que mejorase su imagen respecto al exterior “Si usted no se ve bien, nosotros no nos vemos bien, para dar una buena imagen tenemos que tener los mejores aviones y las mejores fábricas”.

Jailbreak para iOS 12: Luca Todesco lo tiene para iPhone XS Max

Uno de los investigadores más relevantes en lo que a Jailbreak se refiere en los últimos años, Luca Todesco, ha vuelto a la actualidad. El investigador que saltó a la fama por su Yalu Jailbreak para iOS 10, anunció que ha sido capaz de hacer un Jailbreak a iOS 12 ejecutándose sobre un iPhone XS Max. Antes de pensar en que existe un Jailbreak para iOS 12 hay que recordar que Todesco no tiene la intención de lanzar este Jailbreak públicamente, tal y como ocurrió en el pasado. Este no es el primer Jailbreak de iOS 12 que ha aparecido, de hecho, se une a una lista cada vez mayor que presumen de tener de un Jailbreak para iOS 12. 

Ninguno de los investigadores que presumen de este hito, tienen la inteción de lanzar el Jailbreak públicamente. Anteriormente, el equipo de Ali Security de Alibaba y el equipo PanGu demostraron tener un Jailbreak para iOS 12, incluso un untethered. Lo que hace diferente al Jailbreak de iOS 12 de Luca Todesco es el hecho de que se está ejecutando en un iPhone XS Max. Lo visto hasta ahora era en un iPhone X e iPhone XS. 

Figura 1: Mensajes de Luca Todesco

Si bien Todesco no tiene planes de lanzar el Jailbreak para iOS 12, se puede ver que iOS 12 en el chip A12 es compatible con el Jailbreak tanto para el iPhone XS como en el XS Max. Ahora falta por ver si algún investigador liberará su investigación o colaborarán directamente con Apple con el objetivo de solventar los fallos de seguridad que dan pie al Jailbreak.

Fue Noticia en seguridad Apple: del 3 al 22 de septiembre.

Comenzamos el otoño y en Seguridad Apple continuamos trabajando para seguir trayéndoos algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 3 hablándoos de un leak que mostró como sería la cuarta generación de Apple Watch apenas unos días antes de su presentación oficial.

El martes 4 os avisamos de una vulnerabilidad en el cliente de correo de Airmail 3 que podría utilizarse para robar correos electrónicos y el contenido adjunto en ellos.

El miércoles 5 os hablamos de uno de los robos sufridos por la Apple Store de Burlingame, el último de una serie de robos en las Apple Stores californianas.

El jueves 6 os presentamos Apfell, un Framework de post-explotación para macOS y el Redteam.

El viernes 7 os contamos como podéis integrar Latch en la touchbar de vuestro MacBook Pro.

El sábado 8 indagamos un poco más en la historia de Apple, esta vez para hablaros de cuando Carl Sagan y Richard Stallman se enfadaron con Apple. 

El domingo cerramos la semana mostrándoos las primeras imágenes filtradas del iPhone XS.

El lunes 10 os contamos un fallo en la tienda online de Apple ha expuesto el PIN de miles de clientes de T-Mobile.

El miércoles 12 os hablamos de algunas de las filtraciones que han sido protagonistas del KeyNote de Apple.

El jueves 13 os invitamos a seguir de cerca la segunda temporada de Code Talk for Devs y os invitamos a ver el último webinar que estará enfocado en cómo proteger un sistema Wordpress. 

El sábado os contamos como el iMac G3 impulsó el puerto USB y acabó con el uso de los puertos Legacy.

El lunes 17 abrimos la semana explicándoos como ver los certificados desde tu navegador Safari.

El martes 18 os hablamos del programa de recompensas de Apple y de cómo ha aumentado el número de reportes de fallos con su aparición.

El miércoles 19 os presentamos las nuevas características y vulnerabilidades solucionadas de iOS 12 y watchOS 5

El jueves 20 os contamos como podéis gestionar la seguridad de vuestros dispositivos iOS con Shortcuts y os hablamos de algunas de sus funcionalidades.

El viernes 21 os avisamos de que Apple elaborará un equipo especializado en formar a las autoridades en el ámbito forense digital.

Por último el sábado 22 contamos la curiosa historia del iPad robado a Steve Jobs y por qué apareció en manos de un payaso llamado Kenny.

Las filtraciones: Las protagonistas de la Keynote de Apple

Estamos a unas horas de que el mundo conozca los nuevos productos de Apple. La empresa de Cupertino ha trabajado en mejorar el tema de las filtraciones, pero de nuevo este año está sufriendo de éstas. Otro año más, Guilherme Rambo ha publicado filtraciones sobre los productos que se presentarán, ya no solo los analistas opinan sobre lo que creen que saldrá publicado esta tarde, es que hoy en día, se sabe el nombre de los productos, su forma, sus colores, etc.

Al parecer Rambo tenía esta información en su poder debido a la web de pruebas de Apple y la utilización de rutas similares al año pasado. Él ha ido cambiando parte de la URL para poder encontrar los nuevos productos, según nombres que el pensaba que podían ser. Seguramente se apoyaría en scripts que automatizasen el encontrar el objetivo. A escasas horas, se habla de un iPhone Xs, de un iPhone Xr y de un nuevo concepto de iPhone con la palabra Max. Tendremos que esperar a esta tarde. Además, el caso del reloj es llamativo, ya que llegará el Apple Watch Series 4 y Rambo ha filtrado imágenes del aspecto que tendrá, gracias al mecanismo contado anteriormente.

Figura 1: Guilherme Rambo en un tuit

Hoy es un gran día para la empresa de Cupertino, lo que sí es cierto es que cada año que pasa hay menos novedades, ya que se saben la mayoría con anterioridad. ¿Conseguirá Apple haber salvado alguna sorpresa para esta tarde? Estaremos atentos a la llegada del nuevo iOS 12 que también será esta tarde.

Leaked: Se filtran las primeras imágenes del iPhone XS

Ya es oficial, hace unos días Apple envió invitaciones a los medios para que acudan a un evento especial (que tendrá lugar el día 12 de septiembre) en el que se espera que la empresa californiana presente los nuevos iPhones y demás productos que lanzará durante este año. El blog 9to5Mac ha aprovechado la noticia para publicar algunas imágenes filtradas en las que se puede observar el aspecto que tendrán los nuevos iPhone de 5.8 y 6.5 pulgadas, también han aprovechado para revelar el nombre oficial de estos dos nuevos dispositivos con pantalla OLED, se llamaran iPhone XS.

En el artículo se explica que al contrario de lo que se rumoreaba, no tendrá lugar el lanzamiento de un iPhone X Plus. Como era de esperar Apple sigue su tradición a la hora de dar nombre a sus dispositivos, la “S” se le atribuye a aquellos nuevos modelos que no incorporan unos cambios estéticos significativos pero que incorporan algunas mejoras de rendimiento respecto a su versión de origen.

Figura 1: Imagen filtrada del iPhone XS.

Otra novedad de la que se ha hablado es la posibilidad de comprar el dispositivo en color dorado, algo que ha sido posible con otros modelos pero no con el iPhone X. Como es habitual, al acercarse la fecha de presentación de un nuevo producto de Apple aparecen las primeras filtraciones, sin embargo en este caso no resultan tan sorprendentes ya que se limitan a confirmar algunos de los rumores acerca del aspecto y el número de dispositivos que Apple planea lanzar en este 2018.

Un Leak revela el posible aspecto de la cuarta generación de Apple Watch

La llegada del nuevo iPhone XS no es la única novedad que Apple nos depara este año. Hace unos días se ha filtrado una imagen en la que podemos ver cuál es el aspecto que podría tomar la cuarta generación de Apple Watch. Esta imagen ha sido publicada en el blog 9to5Mac y en ella se puede apreciar el frontal y los laterales del dispositivo. Esta imagen ha salido a la luz a escasos días de la presentación oficial del SmartWatch de cupertino (la cual está programada para el dia 12 de septiembre).

La imagen en sí aparenta ser una imagen publicitaria como la que se utilizó para promocionar las anteriores versiones, aunque a simple vista ya podemos apreciar cambios significativos. El primer cambio que se aprecia es el uso de unos marcos más finos, algo que se ha vuelto una práctica habitual entre muchos fabricantes de Smartphones de última generación cuyo objetivo es un mayor aprovechamiento de la pantalla.

En el lateral podemos observar una corona digital y un diminuto orificio que correspondería al micrófono. También podemos observar un botón en el lateral. Otro gran cambio que podemos apreciar en esta cuarta generación de Apple Watch es el indicador rojo que aparece en la versión LTE. En este caso en vez de colorear la corona completamente, se ha optado por añadir en ella un fino aro de color rojo, ofreciendo así un aspecto más elegante. A simple vista estas son todas las novedades (estéticas) que incorporará el nuevo Apple Watch.