La aplicación de iOS de Tumblr transmitía datos en texto plano

Escrito por Rubén Velasco
Seguridad
0

Los desarrolladores de Tumblr se han visto obligados a lanzar una actualización inmediata de su cliente para iOS al darse cuenta de un error de programación.

Este error detectado permitia que los datos de acceso de sus usuario en texto plano a través de la red, poniendo en peligro la seguridad de las cuentas de usuario.

El descubrimiento del fallo de seguridad fue descubierto por un lector de The Register al analizar varias aplicaciones de iOS para comprobar su seguridad como parte de su trabajo.

Cuando analizó el tráfico generado por la aplicación se dio cuenta de que los credenciales viajan sin ningún tipo de cifrado por lo que cualquiera podría interceptar el tráfico de forma fácil y rápida.

tumblr_plain_text_password

La actualización, catalogada como “muy importante”, fue lanzada a lo largo de la noche de manera oculta y corregía el grave error de transmitir los datos de inicio de sesión (usuario y contraseña) de la plataforma en modo de texto plano, por lo que los usuarios que se hayan conectado a la plataforma a través de redes no seguras han podido poner en peligro sus datos de acceso.

Según los informes recogidos por The Register, el fallo se debe a un error de programación a la hora de conectar el cliente con el servidor SSL, lo que generaba el envío de los credenciales en modo de texto plano, sin ningún tipo de cifrado, con los riesgos que ello supone.

Desde Tumblr recomiendan a todos los usuarios que hayan utilizado la versión buggeada del cliente cambiar lo más pronto posible la contraseña de sus cuentas para evitar accesos no autorizados a la plataforma. Desde RedesZone os recomendamos también cambiar las contraseñas de los servicios en los que utilizarais los mismos datos de acceso que en Tumblr.

Por parte de la compañía, la aplicación ya ha sido actualizada y se recomienda actualizar los dispositivos a la versión más nueva lo antes posible desde la App Store de iOS.

¿Eres usuario de Tumblr en iOS? ¿Has actualizado ya el cliente?