Como es tradición, ha llegado el momento de hacer un pequeño break y
echar la vista atrás, para ver qué nos ha deparado durante las últimas
dos semanas el mundo de la seguridad, especialmente centrado en los
productos de Apple. Recopilamos lo publicado en Seguridad Apple y como es habitual en otros blogs que puedan ofreceros información relevante..
Septiembre comenzó muy movido, con una noticia que revolucionó las redes
sociales y de la que por supuesto nos hicimos eco. Se trata del "Celebgate", la filtración masiva de fotos de famosas en situaciones comprometidas tras el robo de sus cuentas de iCloud.
El día 2 anunciamos el descubrimiento de dos vulnerabilidades que afectan a Air Transfer, una aplicación que permite el envío de ficheros entre PC/Mac y dispositivos iOS. Se trata de vulnerabilidades de tipo remote closing, que permite cerrar la aplicación de forma remota, y broken authentication, que permite el acceso al contenido.
El miércoles el leak de las famosas seguía causando revuelo, así que volvimos al tema e intentamos arrojar un poco de luz, analizando una de las teorías propuestas para el ataque, una vulnerabilidad en el servicio Find My iPhone. Este bug era aprovechado por un script en Python llamado iBrute. Apple cerró el bug.
El jueves explicamos cómo un nuevo bug en iOS 7.1.2 permite saltarse la protección que ofrece el passcode, de una forma similar a un ataque de clickjacking, pudiendo fusionar aplicaciones.
Un día después mostramos una forma de automatizar el robo de ficheros en iPhones. Se trata de iFile, una aplicación solo disponible para terminales con jailbreak, que supone una grave vulnerabilidad puesto que no proporciona por defecto ni cifrado ni autenticación.
El viernes nos centramos en el backdoor de OS X reportado por la empresa de seguridad FireEye. OSX.XSLCmd es un malware portado de Windows específicamente diseñado para ser usado para ciberespionaje.
Comenzamos el fin de semana con otra noticia relacionada con el "Celebgate". Esta vez Tim Cook, CEO de Apple, ha prometido que se tomarán medidas para evitar que se produzcan este tipo de leaks y proteger de esta manera a los usuarios.
Semana nueva, post nuevo. Esta vez, hablamos de Nuclear Exploit Kit, un kit que permite realizar ataques de distribución de malware, en este caso explotando la vulnerabilidad CVE-2014-0515, que se aprovecha de un desbordamiento de buffer en Flash.
El martes, de vuelta al escándalo de las famosas, anunciamos que a partir de ahora iCloud avisa de los accesos a través de navegadores web, y además permite cerrar todas las sesiones del usuario.
Tras el esperadísimo evento de Apple, el miércoles os presentamos una de las novedades de iPhone 6 que más ha llamado la atención: la posibilidad de realizar pagos mediante el sistema Apple Pay, que emplea un chip NFC del dispositivo.
El jueves 11 destacamos el lanzamiento de la última versión de iTunes, la 11.4 para OS X. Lo más relevante de esta versión es que cuenta con soporte para iOS 8, en pro de una mayor integración con los dispositivos
Este viernes expusimos los potenciales riesgos de seguridad que puede implicar un sistema de pagos como Apple Pay, tras analizar detalladamente su funcionamiento. Algo que ya hemos visto en el pasado en otros sistemas de pago usando NFC.
Por último, ayer sábado la entrada se la dedicamos al sistema anti-robo de Apple Pay que parece que lleva incorporado Apple Watch. Un detector de que el reloj ha sido quitado de la muñeca para proceder a pedir el PIN de Apple Pay en la siguiente transacción.
Y esto ha sido todo lo que ha dado de sí nuestro espacio de Seguridad Apple durante estas dos semanas, pero a continuación os dejamos la selección de artículos de otros blogs que no puedes dejar de leerte para estar informado de lo principal que ha sucedido en este periodo.
- Robar fotos de iCloud a un usuario de iPhone: Demostración de cómo un ataque dirigido de Phishing puede permitir robar una cuenta de Apple iCloud y cómo se puede descargar el backup de la nube con herramientas. El vídeo de la demostración que se hizo en la tele lo tienes aquí.
