Qué nos ofrece MacOS 10.15 (Catalina) desde el punto de vista de la seguridad

Desde ayer mismo, ya está disponible para su instalación en equipos Apple el nuevo sistema operativo bautizado con el nombre de Catalina. Aparte de sus nuevas funcionalidades como por ejemplo la ejecución de forma nativa de aplicaciones iOS la fabulosa ampliación de escritorio utilizando un iPad, también se han solucionado bastantes problemas y agujeros de seguridad. En concreto soluciona hasta 16 CVE que afectan a varios componentes, que veremos a continuación.

Hay que destacar que estas actualizaciones sólo se ofrecen para esta versión, en concreto macOS 10.15 o Catalina. Para los usuarios que aún tengan macOS 10.14 o Mojave, se actualizará solamente Safari pero no los problemas de seguridad que sí resuelve Catalina. Por lo tanto, es aconsejable actualizar a la nueva versión siempre que sea posible (las nuevas versiones de los sistemas operativos de Apple suelen dar problemas al principio con muchas aplicaciones, de ahí el posible retraso en actualizar sobre todo en empresas) y así evitar que algunas de estas vulnerabilidades pueda afectar a nuestro equipo con la versión anterior de este sistema operativo. En el siguiente vídeo se muestran las nuevas funcionalidades de Catalina:

¿Qué problemas ha solucionado? CVE-2019-8781 y CVE-2019-8717 son probablemente los dos más serios, ya que afectaban directamente al kernel de macOS permitiendo la ejecución de código arbitrario (ACE). Para poder explotar este tipo de vulnerabilidades es necesario tener una aplicación  en ejecución en el sistema que pueda acceder al kernel y accediendo a una posición de memoria específica, provocar un error y de esta forma tener acceso directo al núcleo del sistema. Esta misma vulnerabilidad ACE afectaba al Intel Graphics Driver (CVE-2019-8758) y AMD (CVE-2019-8748), las cuales también ha sido solucionadas.

El motor WebKit también ha recibido dos parches que solucionan los problemas CVE-2019-8769, el cual permitía a un sitio web malicioso acceder al historial de navegación del usuario y CVE-2019-8768, un error en el borrado de historial que permitía mantener información supuestamente eliminada. Otra vulnerabilidad con el CVE-2019-8755, también ha sido solucionada la cual afectaba al componente IOGraphics la cual podría permitir a una aplicación acceder a contenido de la memoria del kernel.

Figura 1. Web de Apple donde se detalla el contenido de seguridad aplicado a Catalina. Fuente.

También se han solucionado otras vulnerabilidades como CVE-2019-8745 (error en un fichero de texto que permitía ejecución de código), CVE-2019-8625 y CVE-2019-8719 los cuales permitían ataques tipo XSS y cinco problemas de ACE que afectaban a WebKit, CVE-2019-8707, CVE-2019-8726, CVE-2019-8733, CVE-2019-8735 y CVE-2019-8763. Incluso los usuarios de aplicaciones Apple bajo Windows también ha recibido actualizaciones para el software iCloud. 

Toda una batería de soluciones  de seguridad (aquí puedes acceder a todas )que son bienvenidas en el nuevo sistema operativo Catalina.

Un listado reciente de los virus, malware y fallos de seguridad relacionados con Mac ... que no son pocos. Parte 2 de 2

Continuamos con este repaso veraniego a algunos de los problemas de seguridad más importantes que han aparecido en los últimos meses dentro del mundo Apple y sobre todo de Mac. En el artículo anterior acabamos hablando de un adware llamado Crossrider. En esta nueva entrega continuamos con la lista donde aparecerán nuevos tipos de adware, malware y otros problemas que afectan directamente la integridad y seguridad de nuestros dispositivos (y los datos). 

OSX/MaMi

Este malware es especialmente virulento, ya que desvía todo el tráfico de red a través de diferentes servidores maliciosos. Es en estos servidores donde comienza a analizar los datos para buscar información sensible, como contraseñas, datos personales, etc. También es capaz de realizar capturas de pantalla, generar eventos del ratón, ejecutar comandos, etc. Una forma sencilla de saber si estamos infectados por este virus es comprobar que no tenemos incluidas entre nuestras DNS las siguientes: 82.163.143.135 y 82.163.142.137.

Meltdown y Spectre

Dos problemas o bugs (fallos de programación) muy conocidos relacionados con la arquitectura x86 y por lo tanto, también afectó a Apple y a prácticamente todos sus dispositivos. Todavía se está especulando el impacto de estos dos problemas ya que no se ha reportado malware capaz de sacar partido de ellos. Por lo tanto, de momento, la única forma de protegernos es, en teoría, mantener actualizado siempre todos nuestros dispositivos a la última versión. Ya hablamos en su día de ellos en este post.

Figura 1. Comparativa entre Meltdown y Spectre. Fuente.

OSX/Dok

Este malware es del tipo troyano capaz de hacer un bypass a la protección de Apple y capturar el tráfico incluso si este está cifrado con SSL-TSL. Para poder conseguir este nivel de ejecución parece claro que tuvieron que conseguir a la cuenta de un desarrollador y utilizar su certificado. El modo de infección de este programa malicioso es a través de campañas de phishing. Como siempre, hay que tener mucho cuidado al hacer click o descargar ficheros adjuntos en correos no deseados.

X-agent

Este malware que apareció en 2017 era capaz de robar contraseñas, tomar capturas de pantalla e incluso descargar las copias de seguridad del iPhone que pudiera localizar en el equipo. 

MacDownloader

Se oculta detrás de una instalación de Adobe Flash (algo bastante habitual como hemos podido observar en otros casos). Cuando se instala aparece una alerta indicando que tenemos adware en nuestro equipo y es aquí cuando este intenta enviar información del usuario (incluido Keychain, donde se almacenan contraseñas, pins, tarjetas de crédito, etc). 

Figura 2. Mensaje que muestra MacDownloader indicando que existe adware en el equipo. Fuente.

Virus de Office (Macros)

Antes de 2011, los usuarios de Apple no tenían este problema ya que Office para Mac no tenía la opción de macros. Pero ese mismo año se volvió a añadir esta característica y es desde este punto cuando han ido apareciendo numerosos casos de este tipo de virus. Para evitarlos, podemos deshabilitar directamente las macros o estar atentos siempre a los mensajes de Office relacionados con ellos.

Hasta aquí este listado de sólo algunos de los malware más conocidos en el mundo Apple. Por supuesto no están todos, faltarían algunos más como KeRanger, OSX/Pirrit, y un largo etc. Esperamos que este listado ayude a concienciar a la gente sobre la importancia de la seguridad de nuestros dispositivos Apple.

Apple soluciona más de 100 vulnerabilidades en las últimas actualizaciones de sus productos

Apple ha lanzado en las últimas horas una serie de actualizaciones dirigidas a sus productos asociados a los sistemas operativos iOS, tvOS, macOS y watchOS. Esta nueva colección de parches solucionan muchos problemas que han afectado a aplicaciones como por ejemplo FaceTime, pero además también se han publicado otros para reparar algunos problemas (como por ejemplo, el GPS) en versiones de sistema operativo tan antiguas como, por ejemplo, iOS 5. 

La actualización de iOS 12.4 (APPLE-SA-2019-7-22-1 iOS 12.4) soluciona hasta 37 CVEs que afectan a aplicaciones como Siri (CVE-2019-8646), FaceTime (CVE-2019-8648) , Wallet y Webkit en otros. De estas actualizaciones, cuatro de ellas solucionan problemas de ejecución arbitraria de código en aplicaciones como Webkit o Fundation. Safari también se ha actualizado a la versión 12.1.2 (APPLE-SA-2019-7-22-3 Safari 12.1.2) solucionando 23 CVEs asociados sobre todo a Webkit (21 de las 23) y a la interfaz del navegador (CVE-2019-8670).

Figura 1. Mensaje de actualización disponible para macOS 10.14.6

Por otro lado WatchOS 5.3 (APPLE-SA-2019-7-22-4 watchOS 5.3) soluciona 23 CVEs de los cuales 4 de ellos críticos, ya que permitían ejecución arbitraria de código. Destacar también que Apple a reactivado la aplicación de Walkie Talkie después de que fuera desactivada al encontrarse un fallo que permitía escuchar a otra persona sin su consentimiento. El sistema operativo tvOS también se ha actualizado a la versión 12.4 (APPLE-SA-2019-7-22-5 tvOS 12.4)  solucionando hasta 33 CVEs de los cuales 4 de ellos permitían ejecución arbitraria de código. El resto están asociados al núcleo de tvOS y aplicaciones como FaceTime o Siri.

Finalmente, destacar también la actualización para macOS 10.4.6 la cual resuelve problemas que afectaban directamente al rendimiento del equipo como por ejemplo interrupciones durante el reinicio del sistema, un problema relacionado con los gráficos al salir del estado de reposo y otro que impedía crear una partición de Boot Camp en un iMac o un Mac con Fusion Drive. También se ha mejorado la fiabilidad en la función de compartir archivos mediante SMB. Por lo tanto, es una prioridad actualizar todos nuestros dispositivos Apple a estas nuevas versiones lo antes posible, por rendimiento y seguridad.

Más importante que los nuevos servicios de juegos y TV presentados por Apple son los 51 problemas de seguridad reparados en la versión iOS 12.2

Apple presentó esta semana sus nuevos servicios de para vídeo, revistas, noticias y juegos. Pero aún más importante que estos nuevos servicios es que Apple ha solucionado en la versión iOS 12.2 unos 51 bugs importantes de seguridad. También se han parcheado algunos otros relacionados con macOS. Debido a la gravedad de estos, es importante actualizar lo antes posible a esta nueva versión iOS la cual ya está disponible.

Una de las vulnerabilidades más peligrosas era un problema en la API ReplayKit (CVE-2019-8566) que permitía a una aplicación maliciosa acceder al micrófono de un iPhone, iPad o iPod sin autorización del usuario, o peor, sin que este se diera cuenta de ello. Otro de los problemas estaba relacionado con Safari, en concreto el CVE-2019-6222, el cual permitía a un sitio web acceder también al micrófono de cualquier dispositivo iOS sin, de nuevo, dar ninguna pista de dicho acceso.

Figura 1. Anuncio por parte de Apple de las actualizaciones de seguridad iOS 12.2. Fuente.

Esta actualización iOS 12.2 también soluciona un bug (CVE-2019-8527) desde el cual un atacante remoto podría bloquear o "colgar" el sistema por completo corrompiendo la memoria del kernel. Por otro lado, WebKit también se ha actualizado con varios parches para solucionar problemas como por ejemplo, los siguientes CVE: CVE-2019-8536, CVE-2019-8544, CVE-2019-7285, CVE-2019-8556, y CVE-2019-8506. Muchos de estos CVE aún no están aún publicados, según Apple lo harán en breve.

Como hemos comentado al principio del artículo, Mojave (macOS) también ha recibido algunos parches para reparar problemas de seguridad en su versión 10.14.4. En concreto, se han reparado 38 CVEs como por ejemplo el CVE-2019-8555, relacionado con el componente AppleGraphicsControl el cual podría provocar un buffer overflow. Otro de ellos es también el CVE-2019-8522, el cual permitía montar o desmontar un volumen cifrado sin preguntar por los datos del usuario propietario.

En definitiva, damos la bienvenida a los nuevos servicios de Apple pero mucho más importante es la actualización, tanto de macOS como de iOS. Así que como siempre, mantén tus dispositivos Apple siempre a la última versión disponible.

Problemas de seguridad solucionados por Apple en diciembre (RCE, vulnerabilidades, bypass de contraseñas, etc)

El día 5 de diciembre, Apple publicó una importante actualización para sus principales productos como por ejemplo iCloud, Safari, iTunes, Atajos (Shortcuts), macOS Mojave, High Sierra, Sierra, tvOS e iOS. Entre los problemas solucionados por esta actualización encontramos ejecución de código, escalada de privilegios, vulnerabilidades, DoS, etc. Viendo los problemas de seguridad solucionados, es muy importante tener instalada esta actualización.

Uno de los problemas que más ha dado que hablar en los últimos meses ha sido el bug que permitía acceder incluso a los contactos de un usuario con el dispositivo bloqueado, tal y como ya contamos aquí. La actualización de Atajos es la primera que recibe esta nueva función de iOS pero realmente Apple no nos cuenta demasiado sobre ella ya que no tiene CVE asociado, sólo aparece los agradecimientos a un tal Micah A.

Figura 1. Actualizaciones de diciembre. Fuente.

Otras aplicaciones actualizadas han sido iCloud para Windows 7.9, Safari 12.0.2, iTunes 12.9.2 para Windows, macOS Mojave 10.14.2 y High Sierra, Atajos (Shorcuts) 2.1.2 para iOS (12.0 en adelante), tvOS 12.1.1 (Apple TV 4K y Apple TV, cuarta generación) e iOS 12.1.1 (iPhone 5s en adelante, iPad Air y posteriores y el iPod Touch de sexta generación). Como siempre, recomendamos tener actualizado siempre nuestros dispositivos Apple, es la mejor manera de evitar todo tipo de ataques y malware.

iOS 12 y watchOS 5, nuevas características y vulnerabilidades solucionadas

En la pasada Keynote de Apple, además de enseñar los nuevos dispositivos iPhone y Apple Watch, también se presentó la nueva versión de sus correspondientes sistemas operativos. Hace ya meses que sabemos las nuevas características, pero ahora ya son oficiales. También vamos a repasar las vulnerabilidades principales de seguridad que se han resuelto en estas nuevas versiones presentadas.

iOS 12 ofrece una mejora bastante significativa en rendimiento que incluso llega a dispositivos relativamente viejos como iPhone 5s y el iPad Air. Facetime y Messages también han sufrido una gran remodelación de sus características. ScreenTime es una nueva característica bastante interesante, ya que nos permite controlar y limitar el tiempo de uso al dispositivo (ideal para el control parental). Respecto a la realidad aumentada también se han implementado algunas características nuevas como por ejemplo el conocimiento 3D de objetos. 

Centrándonos en la seguridad, algunas vulnerabilidades importantes también han sido resueltas en esta versión. Los CVE-2018-4313 y CVE-2018-4307 afectaban a Safari, la primera es una la cual permitía ver los sitios web visitados y en la segunda un sitio web malicioso podía extraer información partiendo de los formularios de autorrelleno. Otras que afectaban a la WiFi, al kernel, etc también se han resulto, es posible consultarlas todas en este enlace.

Figura 1. Nuevos modelos iPhone con iOS 12. Fuente.

WatchOS 5 ofrece una mejora significativa en el entrenador personal añadiendo nuevas funciones como avisos del ritmo, cadencia, etc. Quizás la más llamativa de las nuevas características es WalkieTalkie. Esta función permite hablar con otro usuario que tenga la aplicación directamente, simplemente buscando el contacto y hablar. Aprovechando el nuevo modelo de pantalla de Apple Watch también se han mejorado las notificaciones mostradas en pantalla.

Figura 2. Nuevos modelos Apple Watch con WatchOS 5. Fuente.

Sobre la seguridad de esta nueva versión WatchOS 5, se han resuelto también algunas de las más conocidas como por ejemplo CVE-2018-4363, relacionada con Kernel que permitía leer datos de la memoria restringidas. Otra de las solucionadas es la CVE-2016-1777 relacionada con las vulnerabilidades detectadas en el algoritmo de cifrado RC4. El listado completo de las vulnerabilidades solucionadas se puede consultar en el siguiente enlace.

Fue Noticia en seguridad Apple: del 21 de mayo al 2 de junio

Comenzamos el mes de junio y con la entrada del verano a la vuelta de la esquina en Seguridad Apple no descansamos para traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 21 hablándoos del aumento de la delincuencia en torno a los productos de Apple y de cómo esto ha afectado a las tiendas y particulares.

El martes 22 os contamos cómo un fallo de TeenSafe ha dejado expuestos miles de Apple ID en dos servidores de Amazon.

El miércoles 23 os explicamos el procedimiento a seguir para descubrir que información conoce Apple sobre nosotros.

El jueves 24 os contamos cómo Apple hará que desbloquear sus dispositivos en análisis forenses sea todavía más complicado a través de su última actualización.

El viernes 25 os presentamos InstaOnlineMonitor, un tweak con el que podréis saber cuándo un usuario de Instagram está conectado y monitorear su actividad.

El sábado 26 indagamos un poco más en la historia de Apple para hablaros de algunos de los iconos que Susan Kare ocultó en los tipos de letras del Macintosh original.

El domingo cerramos la semana avisándoos de que durante el WWDC se presentará la nueva voz de Siri, la cual será una de las novedades de iOS 12.

El lunes 28 os hablamos del aumento del número de solicitudes de Seguridad Nacional recibidas por Apple durante el segundo semestre de 2017.

El martes 29 os alertamos de que el fallo de PGP ha afectado a algunos proveedores de correo entre los que se encuentran Protonmail, Outlook y Apple Mail y que permitiría a un atacante la exfiltración de nuestros e-mails.

El miércoles 30 os alertamos de una nueva campaña de Phishing que recibe el nombre de Roaming Mantis y cuyo objetivo es la minería de criptomonedas desde los dispositivos infectados.

El jueves 31 os avisamos de la llegada de la actualización de iOS 11.4 en la que se incorporan algunos parches de seguridad y mejoras en Airplay.

El viernes 1 os presentamos Installer 5, una nueva alternativa al uso de Cydia que os ofrecerá algunas novedades y mejoras para vuestros dispositivos rooteados.

Finalmente, ayer sábado hablamos de las historias (y a qué se dedican a día de hoy) de los cinco primeros empleados de Apple, incluido Wozniak el cual aún está cobrando nómina de la empresa que fundó con Steve Jobs.

Apple y Google serán interrogados por el gobierno de USA

El motivo de que el gobierno de los Estados Unidos siga teniendo el punto de mira en sus empresas tecnológicas puede ser debatible o cuestionable. En esta ocasión Apple y Google serán interrogados por los reguladores de los Estados Unidos sobre la forma en que estas empresas llevan a cabo su proceso de parcheo de los fallos de seguridad. La comisión Federal de Comunicaciones y la Comisión Federal de Comercio enviaron cartas a las dos compañías, además de LG, BlackBerry o Microsoft, entre otros. Los reguladores quien conocer cómo estas empresas publican actualizaciones de seguridad para evitar que un delincuente pueda aprovecharse de los dispositivos.

Las agencias gubernamental escribieron en un comunicado que a medida que los consumidores y las empresas utilizan los dispositivos móviles para llevar a cabo sus actividades diarias, la seguridad de sus comunicaciones y otro tipo de información personal está directamente relacionada con la seguridad de los dispositivos que utilizan. Además, indicaron que los consumidores pueden ser dejados sin protección, durante largos períodos de tiempo o incluso indefinidamente debido al retardo en parchear vulnerabilidades. Hasta la fecha, los proveedores del sistema operativo, los fabricantes de equipos y proveedores de servicios móviles tienen que abordar las vulnerabilidades que pueden surgir. 

Figura 1: Vulnerabilidades en productos 2015

Si nos fijamos en los tiempos de actualizaciones, quizá no sea tan rápido como se deseara, o lo que hoy en día la sociedad demanda. Es cierto que la preocupación también viene por todos los usuarios que quedan desprotegidos por versiones descontinuadas o dispostivos que ya no reciben soporte, al poco de ser adquiridos. Esto último, ocurre más en el mundo Android que en el mundo iOS. La investigación ha sido llevada a cabo a través de varias vulnerabilidades que exponen los problemas de seguridad en ambos dispositivos iOS y Android en el último año. Estaremos atentos para ver cómo evoluciona este caso: El sistema de actualizaciones y los tiempos de respuesta de las grandes empresas a juicio por los reguladores. ¿Podría ser que la regulación de Estados Unidos obligara a sus empresas a cumplir unos tiempos en el parcheo? El debate está servido.

Microsoft lanza un nuevo parche para Office 2011 for Mac

Microsoft ha lanzado Office 2011 para Mac, en su versión 14.4.5, la cual proporciona al usuario correcciones de errores críticos y mejoras de seguridad. Ahora el usuario puede descargar el parche de 113 MB desde el sitio web del mismo Microsoft. La actualización se recomienda para todos los usuarios de Office 2011, que es la versión más reciente de la suite de productividad ofimática para los sistemas OS X.

Si eres usuario de Microsoft AutoUpdate recibirás a través de esta herramienta el aviso con toda la información, tal y como se puede ver en la siguiente imagen:

Figura 1: Actualización de Office 2011 for OS X 14.4.5

A continuación podemos visualizar qué cosas podemos encontrarnos: "Esta actualización soluciona problemas críticos y también ayuda a mejorar la seguridad, incluyendo para ello revisiones para evitar que un atacante pueda sobreescribir la memoria del equipo con código propio. En otras palabras, se evita la ejecución de código arbitrario."

Apple TV 6.0: CVEs, parches, ladrillos y cintas de vídeo

Apple TV

El pasado 20 de Septiembre Apple también puso en circulación información sobre la actualización de Apple TV 6.0, pero con el ajetreo de los lanzamientos de iOS 7, iPhone 5S, iPhone 5C y todos los bugs de seguridad, no habíamos encontrado tiempo para hablar de esta actualización. Lo cierto es que el Apple Security Advisory anima a instalar cuanto antes la nueva versión, ya que soluciona un total de 57 CVEs.

Pero esta vez, algunos usuarios se encontraron que la actualización convertía en ladrillo - lo que se llama brickear - algunos dispositivos, lo que obligó que Apple retirase la actualización de la web para evitar más incidentes con el resto de los usuarios. Si eres de las víctimas, aquí tienes información de cómo "desbrickearlo".

Figura 1: Apple Security Advisory de Apple TV 6.0

Hoy ya está disponible una nueva compilación de Apple TV 6.0 que supuestamente evita el "brickeo", por lo que parece que es el momento de actualizar el software de tu dispositivo para evitar bugs y problemas con tus dispositivos.

Curso Avanzado de Desarrollo de aplicaciones iOS para iPhone & iPad. Del 15 al 19 de Octubre en Informática64.

Para los desarrolladores que tengáis cierta base de desarrollo de aplicaciones, o alguna noción en iOS, y deseis aprender a desarrollar aplicaciones para iPhone & iPad, durante la semana del 15 al 19 de Octubre, en horario de 09:00 a 14:00 horas, tendrá lugar el Curso Avanzado de Desarrollo en iOS, en las oficinas de Informática64 en Móstoles. El profesor será Juan Miguel Aguayo, autor del libro “Desarrollo de aplicaciones iOS `para iPhone y iPad: Essentials”. La descripción detallada de todos los contenidos que se verán en este curso, es la siguiente:

Curso Avanzado de Desarrollo de Aplicaciones iOS para iPhone y iPad

Objetivos

El objetivo del curso es proporcionar a los alumnos, que ya tienen cierta base en Objective-C, los conocimientos necesarios para cubrir las principales necesidades de las aplicaciones reales. Los alumnos estudiarán cómo persistir datos de diversas formas (Ficheros, Core Data), cómo se crean y se configuran las Preferencias de Usuario, cómo controlar o manejar Eventos (Remotos, Multitouch, etcétera), cómo trabajar con Mapas y Geolocalización, cómo realizar Conexiones Cliente-Servidor y en definitiva aprender con ejemplos de código para cubrir las necesidades principales de las aplicaciones reales. Además el alumno aprenderá a utilizar la documentación oficial que existe en el propio entorno de trabajo, se proporciona una lista de recursos para el desarrollador (pdfs, vídeos , podcast, portales iOS, etcétera) y se presentan alternativas a la programación nativa con Objective-C.

Audiencia

Desarrolladores de otras plataformas móviles, desarrolladores con cierta base en Objective-C, y en general cualquiera interesado en aprender a trabajar con el SDK de iOS, eso sí, preferiblemente con cierta experiencia en programación, y mejor si es OOP.

Requisitos

El curso es de nivel avanzado. Por lo que se recomienda haber asistido al Curso Básico de Desarrollo iOS o tener ciertas nociones cobre desarrollo en iOS, o en su defecto, alguna experiencia previa en programación orientada a objetos. No es imprescindible disponer de dispositivos iOS para la realización del curso, ni de nociones de OS X.

Temario

1. Preferencias de usuario.

• Tipos de preferencias.
• Salvando/recuperando los valores.
• Valores por defecto.

2. Eventos.

• Conceptos.
• Manejadores.
• Notificación.
• Multitouch y tipos de gestos.
• Eventos de movimientos y orientación.
• Eventos remotos.

3. Posicionamiento y mapas.

• Core Location framework.
• Requisitos.
• Servicios de localización.
• Parámetros de alcance y precisión.
• Iniciar y recibir localización.
• MapKit Framework.
• MapView, anotaciones y overlays.

4. Multitasking.

• Introducción.
• Disponibilidad.
• Background.
• Transición entre estados.

5. Persistencia de datos.

• Core Data y SQLite.
• Managed Object Context.
• Data Model.
• Atributos.
• Guardar y recuperar objetos.
• Persistencia en fichero, plists.
• Preferencias de usuario.

6. Aplicaciones Cliente-Servidor.

• Parseo y serialización XML.
• JSON Framework.
• Sockets.
• NSURLConnection.
• Frameworks CS de terceros.

7. Recursos para el desarrollador.

• iPhone Dev Center.
• Apple Mailing lists.
• Twitter, LinkedIN,…
• iTunes y los podcast.
• User groups.
• Libros y ebooks.

8. Alternativas a la programación en Xcode y Objective-C.

Si quieres más información del proceso de registro, tienes toda la información que necesitas en: Curso Avanzado de Desarrollo de Aplicaciones iOS.

Mantener tu Mac OS X con el software actualizado

Una de las reglas de oro para tener un sistema operativo seguro es mantener todo el software actualizado. En los equipos con Mac OS X, todas las actualizaciones del sistema operativo y toda las que provengan de la propia Apple nos llegarán vía Software Update hasta Mac OS X Lion y vía Mac App Store en OS X Mountain Lion. Pero... ¿qué pasa con aquellas actualizaciones de aplicaciones que no vienen desde Apple?

En OS X Mountain Lion, todas las aplicaciones que hayan sido compradas vía Mac App Store tendrán un punto único de actualización, lo que simplifica mucho la tarea de mantenerlas actualizadas, pero hay otro buen montón de aplicaciones que probablemente tengas en tu sistema que no procedan de allí, ¿cómo las mantienes actualizadas?

Figura 1: Actualización de aplicaciones vía Mac App Store

Los grandes fabricantes de software suelen mantener alguna solución propia para tener el software actualizado. De esta forma Java de Oracle trae un sistema de comprobación de actualizaciones, al igual que Adobe,  en el caso de Microsoft tenemos la aplicación de AutoUpdate que comprueba periódicamente las nuevas versiones y en software tan popular como Mozilla Firefox hay opción de chequearlo en cada inicio o manualmente.

Figura 2: Actualizador de Oracle Java

Sin embargo, a pesar de estas soluciones parciales, nos encontramos con varios problemas aún por resolver, como son:

1) Un sistema descentralizado de actualizaciones2) Muchos sistemas dependen de la petición explícita del usuario para autorizar el actualizador o para hacer la comprobación manualmente3) Muchas aplicaciones no cuentan con ningún sistema de aviso de nueva actualización

Para simplificar esta tarea con todas las aplicaciones, los usuarios pueden utilizar I Use This, un sistema que avisa de las nuevas versiones de todas las aplicaciones que se utilizan en un determinada plataforma, y que para OS X tiene una lista enorme de aplicaciones.

Figura 3: I use this para OS X

Sin embargo, lo más cómodo es utilizar alguna herramienta que compruebe cuáles son las aplicaciones que tenemos instaladas en nuestro equipo y sepa donde ir a buscar las actualizaciones. Nosotros hemos probado AppFresh para Mac OS X, y los resultados son más o menos como esperábamos.

Figura 4: AppFresh for Mac

La solución muestra las aplicaciones que están sin actualizar, las que están actualizadas, y el peligroso grupo de "desconocidas", lo que nos crea más intranquilidad aún que las que sabemos que no están actualizadas porque debemos hacerlo manualmente. Desde la propia herramienta es posible descargarse directamente las actualizaciones lo que ayuda en gran medida a ahorrar tiempo de buscar en cada web la actualización pertinente.

Figura 5: Descarga de actualizaciones o nuevas versiones

Además, la solución muestra cuáles son las aplicaciones que deben actualizarse vía Mac App Store y se integra con otros sistemas de actualización tipo Microsoft AutoUpdate y comprueba los Plugins y Widgets cargados en el sistema para ver si hay nuevas versiones de ellos.

Figura 6: Aplicaciones que no sabe si están o no actualizadas

Puedes descargarte una versión de evaluación de 15 días, y si quieres, la propia aplicación se encarga de ir actualizando el software cuando una nueva versión haya disponible. La versión final tiene un coste de 14.99 $, por si os parece interesante comprarla y funciona en Mac OS X 10.6 Snow Leopard, Mac OS X 10.7 Lion y OS X 10.8 Mountain Lion.

Figura 7: Aplicaciones que deben ser comprobadas vía Mac App Store

Sea cual fuera tu sistema, procura tener tu software actualizado en tu Mac OS X, ya que al final el malware puede aprovechar cualquier fallo conocido no parchado, como hemos visto ya desde hace tiempo en plataformas Microsoft Windows.

Actualiza la "Tele": Apple TV 5.1 arregla 21 security bugs

Este lunes Apple puso a disposición pública para descargar la versión de Apple TV 5.1 para modelos de Apple TV que sean de segunda generación o posteriores. Esta actualización viene acompañada del Security Advisory APPLE-SA-2012-09-24-1 Apple TV 5.1 en el que se informa de la solución de un total de 21 bugs de seguridad que existen en las versiones anteriores. 

Figura 1: Apple TV 5.1

Debido a esto, si tienes un Apple TV en tu casa te recomendamos que lo actualices lo antes posible ya que como dice en el advisory "ver una película maliciosa puede llevar a la ejecución de código arbitrario", y por película maliciosa no se refiere a una película de miedo. Toda la información de esta actualización está disponible en la knowledge Base en el artículo HT5504.

Apple Safari 6.0.1 para OS X: 61 bugs corregidos

Tras actualizar tu sistema operativo con el software de OS X Mountain Lion 10.8.2 o Mac OS X Lion 10.7.5, tendrás instalado ya el nuevo Apple Safari 6.0.1 que soluciona 61 CVEs, algunos de severidad Highly Critical, ya que visitar una página web puede llevar a la ejecución de código arbitrario como bugs que ya hemos en el pasado como el de parent_stylesheet explotado por Canvas,  el bug de Java CVE-2012-4681 en OS X Mountain Lion 10.8.1, o el CVE-2012-3230 en Apple Safari 5.

Todos estos bugs están recogidos en el Security Advisory APPLE-SA-2012-09-19-3 Safari 6.0.1, y en el documento de la Knowledge Base HT5502. Otra vez Google tiene mucha presencia en esta actualización, ya que de los 61 bugs, 35 de ellos han sido reportados por el Google, en concreto 34 desde el Google Chrome Security Team y uno más de un empleado de la compañía. Esta versión está disponible solo para Mac OS X Lion 10.7.5 y OS X Mountain Lion 10.8.2

OS X Mountain Lion 10.8.2, Mac OS X Lion 10.7.5 y Security Update 2012-004 para Mac OS X Snow Leopard

Esta semana Apple, además de poner a disposición pública iOS 6 junto con iPhone 5, ha lanzado una serie de actualizaciones de seguridad que hay que tener muy presentes. Entre ellas, destacan las actualizaciones para los sistemas operativos OS X Mountain Lion, Mac OS X Lion y Mac OS X Snow Leopard, que pueden ser obtenidas en diferentes formatos. Estas actualizaciones de seguridad corrigen 35 bugs de seguridad en total - aunque no todos afectan a todas las versiones de los sistemas operativos - que han sido recogidos en el Security Advisory APPLE-SA-2012-09-19-2.

Algunos de estos fallos corresponden a actualizaciones esperadas de módulos de servidor como PHP, Apache, Ruby o BIND, y otras más centradas en el sistema operativo en general, como el Kernel o aplicaciones de usuario como Quick Time. Muchos de estos fallos tienen un grado de severidad crítica, por lo que se recomienda aplicar la actualización lo antes posible.

Las actualizaciones están disponibles a través de la Mac App Store en el caso de OS X Mountain Lion, vía Software Update en Mac OS X Snow Leopard y Mac OS X Lion, además de poder hacer uso de los siguientes enlaces de descarga directa para la versión concreta de tu sistema operativo.

- OS X Mountain Lion 10.8.2 (665.48 MB)
- OS X Mountain Lion 10.8.1 Combo (665.39 MB)
- Mac OS X Lion 10.7.5 Cliente (1.14 GB)
- Mac OS X Lion 10.7.5 Cliente Combo (1.91 GB)
- Mac OS X Lion 10.7.5 Server (1.22 GB)
- Mac OS X Lion 10.7.5 Server Combo (1.99 GB)
- Server Admin Tools para Lion 10.7.5 (195.67 MB)
- Mac OS X Snow Leopard Security Update 2012-004 (2.36 MB)
- Mac OS X Snow Leopard Security Update 2012-005 Server (276.45 MB)

No parece haber ningún exploit utilizando los bugs solucionados en estas actualizaciones, pero aún así el nivel de severidad es crítico, por lo que os recomendamos que actualicéis lo antes posible.

Curso: Desarrollo de aplicaciones iOS para iPhone & iPad. Del 1 al 5 de Octubre en Informática64 (Móstoles - Madrid)

Para todos los que queráis aprender a programar aplicaciones para iPhone & iPad, durante la semana del 1 al 5 de Octubre, en horario de mañana de  09:00 a 14:00 horas, tendrá lugar el Curso de Desarrollo de Aplicaciones iOS para iPhone & iPad, en las oficinas de Informática64 en Móstoles. El profesor será Juan Miguel Aguayo, autor del libro “Desarrollo de aplicaciones iOS para iPhone y iPad: Essentials” que cubre gran parte de los contenidos del curso. La descripción detallada de todos los contenidos que se verán en ese curso es la siguiente:

Curso de Desarrollo de Aplicaciones iOS para iPhone & iPad

Descripción

Los smartphones y los dispositivos móviles están en auge, y están revolucionando tanto en el mundo corporativo, como a nivel de usuario particular, la manera de comunicarse, de compartir, de acceder a recursos, de trabajar, de jugar.

Es innegable el crecimiento exponencial que han experimentado las tecnologías móviles en los últimos años, y en concreto los dispositivos iOS. La mayoría de empresas, pymes o multinacionales, desean tener su app en la App Store, y superar la barrera de visibilidad, ya sea como canal de distribución, como posicionamiento, integración con redes sociales, o simplemente por aprovechar el alto ROI de las apps móviles.

Si desea convertirse en desarrollador iOS, realizar apps corporativas, o las suyas propias, este curso le proporcionará una visión global e introductoria a la programación en dispositivos iPhone/iPad, y le permitirá comenzar a desarrollar apps inmediatamente.

El curso de desarrollo básico de aplicaciones en iOS, tiene un enfoque eminentemente práctico, con lo que los alumnos estarán la mayor parte del tiempo, enfrentándose a ejercicios y problemas a resolver en el entorno de desarrollo Xcode, con lo que la carga teórica queda en un 30%, y la parte práctica en un 70%.

Objetivos

El objetivo del curso es proporcionar a los alumnos, una base estable de programación con el SDK de iOS. Al finalizar la acción formativa, se estará en condiciones de comenzar a desarrollar apps para iPhone/iPad/iPod Touch.

A lo largo del curso se aprenderá a manejar el kit completo de herramientas de desarrollo que proporciona Apple. El IDE Xcode, el constructor de interfaces gráficas Interface Builder, a utilizar el iPhone/iPad Simulator, medir rendimiento con Instruments, etc. Los alumnos aprenderán también las bases del lenguaje Objective-C, repasando conceptos de programación orientada a objetos (OOP).

Los alumnos estudiarán la arquitectura iOS, los paradigmas de diseño (MVC, delegación, gestión de memoria manual y automática o ARC, target-action y outlets), aprenderán a utilizar las clases de los frameworks de Cocoa Touch, a construir interfaces gráficas utilizando las principales vistas y contenedores del framework UIKit, ya sea de manera programática o utilizando StoryBoards, y a conectar objetos con dichas interfaces. Además el alumno aprenderá a utilizar la documentación oficial que existe en el propio entorno de trabajo, y se proporciona una lista de recursos para el desarrollador (pdfs, videos , podcast, portales iOS, etc.).

Audiencia

Desarrolladores de otras plataformas móviles, desarrolladores que deseen introducirse en el mundo de los dispositivos móviles, y en general cualquiera interesado en aprender a trabajar con el SDK de iOS, eso sí, preferiblemente con cierta experiencia en programación, y si es programación orientada a objetos, mejor aún.

Temario

1. Introducción.

• Mac OS X, Cocoa y iPhone.
• Dispositivos iPhone, iPad y iPod.
• Tipos de aplicaciones: nativas y aplicaciones web.

2. Xcode.

• Xcode IDE.
• Interface Builder.
• Simulador iPhone/iPad.
• Instruments.

3. Introducción a Objective-C.

• Características generales.
• Tipos de datos. Envío de mensajes.
• Clases, interfaz, implementación.
• Categorías y extensión de clases.
• Getters y setters.

• Propiedades.

• Protocolos.
• Enumeración rápida.

4. Paradigmas de programación en iOS.

• Modelo MVC.
• Delegation.
• Target-Action.
• Memory management (MRC y ARC).

5. Cocoa Touch y sus frameworks.

• Cocoa Touch.
• Foundation Framework.
• UIKit Framework.

6. Creación de interfaces gráficas.

• Tipos de interfaces o view controllers y contenedores.
• XIB, NIB, Outlets y Actions.
• IB y conexiones.
• StroyBoards.

Si quieres más información del registros, tienes los datos completos en: Curso de Desarrollo de Aplicaciones iOS.

Apple publica iOS 6 con 197 bugs de seguridad corregidos

Apple ha puesto disponible la nueva versión de su sistema operativo para dispositivos móviles, iOS 6. Esta nueva versión viene anunciada con más de 200 nuevas características, que supongo que iréis disfrutando ya de ellas, siempre y cuando tu dispositivo la soporte, que como sabéis la lista de compatibilidad de características es curiosa.

Los dispositivos en los que se puede instalar iOS 6 son iPhone 5, por supuesto, iPhone 4S, iPhone 4 - sin soporte para Maps flyover, Turn-by-turn navigation, FaceTime sobre 3G y soporte de ayuda para la audición - y los iPhone 3GS - sin soporte además de lo anterior de listas VIP, listas de lectura online y Siri. En el caso de iPad se puede instalar en el Nuevo iPad (aka iPad 3), y en el iPad 2, pero sin soporte para Siri, FaceTime sobre 3G y ayuda a la audición. Como se puede ver iPad 1 es definitivamente olvidado. Por su parte, en iPod Touch solo en los de 4ª generación.

Figura 1: Lista de fallos de seguridad solucionados en iOS6 

Ahora que ya sabes que si tienes un iPad 1 has sido olvidado por Apple en esta actualización, lo siguiente que debes conocer desde el punto de vista de seguridad es que se han corregido 197 fallos de seguridad en iOS 6, que están presentes en iOS 5.1.1, así que más vale que actualices tu dispositivo si no quieres que algún "malo" lo utilice.

Figura 2: Bug en Mail descubierto por Ángel Prado

Entre ellos, hay un CVE descubierto por Ángel Prado, un joven investigador gallego que encontró un bug en el cliente de Mail que permitía generar comportamientos explotables en esquemas de phishing manipulando los IDs de los adjuntos en los correos electrónicos.

Oracle actualiza Java SE 7 Update 7 para Mac OS X

Después del caos que estamos sufriendo con el bug CVE-2012-4681, Oracle ha puesto una actualización de Java SE 7 Update 7 a través de un advisory de seguridad en la que soluciona por fin el bug. Para Mac OS X, si tienes instalada esta versión, deberás entrar el panel de Preferencias de Java y tendrás disponible la actualización.

Figura 1: Actualización Java SE 7 Update 7 disponible para Mac OS X

Tiene 50.2 MB de tamaño, y se descarga directamente desde el panel, con lo que su aplicación es rápida.

Figura 2: Notas de la versión e instalación directa

Desde Seguridad Apple os urgimos a que actualicéis cuanto antes Java en vuestro Mac OS X si habíais instalado Java SE 7, ya que es de alto grado de peligrosidad este bug, debido a la cantidad de sitios explotándolo.

OS X Mountain Lion mejora las Security Updates

Hasta Mac OS X Lion, las actualizaciones de software y las actualizaciones de seguridad venían por el mismo canal de comunicaciones, lo que provocaba situaciones ridículas, en las que hubiera que descargarse 1.2 GB de actualizaciones de bucles para la aplicación Garage Band - algo que la mayoría de los usuarios no utilizan - junto con una actualización de Java de 30 MB. Esto hacía  que para muchos usuarios las actualizaciones fueran auténticos retardos en sus trabajo, y el número de equipos sin actualizar fuese alto. Por otro lado, la configuración por defecto de Software Updates estaba preparada para revisar nuevas actualizaciones una vez por semana, algo que es necesario ajustar para tener un sistema más seguro.

En OS X Mountain Lion se ha optado por cambiar esto, y ya se va a contar con un canal de distribución mucho más especializado para las actualizaciones de seguridad, por el que se van a distribuir solo actualizaciones de seguridad, por un canal fortificado y cifrado, además de contar con una configuración por defecto que buscará el nuevo software cada día.

Figura 1: Actualizaciones de Seguridad en OS X Mountain Lion

Hemos de decir que nos gusta mucho que Apple haya sacado la actualización de Java para Mac OS X el mismo día que lo hizo Oracle, que hayan cambiado los mensajes de seguridad esta semana para dejar esa posición de altiva ilusión y de que se anuncien medidas como esta en OS X Mountain Lion para mejorar la seguridad de los usuarios. Estos son pasos correctos hacia un sistema más protegido contra las amenazas que puedan venir en el futuro.

Formaciones sobre dispositivos móviles en Junio

Durante el mes de Junio tenemos un calendario de acciones dedicadas en exclusividad a dispositivos móviles, que tocarán todas las plataformas. Aquí te dejamos la lista de acciones y su lugar de ejecución.

Una semana para Android en Madrid

En las instalaciones de Informática 64, en horario de mañana de 8:30 a 14:30h se van a realizar cuatro seminarios dedicados a Android, repartidos en cuatro días de la siguiente forma.

- 4 de Junio: HOL-AND01 Seminario de interfaces gráficas para Android

- 5 de Junio: HOL-AND02 Seminario de persistencia de datos en Android

- 6 de Junio: HOL-AND03 Seminario de tratamiento de ficheros XML en Android

- 7 de Junio:  HOL-AND04 Seminario de sensores, localización y mapas en Android

El Curso de Especialización en A Coruña.

En la Universidad de A Coruña, con la colaboración de Informática 64, y la participación de Microsoft, SmartAccess, Vulnex, ESET, Telefónica y S21Sec se organiza los próximos días 20, 21 y 22 de Junio el Curso de Especialización en Dispositivos Móviles, en el que se tocarán las tecnologías iOS, Android y Windows Phone, además de temas relativos a la arquitectura del sistema, la seguridad de las aplicaciones o el análisis forense de dispositivos.

En ésta ocasión dicho curso cuenta con ponentes como Chema Alonso de la empresa Informática 64, Rames Sarwat, Director General de la empresa SmartAccess, es experto en seguridad de sistemas de información y en firma digital, Juan Miguel Aguayo, autor del libro “Desarrollode aplicaciones iOS para iPhone & iPad: Essentials”, David Barroso de Telefónica, Mikel Gastesi , especialista en e-crime de S21Sec o Simón Roses, especialista en seguridad móvil de la empresa Vulnex, entre otros.

Todos los asistentes recibirán como material el libro de Taddong "Hacking y Seguridad de comunicaciones móviles" y el de "Desarrollo de aplicaciones iOS para iPhone & iPad". Hay un periodo de registro super reducido que acaba hoy, y además se cuenta con descuento especial para los estudiantes de la universidad. Toda la información en al web del Curso de Especialización en Dispositivos Móviles.

Curso de Desarrollo de Aplicaciones iOS Avanzado en Madrid

Por último del lunes 25 de junio al viernes 29 de junio, se dará uno curso dedicado al Desarrollo de aplicaciones avanzadas en iPhone/iPad, en el cuál el alumno será capaz de utilizar las herramientas del iPhone SDK, desarrollar aplicaciones avanzadas en Objective-C, usar el modelo MVC, y muchas más de las funcionalidades del SDK,.

Dicho curso tendrá lugar en las instalaciones del Campus de Villaviciosa de Odón (Madrid) con un descuento excepcional si eres alumno de la UEM. Para más información, puedes contactar con informática 64 en el número de teléfono 91 665 99 98, o si lo prefieres a través de nuestro e-mail registro@informática64.com.