-
▼
2025
(Total:
470
)
-
▼
marzo
(Total:
157
)
-
Telegram supera los mil millones de usuarios
-
Cómo un exploit de la NSA se convirtió en el orige...
-
¿Qué es JPEG XL?
-
¿Qué son los shaders y por qué debes esperar antes...
-
Neurodatos: qué son y por qué son el futuro
-
¿Qué es un ASIC?
-
Calibre 8.1 mejora su compatibilidad con macOS e i...
-
Alcasec vendió datos sensibles de 130.000 policías...
-
Hackean un proveedor de SMS y lo utilizan para rob...
-
Filtración masiva de 6 millones registros de Oracl...
-
Vulnerabilidades críticas en Veeam Backup e IBM AIX
-
IngressNightmare: vulnerabilidades críticas del co...
-
El 87% de lo usuarios hace copias de seguridad, pe...
-
Vulnerabilidad crítica en Next.js
-
Hacker antigobierno hackea casi una decena de siti...
-
Google confirma que el desarrollo de Android pasar...
-
Ubuntu 25.04 beta ya disponible, con GNOME 48 y Li...
-
Anthropic asegura haber descubierto cómo ‘piensan’...
-
ChatGPT, Gemini y Claude no pueden con un test que...
-
Amazon presenta ‘Intereses’ una IA que caza oferta...
-
Microsoft rediseña el inicio de sesión para que te...
-
¿Qué significa «in the coming days»? la tendencia ...
-
Por culpa de Trump, empresas y gobiernos europeos ...
-
Signal es seguro… hasta que invitas a un periodist...
-
ChatGPT puede crear imágenes realistas gracias al ...
-
Evolución del menú de inicio de Windows en casi 3...
-
Gemini 2.5 Pro es el “modelo de IA más inteligente...
-
DeepSeek presenta un nuevo modelo de IA optimizado...
-
Samsung y Google tienen casi listas sus gafas con ...
-
⚡️ NVMe sobre TCP/IP
-
🇰🇵 Corea del Norte se prepara para la ciberguerr...
-
🇨🇳 Los creadores de Deepseek tienen prohibido ir...
-
Microsoft usará agentes autónomos de IA para comba...
-
EU OS: La nueva alternativa Linux comunitaria para...
-
China presenta un arma capaz de cortar cualquier c...
-
Historia de Apple
-
Microsoft le dice a los usuarios de Windows 10 que...
-
ReactOS el «Windows de código abierto», se actualiza
-
Denuncia a OpenAI después de que ChatGPT le acusar...
-
💾 Seagate presenta un disco duro mecánico con int...
-
🤖 Claude ya permite buscar en internet para obten...
-
Meta AI llega finalmente a Europa, integrando su c...
-
Francia rechaza la creación de puertas traseras en...
-
🤖Cómo saber si una imagen o vídeo ha sido generad...
-
OpenAI presenta dos nuevos modelos de audio para C...
-
El cofundador de Instagram revela a lo que se dedi...
-
Vigilancia masiva con sistemas de posicionamiento ...
-
Las 20 mejores herramientas de Kali Linux para 2025
-
Cómo instalar Stable Diffusion (para generar imáge...
-
La primera versión de Kali Linux de 2025
-
Marruecos: más de 31,000 tarjetas bancarias divulg...
-
Modo Dios en Android Auto
-
Google anuncia el Pixel 9a, con funciones de IA, e...
-
Europa fuerza a Apple a abrir su ecosistema y acus...
-
La App Contraseñas de Apple fue durante tres meses...
-
Adiós, Photoshop: Gemini ahora te permite editar i...
-
Microsoft alerta de un troyano que desde Chrome ro...
-
Llevan meses explotando una vulnerabilidad de Chat...
-
Teclado que no utiliza letras, sino palabras compl...
-
La GPU se une a los discos duros basados en PCIe: ...
-
Un ciberataque compromete 330 GB de datos confiden...
-
NVIDIA presenta los modelos de razonamiento de IA ...
-
La mítica marca Española de calzado J´Hayber vícti...
-
La RAE confirma haber sufrido un ataque de ransomware
-
NVIDIA BlackWell RTX PRO 6000 con 96 GB de VRAM y ...
-
China construye una base submarina a 2 km de profu...
-
Los creadores de Stable Diffusion presentan una IA...
-
Utilizan una vulnerabilidad crítica en dispositivo...
-
Vulnerabilidad de suplantación en el Explorador de...
-
NVIDIA Isaac GR00T N1, la primera IA de código abi...
-
Campaña de Phishing: "Alerta de seguridad" FALSA e...
-
🔈Amazon Echo: o cedes tus datos y privacidad a la...
-
Descifrador del ransomware Akira mediante GPU
-
Google compra Wiz por 32.000 millones de dólares, ...
-
Una nueva técnica envía sonido a una persona espec...
-
GIMP 3: ya puedes descargar la nueva versión del e...
-
“Hackearon mi teléfono y mi cuenta de correo elect...
-
Generar imágenes mediante IA con Stable Diffusion
-
Steve Wozniak alerta del uso de la IA como «herram...
-
La IA de código abierto iguala a los mejores LLM p...
-
Grupo Lazarus de Corea del Norte hizo el mayor rob...
-
El FBI y CISA alertan ante el aumento de los ataqu...
-
Android 16 incluirá Battery Health
-
SteamOS para PC, la alternativa a Windows
-
Venden acceso total a red de gasolineras de México...
-
Ransomware Akira cifró los datos desde una cámara ...
-
ASUS anuncia monitores con purificador de aire inc...
-
Facebook, Instagram y Threads empiezan a probar la...
-
Texas Instruments crea el microcontrolador más peq...
-
Algunas impresoras están imprimiendo texto aleator...
-
Deep Research, la herramienta de Gemini que convie...
-
La nueva versión de Visual Studio Code te permite ...
-
Las descargas de LibreOffice se disparan con el re...
-
China anuncia una nueva tecnología que permite ver...
-
Google anuncia Gemma 3: su nueva IA ligera para di...
-
Gemini puede usar tu historial de Google para dart...
-
MySQL Replication (Master-Slave)
-
Advierten sobre Grandoreiro, troyano brasileño que...
-
Retan a ChatGPT y DeepSeek a jugar al ajedrez y lo...
-
Una actualización de HP deja inservibles a sus imp...
-
-
▼
marzo
(Total:
157
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Entradas populares
-
El joven facilitó datos de 22 guardias civiles a la banda, que realizó seguimientos, colocó balizas y tendió trampas a los agentes que les i... -
China afirma haber desarrollado un satélite con una tecnología sin precedentes que le permite captar detalles faciales humanos con una res... -
La Comisaría General de Información sostiene en el juzgado 50 de Madrid, que investiga los hechos, que el robo habría sido efectuado por A...
La App Contraseñas de Apple fue durante tres meses vulnerable a los ataques, se ha parcheado en silencio
Esta semana se ha descubierto que la aplicación de Contraseñas de Apple presentaba una seria vulnerabilidad desde el lanzamiento del sistema operativo iOS 18. Lo más llamativo de todo, es que los investigadores de seguridad de Mysk reportaron este problema. Problema que no fue parcheado hasta 3 meses después con el lanzamiento de la actualización iOS 18.2.
ara que tengas un contexto de la importancia, la app Contraseñas permite crear contraseñas aleatorias de gran seguridad. Además de gestionar estas contraseñas en tus dispositivos Apple. Básicamente, una vulnerabilidad dejaría al descubierto las contraseñas utilizadas en todas las aplicaciones o páginas web que estén almacenadas en esta aplicación. Lo que implica un serio riesgo a la privacidad del usuario. Ya que también se podría acceder a la contraseña de iCloud con toda la información privada del usuario almacenada en la nube.
La vulnerabilidad de la App Contraseñas de Apple es de novatos: no utilizaban el protocolo HTTPS
Básicamente, el protocolo HTTP no cifra los datos que se transmiten. En este caso, toda la información entre la app Contraseñas de Apple y el servidor. Esto permite que un atacante malintencionado pueda interceptar una solicitud HTTP y redirigir al usuario a un sitio web de phishing. Haciéndose así pasar por la página legítima de restablecimiento de contraseña.
HTTPS ya emplea un cifrado TLS/SSL para proteger la información transmitida entre el dispositivo y el servidor. Evitando así que terceros puedan espiar o manipular el tráfico, poniendo en peligro al usuario. Si la app Contraseñas hubiera usado el protocolo HTTPS desde el principio, incluso si un atacante intentara interceptar el tráfico, no podría modificarlo ni redirigirlo sin que el usuario notara una alerta de seguridad en la conexión.
Tras el contexto, la aplicación Contraseñas anterior a Apple iOS 18.2 realizaba una solicitud a través de HTTP, pero esta se redirigía a la versión segura HTTPS. En circunstancias normales, esto no supondría ningún problema, ya que los cambios de contraseña se realizan en una página cifrada, lo que garantiza que las credenciales no se envíen en texto plano. Ahora bien, el problema es cuando esto se realizaba en una red donde también estuviera conectado el usuario. Y sí, eso implica cualquier Wi-Fi pública. Por lo que si el afectado y el atacante coincidía en una red Wi-Fi de un aeropuerto, hotel o cafetería, el atacante podía interceptar la solicitud HTTP inicial antes de que se redirija a la versión HTTPS. Pudiendo llevar al usuario a una web falsa para obtener los datos de inicio de sesión de un usuario.
Apple tardó 3 meses en parchear este fallo de la aplicación
Los investigadores de seguridad descubrieron esta vulnerabilidad tras observar que el Informe de Privacidad de la App de su iPhone, la app Contraseñas había contactado con nada menos que 130 sitios web diferentes mediante tráfico HTTP inseguro. Tras indagar, descubriendo que la app no solo obtenía los logotipos e iconos de las cuentas mediante HTTP, sino que también abría páginas de restablecimiento de contraseña de forma predeterminada utilizando el protocolo sin cifrar.
"Esto dejaba al usuario vulnerable: un atacante con acceso privilegiado a la red podría interceptar la solicitud HTTP y redirigirlo a un sitio web de phishing", declaró Mysk a 9to5Mac.
"Nos sorprendió que Apple no impusiera HTTPS por defecto para una aplicación tan sensible. Además, Apple debería ofrecer a los usuarios preocupados por la seguridad la opción de desactivar por completo la descarga de iconos. No me siento cómodo con mi gestor de contraseñas enviando constantemente pings a cada sitio web para el que mantengo una contraseña, a pesar de que las llamadas que envía Contraseñas no contienen ningún ID".
Si bien esta vulnerabilidad la conocemos ahora, se indica que fue parcheado en diciembre del año pasado, pero no fue hasta ayer que Apple revelaba esta aplicación. Ahora, Contraseñas utiliza HTTPS por defecto para todas las conexiones. Pero claro, requiere que los usuarios con dispositivos móviles utilicen la versión de iOS 18.2 hacia delante. Por lo que esta vulnerabilidad estuvo presente 3 meses. Que fue el tiempo desde que se lanzó iOS 18 hasta que llegara iOS 18.2.
Fuentes:
https://elchapuzasinformatico.com/2025/03/app-contrasenas-de-apple-vulnerable-a-los-ataques/
Entradas relacionadas:
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.