iPhone

He aquí por qué sus dispositivos Apple están a punto de ser mucho más seguros

Si bien los dispositivos Apple son famosos por sus características de seguridad y privacidad, no son invulnerables como piratería u otros ataques. Afortunadamente, los dispositivos Apple están a punto de ser mucho más seguros en el futuro.

Relacionado:

  • Mejoras de privacidad y seguridad de iOS 13 anunciadas en WWDC
  • Estas son las nuevas características de seguridad y privacidad que llegan a macOS Mojave y iOS 12
  • Consejos para la seguridad de Mac y evitar virus

Esto se debe a los recientes cambios en la política de Apple anunciados en las conferencias de seguridad de Black Hat en Las Vegas este mes. Además de eso, también hay algunas hazañas notables reveladas en Black Hat y Def Con 2019.

Esto es lo que debe saber sobre las recientes noticias de seguridad de Apple.

Cambios en la política de seguridad de Apple

Ivan Krstić, jefe de ingeniería de seguridad de Apple, hizo un par de anuncios importantes en la conferencia Black Hat de este año.

Si bien los anuncios estaban dirigidos a hackers éticos e investigadores de seguridad, representan cambios importantes en las políticas de seguridad de Apple. Es muy posible que estos resulten en dispositivos mucho más seguros en el futuro.

Programa Bug Bounty

He aquí por qué sus dispositivos Apple están a punto de ser mucho más seguros
Anuncio de Apple en Black Hat 2019. Imagen vía @mikebdotorg.

La mayor noticia relacionada con Apple de la conferencia de seguridad de Black Hat en agosto fue una expansión significativa del programa de recompensas de errores de Apple.

Esencialmente, un programa de recompensas de errores es una forma para que los piratas informáticos éticos y los investigadores de seguridad ayuden a fortalecer las plataformas existentes. Una vez que encuentran un error o vulnerabilidad con iOS, por ejemplo, informan de ese defecto a Apple, y se les paga por ello.

En cuanto a los cambios, Apple está ampliando el programa de recompensas de errores a dispositivos macOS en el futuro. También aumenta el tamaño máximo de una recompensa de $ 200,000 por exploit a $ 1 millón por exploit. Eso, por supuesto, depende de qué tan grave sea.

Apple introdujo por primera vez un programa de recompensas de errores de iOS en 2016. Pero hasta agosto de este año, no existía dicho programa para macOS (que es, por naturaleza, más vulnerable a los ataques que el sistema operativo móvil de Apple).

Eso causó problemas cuando un pirata informático alemán inicialmente se negó a informar los detalles de un defecto específico a Apple. El hacker citó la falta de pago como la razón, a pesar de que finalmente le dio los detalles a Apple.

IPhones precarcelados

He aquí por qué sus dispositivos Apple están a punto de ser mucho más seguros
Una diapositiva que describe el programa de investigación de seguridad de iPhone de Apple. Imagen vía @ 0x30n.

Apple también proporcionará iPhones especializados a hackers e investigadores de seguridad investigados para que puedan intentar romper iOS.

Los iPhones se describen como dispositivos «dev» pre-jailbreak que carecen de muchas de las medidas de seguridad integradas en la versión para consumidores de iOS.

Estos especialistas deberían permitir a los probadores de penetración mucho más acceso a los sistemas de software subyacentes. De esa manera, pueden encontrar vulnerabilidades en el software mucho más fácil.

Los iPhones se proporcionarán como parte del Programa de dispositivos de investigación de seguridad iOS de Apple, que planea lanzar el próximo año.

Vale la pena señalar que existe un mercado negro para los iPhones «dev» mencionados anteriormente.

Según un informe de Motherboard de principios de este año, estos iPhones prelanzados a veces se sacan de contrabando de la línea de producción de Apple. A partir de ahí, a menudo obtienen un alto precio antes de llegar a ladrones, piratas informáticos e investigadores de seguridad.

Vulnerabilidades notables

Si bien los cambios en la política de seguridad y los iPhones de piratas informáticos son las noticias más importantes de Black Hat y Def Con, los investigadores de seguridad y los piratas informáticos también revelaron una serie de vulnerabilidades notables relacionadas con Apple.

Es importante tener en cuenta si usa un dispositivo Apple y desea mantener la privacidad y seguridad de sus datos.

Face ID Bypass

He aquí por qué sus dispositivos Apple están a punto de ser mucho más seguros
Estas gafas especiales, desarrolladas por investigadores de Tencent, pueden evitar la identificación de la cara. Imagen vía Threatpost.

Apple dice que Face ID es significativamente más seguro que Touch ID. Y en la práctica, en realidad es mucho más difícil de evitar. Pero eso no significa que las hazañas no existan.

Los investigadores de Tencent descubrieron que podían engañar al sistema de detección de «vitalidad» de Face ID. Esencialmente, es una medida destinada a distinguir características reales o falsas en los seres humanos, y evita que las personas desbloqueen su dispositivo con la cara cuando duerme.

Los investigadores desarrollaron un método patentado que puede engañar al sistema simplemente usando gafas y cinta adhesiva. Esencialmente, estas gafas «falsas» pueden emular la mirada de un ojo en la cara de una persona inconsciente.

Sin embargo, el exploit solo funciona en personas inconscientes. Pero es preocupante. Los investigadores pudieron colocar los anteojos falsos en una persona dormida.

A partir de ahí, podrían desbloquear el dispositivo de la persona y enviarse dinero a sí mismos a través de una plataforma de pago móvil.

Aplicación de contactos

He aquí por qué sus dispositivos Apple están a punto de ser mucho más seguros
Un error en el formato de la base de datos SQLite podría hacer que la aplicación de Contactos iOS de Apple sea vulnerable a los ataques.

El sistema operativo iOS de Apple, como plataforma de jardín amurallado, es bastante resistente a los ataques. En parte, eso se debe a que no hay una manera fácil de ejecutar aplicaciones sin firmar en la plataforma.

Pero los investigadores de seguridad de Check Point en Def Con 2019 encontraron una manera de aprovechar un error en la aplicación Contactos que podría permitir a los piratas informáticos ejecutar código sin firmar en su iPhone.

La vulnerabilidad es en realidad un error en el formato de base de datos SQLite, que utiliza la aplicación Contactos. (La mayoría de las plataformas, desde iOS y macOS a Windows 10 y Google Chrome, en realidad usan el formato).

Los investigadores descubrieron que podían ejecutar código malicioso en un iPhone afectado, incluido un script que robaba las contraseñas de los usuarios. También pudieron obtener persistencia, lo que significa que podrían continuar ejecutando código después de un reinicio.

Afortunadamente, la vulnerabilidad se basa en instalar una base de datos maliciosa en un dispositivo desbloqueado. Entonces, siempre que no permita que un hacker tenga acceso físico a su iPhone desbloqueado, debería estar bien.

Cables maliciosos

He aquí por qué sus dispositivos Apple están a punto de ser mucho más seguros
Parece un cable Lightning, es en realidad una herramienta de prueba de penetración desarrollada por el investigador de seguridad MG. Imagen a través de O.MG.

Hace tiempo que se recomienda que no conecte unidades USB aleatorias a su computadora. Gracias a un desarrollo reciente, probablemente tampoco deberías enchufar cables Lightning al azar en tu computadora.

Eso se debe al cable O.MG, una herramienta de piratería especializada desarrollada por el investigador de seguridad MG y exhibida en Def Con este año.

El cable O.MG se ve y funciona exactamente como un cable típico de Apple Lightning. Puede cargar su iPhone y puede conectar su dispositivo a su Mac o PC.

Pero dentro de la carcasa del cable hay en realidad un implante patentado que podría permitir a un atacante el acceso remoto a su computadora. Cuando está enchufado, un hacker podría abrir la Terminal y ejecutar comandos maliciosos, entre otras tareas.

Afortunadamente, los cables actualmente solo están hechos a mano y cuestan $ 200 cada uno. Eso debería reducir el riesgo. Pero en el futuro, probablemente querrás evitar enchufar cables Lightning aleatorios en tu Mac.

Deja un comentario