¡Bienvenido a la edición de febrero del Resumen de seguridad de SSL.com!
Febrero puede ser nuestro mes más corto, pero no lo sabría si mira todas las noticias emergentes sobre seguridad digital. Los hemos reunido en un lugar conveniente para leer, así que diviértase poniéndose al día con los últimos 28 días más o menos.
Apple ocultará las solicitudes de navegación segura de Google
El último sistema operativo móvil de Apple, iOS 14.5, viene con una nueva función de navegador que alerta a los usuarios sobre sitios web peligrosos y evita la entrega de direcciones IP a Google. La función Safari se denomina "Advertencia de sitio web fraudulento" y, aunque utiliza la navegación segura de Google para identificar sitios web dañinos, Apple redirigirá las solicitudes de navegación segura de Google a través de un servidor proxy para evitar la filtración de direcciones IP a Google. Como Ravie Lakshmanan informes para Las noticias de Hacker, Apple también tomará otras precauciones de privacidad, ya que se inclinan por aumentar la privacidad de sus usuarios de otras maneras:
El nuevo cambio en iOS y iPadOS es parte de una serie de medidas orientadas a la privacidad que Apple ha estado implementando últimamente, incluida la obligación de los desarrolladores de aplicaciones para que divulguen sus prácticas de recopilación de datos en los listados de la App Store utilizando "etiquetas de información nutricional de privacidad".
Además, iOS 14.5 también requerirá que las aplicaciones soliciten permiso a los usuarios antes de rastrearlos en otras aplicaciones y sitios web utilizando el identificador de publicidad del dispositivo como parte de un nuevo marco denominado Transparencia de seguimiento de aplicaciones.
El nuevo iOS 14.5 se encuentra actualmente en versión beta, y se espera que se lance esta primavera.
Malware misterioso con propósito desconocido encontrado en 30,000 Mac
Como algo sacado de una película de espías moderna, los investigadores de seguridad de Red Canary han encontrado una nueva pieza de malware conocida como "Silver Sparrow". Aunque se ha encontrado en casi 30,000 Mac, nadie sabe realmente lo que hace, aparte de comprobar los pedidos. Como Ars Technica Dan Goodin informa:
Una vez por hora, las Mac infectadas comprueban un servidor de control para ver si hay nuevos comandos que el malware debería ejecutar o binarios que ejecutar. Hasta ahora, sin embargo, los investigadores aún no han observado la entrega de ninguna carga útil en ninguna de las 30,000 máquinas infectadas, por lo que se desconoce el objetivo final del malware. La falta de una carga útil final sugiere que el malware puede entrar en acción una vez que se cumpla una condición desconocida.
También es curioso que el malware viene con un mecanismo para eliminarse por completo, una capacidad que normalmente se reserva para operaciones de alto sigilo. Sin embargo, hasta ahora no hay indicios de que se haya utilizado la función de autodestrucción, lo que plantea la cuestión de por qué existe el mecanismo.
Aparte de la intriga obvia, Silver Sparrow también es digno de mención porque es solo el segundo malware que se ejecuta de forma nativa en el nuevo chip M1 de Apple. Y, aunque ningún investigador lo ha visto todavía en acción, Red Canary ha identificado como "una amenaza razonablemente grave, en una posición única para ofrecer una carga útil potencialmente impactante en cualquier momento".
Mozilla y Apple desaprueban las funciones avanzadas de hardware en Chrome 89
La versión beta de Chrome 89 de Google incluye algunas API de interacción de hardware nuevas que no entusiasman a Mozilla y Apple. Las API permiten a los desarrolladores comunicarse con gamepads y teclados utilizando lógica específica del dispositivo, permiten que las aplicaciones web lean y escriban etiquetas, y un APO WebSerial permite la comunicación directa entre aplicaciones web y dispositivos con puertos serie. Como Tim Anderson en El registro informes, Mozilla y Apple ven esto como peligroso:
La posición de estándares actual de Mozilla ... ha dicho que “debido a que muchos dispositivos USB no están diseñados para manejar interacciones potencialmente maliciosas a través de los protocolos USB y debido a que esos dispositivos pueden tener efectos significativos en la computadora a la que están conectados, creemos que los riesgos de seguridad de exponer Los dispositivos USB en la Web son demasiado amplios para correr el riesgo de exponer a los usuarios a ellos o para explicar adecuadamente a los usuarios finales para obtener un consentimiento informado significativo ".
Además, debido a que Google, Mozilla y Apple no están alineados con la seguridad de estas API, si solo una de ellas (Google) las implementa, podría hacer que navegadores como Firefox y Safari parezcan dañados porque esos navegadores no lo hicieron.
Investigador expone una "confusión de dependencia" generalizada
Los ataques a la cadena de suministro han aparecido mucho en las noticias recientemente. (Puede recordar esto de nuestra cobertura anterior de cosas como Vientos solares y Malwarebytes.) Este mes, el investigador Alex Birsan nos mostró una nueva y aterradora versión del ataque contra desarrolladores que mezclan dependencias públicas y privadas cuando usan administradores de paquetes como NPM o RubyGems. Birsan detalla la vulnerabilidad en Medium. Es un poco complicado, por supuesto, pero esencialmente descubrió que los atacantes buscan nombres de paquetes internos que las empresas exponen accidentalmente a través de cosas como github o javascript. Luego, el atacante crea lo que parece ser un número de versión más alto de ese paquete en un repositorio público y luego espera a ver si su objetivo lo descarga y lo usa.
En su artículo, Birsan dijo que han detectado esta vulnerabilidad, a la que denomina “confusión de dependencia” en más de 35 organizaciones. Recomendamos leer su pieza mediana si está interesado en los comandos y herramientas específicos que pueden hacerlo vulnerable a este tipo de ataque, y cómo mitigar el riesgo de confusión de dependencia.