domingo, junio 19, 2011

Apple jodida por la Viagra por enésima vez en la web de itunes.apple.com

La web de Apple no es que sea un dechado de preocupación por la seguridad. Al igual que las grandes compañías, con una presencia descomunal en Internet, el número de sistios y páginas web expuestas es ingente y, hasta cierto punto, es hasta normal que se les escape alguna cosa, pero lo de Apple con la web de iTunes no tiene nombre.

Ya en Agosto del año pasado la cazaron en una campaña de búsqueda de SQL Injection automático, inyectando scripts que distribuían malware.


Figura 1: En Agosto de 2010 itunes.apple.com servía scripts rusos

Volvió a ser pillada en la campaña Lizamoon, que se hizo para distribuir un Rogue AV entre los visitantes.


Figura 2: En Marzo de 2011 itunes.apple.com servía rogue AVs

En estas dos ocasiones anteriores, esto significaba que bastaba con que un usuario navegase por la web de itunes.apple.com para que desde este sitio se le intentara infectar.

Pasado ya casi un año, era de esperar que ya hubieran sido capaces de dar con el "cómo se la metieron", pero parece que siguen estando en sus trece, y pasan de arreglar nada, así que, a día de hoy, la web de itunes.apple.com está jodida por las farmaceúticas, y basta con hacer la prueba de ver si estás jodido por la viagra en Apple para obtener más de 1.500 páginas web vulneradas.


Figura 3: La extraña relación de Apple y la Viagra

Lo gracioso es que el lugar de la inyección no es visible a primera vista, ya que está en la descripción de los podcasts, pero basta con hacer clic en la i de información para ver todo el mensaje.


Figura 4: Los mensajes de las farmaceúticas en los podcasts

Y digo yo, viendo todo lo que le está cayendo en Internet a todas las grandes, ¿no debería hacer de una vez los deberes en seguridad en este sitio?

Saludos Malignos!

9 comentarios:

  1. Bueno, ya conoces sus lemas:
    "Mac OS X no se contagia de los virus de los PC" y "con Mac OS X usar internet es seguro"

    Así que si es seguro, ¿para qué se van a preocupar por la seguridad =)=)?

    ResponderEliminar
  2. jajajaja pobre Apple en fin nada es 100% seguro siempre hay algun fallo, pero la que mas me ha sorprendido a mi el la empresa TESA que se supone que tiene que ser segura por que de ella depende la seguridad de mi casa y tambien vende viagra hay madre mia el mundo esta falto de viagra jajajajaja.

    Saludos, muy buenas la conferencia Chema siempre con mucho humor jajajaja

    ResponderEliminar
  3. Espero que te paguen bien M$ por estar todo el día trolleando la competencia }:)

    ResponderEliminar
  4. chemita, a ver cuando hay huevos de meterse con M$, ganarías algo de credibilidad, y hasta M$ lo haría.
    Me recuerdas a Mou antes muerto que autocrítica y humildad

    ResponderEliminar
  5. Imagino que mañana toca explcar lo seguro qu es un S.O. que permite 1.800.000 infecciones de la manera más inocente, no?
    http://blogs.technet.com/b/mmpc/archive/2011/06/14/autorun-abusing-malware-where-are-they-now.aspx

    ResponderEliminar
  6. lost-perdidos19/6/11 7:35 p. m.

    @Anónimo 2-3-4

    Seguro que le pagan más que a ti.

    ResponderEliminar
  7. Está bien recordar a todo el mundo que nada es seguro del todo, y menos si te aseguran que lo es. Por cierto, has puesto "sistios" en vez de sitios?

    ResponderEliminar
  8. Estamos acostumbrados a tratar el universo telemático con conceptos que desvirtúan aún más el componente virtual de la conexión global. En este caso el lenguaje no funciona bien. Proyectamos reflejos al mundo que denominamos internet desde posiciones físicas reales y estables, este doblepensar, la constante traducción de la vida real a códio binario, (una dualidad desgarrada),
    fabrica constantes distorsiones. Esta separación implica un salto cada vez mayor, una interrupción de ida y vuelta disruptora. Manejar lotes de información es extraordinariamente complejo. Este tráctatus softwarizado con proposiciones erróneas permite interjecciones de terceros, (intrusos), que introducen ingredientes extraños en las oraciones [código]*, como parafrases en redes semánticas.
    Atentamente. Post: Tóma estandarización y añade incertidumbre y la seguridad se permeabiliza para ser fertilizada.

    ResponderEliminar
  9. http://www.cultofmac.com/apple-vs-mac-dads-guess-who-wins-humor/101432

    ResponderEliminar