Noticia Fue Noticia en Seguridad Apple: 11 a 24 de Noviembre

Como cada dos semanas volvemos para resumir todas las noticias que se han publicado en nuestro blog dedicado a Seguridad Apple, pero también con un resumen de otras noticias relacionadas con el mundo de la seguridad y las tecnologías Apple. Una lectura resumida pensada para que puedas estar al tanto de las últimas noticias ocurridas de un solo golpe de vista.

Empezamos hablando del astronómico precio que puede llegar a costar un 0day de iOS llegando hasta 500.000 $ según el New York Times, por el contrario Apple no está pagando nada de dinero por el reporte de dichos bugs.

Avanzamos al martes y comentamos como realizar cracking de contraseñas en OS X Mountain Lion 10.8 con la herramienta DaveGrohl, si has perdido tus credenciales o necesitas realizar un análisis forense este post te resultara útil.

El miércoles volvemos con la sorprendente noticia de que Apple libera el código del Apple II a través de Computer History Museum para que pueda ser estudiado con fines educativos. En el artículo también se cuenta un poco más de toda esa parte de la historia de la computación que marco tanto el desarrollo del magnífico Apple II como el futuro de la compañía que a la postre se convertiría en la poderosa empresa de hoy en día.

Al día siguiente hablábamos de una vulnerabilidad descubierta en Mac OS X Mavericks sobre enlaces duros que puede provocar un kernel panic. Apple no ha concedido este comportamiento como vulnerabilidad.

El viernes de la semana pasada analizamos la nueva mutación del malware llamado OSX/Crisis, un malware que se instala de manera silenciosa y funciona sobre Mac OS X Snow Leopard 10.6.x y Mac OS X Lion 10.7 pudiendo recoger audio, imágenes, capturas de pantalla, pulsaciones de teclado y realizar un informe jugoso para el atacante.

El sábado Apple publica iOS 7.0.4 y iOS 6.1.5 para iPod Touch 4 junto con 2 actualizaciones de urgencia para dichas versiones, en caso de iOS 7.0.4 existía un bug que permitía comprar apps sin pagar, algo similar al hack que publico Alexy Borodin para no pagar en in-app purchase. Por otro lado para iOS 6.1.5 (solo para iPod Touch 4ª generación) arregla un fallo de Face-Time.

Un día después hablamos de la polémica filtración de usuarios que ha sufrido MacRumors, en la cual, el atacante consiguió extraer 860.106 cuentas de usuario con sus respectivos hashes de la contraseña en MD5 de los 1.8 millones de miembros registrados. Si tenías cuenta, cambia la password ya.

Empezamos la semana con la victoria de Keen Team en el Pwn2Own donde encontraron varios bugs en Mobile Safari que les permitían robar la cookie autenticada de Facebook en iOS 7.0.4 y robar una fotografía del carrete de fotos de un terminal con iOS 6.1.4.

El martes recomendamos actualizar tu equipo Mac OS X para obtener las múltiples mejoras en los drivers de impresoras y cámaras digitales, ademas de una actualización para Adobe Flash Player que soluciona 2 CVEs críticos, además si usas la herramienta de desarrollo XCode ya puedes descargar la actualización que soluciona los fallos cuando se entraba en modo debug que tenía la anterior versión.

Al día siguiente comentábamos la multa de 17 millones de dólares impuestos a Google por saltarse las preferencias de privacidad del navegador Safari, realizando tracking a los usuarios incluso aunque el usuario especificase su desacuerdo con el tracking.

A mediados de semana alertamos de la llegada de una nueva campaña de phishing realizada vía correo electrónico y con un mensaje muy cutre dirigido a los clientes de Apple iTunes, el cual exigía validar la cuenta de dicho servicio a través de una página web. La web ya está en los filtros anti-phishing de Google Chrome pero por desgracia no en los de Apple Safari.

El viernes recopilamos una serie de demostraciones sobre fallos de seguridad en apps de iOS mal desarrolladas que fueron publicadas por Alejandro Ramos en una conferencia en la Universidad Europea de Madrid.

Por último, ayer sábado, con la llegada del Black Friday, aparecen los correos de spam con sitios de phishing de Apple, así que es necesario tener cuidado con las prácticas de riesgo en las compras online.

Esto es todo lo que publicamos, pero también ha habido muchas noticias que merece la pena que leáis, así que hemos recuperado la siguiente lista de recomendaciones para que estés bien enterado de todo:
- Operadores no quieren aplicar el kill-switch por que reduciría beneficios: El kill-switch le permite a una persona bloquear un terminal robado remotamente. Sin embargo, algunos operadores piensan que eso haría que los ladrones "llamaran menos y usaran menos datos" y reduciría beneficios. La polémica está servida.
- La carrera criptográfica entre Google y Microsoft: Un buen artículo que resume todas las acciones que las dos compañías están tomando en materia de seguridad para mejor sus sistemas criptográficos.
- Saber dónde está una persona por un chat de WhatsApp: Curiosa funcionalidad publicada por Luis Delgado y Ferran Pichel que permite forzar a un cliente de WhatsApp para Android a hacer una petición a un servidor web controlado y averiguar su dirección IP de conexión. Más formas para espiar por WhatsApp.
- Apple ha publicado la versión de iOS 7.1 para desarrolladores: Aún queda un poco de tiempo hasta que llegue a los usuarios, pero Apple ya tiene que cosas que arreglar en la última versión de iOS publicada.

- Las tiendas Apple Store implementarán iBeacom: El objetivo es hacer seguimiento de los movimientos de los compradores en las tiendas para saber dónde se mueven, qué les atrae y así mejorar las ventas. Puro bigdata dirigido al mundo del business intelligence.
- CoinBase, la billetera de BitCoins retirada de App Store: Apple ha quitado la app para guardar bitcoins CoinBase de la AppStore. Esta app sigue disponible en Google Play.
- Pin Skimmer: Trabajo académico que muestra cómo utilizando sistemas de Machine-Learning y movimiento de imágenes tomadas por un smartphone se puede obtener el passcode un terminal.
Y hasta aquí todo lo que nos ha dado de sí este periodo, esperamos que os sirva para estar informado y que vengáis cada dos semanas a esta sección y todos los días a Seguridad Apple.

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths - El lado del mal




Continúar leyendo...