He aquí por qué sus dispositivos Apple están a punto de volverse mucho más seguros

Si bien los dispositivos Apple son famosos por sus funciones de seguridad y privacidad, no son invulnerables a la piratería u otros ataques. Afortunadamente, los dispositivos de Apple están a punto de volverse mucho más seguros en el futuro.

Relacionado:

• Mejoras de privacidad y seguridad de iOS 13 anunciadas en WWDC
• Aquí están las nuevas funciones de seguridad y privacidad que llegarán a macOS Mojave e iOS 12
• Consejos para la seguridad de Mac y para evitar virus

Eso se debe a los recientes cambios en las políticas de Apple anunciados en las conferencias de seguridad de Black Hat en Las Vegas este mes. Además de eso, también se revelaron algunas hazañas notables en Black Hat y Def Con 2019.

Esto es lo que debe saber sobre las últimas noticias de seguridad de Apple.

Cambios en la política de seguridad de Apple

Ivan Krstić, jefe de ingeniería de seguridad de Apple, hizo un par de anuncios importantes en la conferencia Black Hat de este año.

Si bien los anuncios estaban dirigidos a hackers éticos e investigadores de seguridad, representan cambios importantes en las políticas de seguridad de Apple. Estos muy bien pueden resultar en dispositivos mucho más seguros en el futuro.

Programa de recompensas por errores

La mayor noticia relacionada con Apple de la conferencia de seguridad de Black Hat en agosto fue una expansión significativa del programa de recompensas por errores de Apple.

Básicamente, un programa de recompensas por errores es una forma en que los piratas informáticos éticos y los investigadores de seguridad pueden ayudar a fortalecer las plataformas existentes. Una vez que encuentran un error o una vulnerabilidad con iOS, por ejemplo, informan ese defecto a Apple y se les paga por ello.

En cuanto a los cambios, Apple está expandiendo el programa de recompensas por errores a los dispositivos macOS en el futuro. También está aumentando el tamaño máximo de una recompensa de $ 200,000 por exploit a $ 1 millón por exploit. Eso es, por supuesto, dependiendo de qué tan grave sea.

Apple introdujo por primera vez un programa de recompensas por errores de iOS en 2016. Pero hasta este mes de agosto, no existía un programa de este tipo para macOS (que es, inherentemente, más vulnerable a los ataques que el sistema operativo móvil de Apple).

Eso causó problemas cuando un pirata informático alemán inicialmente se negó a informar los detalles de una falla específica a Apple. El pirata informático citó la falta de pago como la razón, aunque finalmente le dio a Apple los detalles.

IPhones con jailbreak

Apple también proporcionará iPhones especializados a piratas informáticos e investigadores de seguridad examinados para que puedan intentar romper iOS.

Los iPhones se describen como dispositivos “dev” con jailbreak que carecen de muchas de las medidas de seguridad integradas en la versión para consumidores de iOS.

Estos especializados deberían permitir a los probadores de penetración mucho más acceso a los sistemas de software subyacentes. De esa manera, pueden encontrar vulnerabilidades en el software mucho más fácilmente.

Los iPhones se proporcionarán como parte del Programa de dispositivos de investigación de seguridad iOS de Apple, que planea lanzar el próximo año.

Vale la pena señalar que existe un mercado negro para los iPhones "dev" antes mencionados.

Según un informe de Motherboard de principios de este año, estos iPhones en versión preliminar a veces se sacan de contrabando de la línea de producción de Apple. A partir de ahí, a menudo alcanzan un alto precio antes de que finalmente lleguen a los ladrones, piratas informáticos e investigadores de seguridad.

Vulnerabilidades notables

Si bien la política de seguridad cambia y los iPhones de piratas informáticos son la noticia más importante de Black Hat y Def Con, Los investigadores de seguridad y los piratas informáticos de sombrero blanco también revelaron una serie de notables vulnerabilidades.

Es importante tenerlos en cuenta si usa un dispositivo Apple y desea mantener la privacidad y seguridad de sus datos.

Omisión de Face ID

Apple dice que Face ID es significativamente más seguro que Touch ID. Y en la práctica, es mucho más difícil de evitar. Pero eso no significa que los exploits no existan.

Los investigadores de Tencent descubrieron que podían engañar al sistema de detección de "vivacidad" de Face ID. Esencialmente, es una medida destinada a distinguir características reales o falsas en seres humanos, y evita que las personas desbloqueen su dispositivo con la cara cuando duerme.

Los investigadores desarrollaron un método patentado que puede engañar al sistema simplemente usando lentes y cinta adhesiva. Esencialmente, estas gafas "falsas" pueden emular la mirada de un ojo en el rostro de una persona inconsciente.

Sin embargo, el exploit solo funciona en personas inconscientes. Pero es preocupante. Los investigadores pudieron poner los anteojos falsos en una persona dormida.

Desde allí, podrían desbloquear el dispositivo de la persona y enviarse dinero a sí mismos a través de una plataforma de pago móvil.

Aplicación de contactos

El sistema operativo iOS de Apple, como plataforma de jardín amurallado, es bastante resistente a los ataques. En parte, eso se debe a que no existe una manera fácil de ejecutar aplicaciones sin firmar en la plataforma.

Pero los investigadores de seguridad de Check Point en Def Con 2019 encontraron una manera de aprovechar un error en la aplicación Contactos que podría permitir a los piratas informáticos ejecutar código sin firmar en su iPhone.

La vulnerabilidad es en realidad un error en el formato de la base de datos SQLite, que utiliza la aplicación Contactos. (La mayoría de las plataformas, desde iOS y macOS hasta Windows 10 y Google Chrome, en realidad usan el formato).

Los investigadores descubrieron que podían ejecutar código malicioso en un iPhone afectado, incluido un script que robaba las contraseñas de un usuario. También pudieron ganar persistencia, lo que significa que podían continuar ejecutando código después de un reinicio.

Afortunadamente, la vulnerabilidad se basa en instalar una base de datos maliciosa en un dispositivo desbloqueado. Por lo tanto, siempre que no permita que un pirata informático tenga acceso físico a su iPhone desbloqueado, debería estar bien.

Cables maliciosos

Se recomienda desde hace mucho tiempo que no conecte unidades USB al azar en su computadora. Gracias a un desarrollo reciente, probablemente tampoco deberías enchufar cables Lightning al azar en tu computadora.

Eso se debe al cable O.MG, una herramienta de piratería especializada desarrollada por el investigador de seguridad MG y que se mostró en Def Con este año.

El cable O.MG se ve y funciona exactamente como un cable Lightning típico de Apple. Puede cargar su iPhone y puede conectar su dispositivo a su Mac o PC.

Pero dentro de la carcasa del cable hay en realidad un implante patentado que podría permitir que un atacante acceda de forma remota a su computadora. Cuando está conectado, un pirata informático podría abrir la Terminal y ejecutar comandos maliciosos, entre otras tareas.

Afortunadamente, los cables actualmente solo están hechos a mano y cuestan $ 200 cada uno. Eso debería reducir el riesgo. Pero en el futuro, probablemente querrás evitar enchufar cables Lightning al azar en tu Mac.