1500 aplicaciones de iOS vulnerables a ataques MITM

Escrito por Rubén Velasco

Los ataques MITM (man in the middle) se basan principalmente en un pirata informático que se conecta en un punto intermedio de la conexión entre el cliente y el servidor redirigiendo todo el tráfico hacia él, donde lo analiza, monitoriza y reenvía al servidor en texto plano o con un certificado falso sin que quede rastro del mismo. Estos ataques son invisibles para los usuarios y pueden permitir el robo de contraseñas, datos bancarios y otros datos privados sin que el usuario tenga la menor constancia de ello.

En los últimos meses se han detectado fallos en el protocolo HTTPS que permiten a piratas informáticos monitorizar el tráfico aunque este viaje de forma cifrada por la red. Tanto las conexiones de escritorio como las que se realizan desde dispositivos móviles (smartphones, tablets, etc) son vulnerables si no se utilizan las versiones actualizadas de los protocolos.

SourceDNA ha detectado un fallo de certificado dentro de la librería de código abierto AFNetworking, utilizada por muchos desarrolladores de aplicaciones móviles para iOS para implementar la conexión a Internet en sus aplicaciones. Generalmente, cuando se detecta un certificado falso o modificado la conexión HTTPS debe cerrarse para evitar posibles robos de datos, sin embargo, esta librería confía automáticamente en estos certificados y por lo tanto las conexiones de los usuarios pueden quedar expuestas.

Aunque el fallo de seguridad ha sido solucionado en la versión 2.5.2 de la librería, todas las aplicaciones que incluyan cualquier versión anterior de esta están expuestas a este fallo y están comprometiendo las conexiones, teóricamente seguras, de sus usuarios.

SourceDNA, empresa de seguridad que detectó y reportó el fallo, ha analizado cerca de un millón y medio de aplicaciones de iOS disponibles desde la App Store y ha detectado que más de 1500 utilizan versiones antiguas de la librería AFNetworking, utilizando así versiones inseguras del protocolo HTTPS y exponiendo las conexiones y los datos de los usuarios que se conectan a la red a través de iOS a ataques MITM.

ipad_air_ios

Ciertas aplicaciones de iOS con considerable prestigio como Citrix OpenVoice Audio o la aplicación móvil de Alibaba son vulnerables ya que aún no han sido actualizadas. Las aplicaciones móviles de Microsoft, por ejemplo, estaban expuestas también aunque la compañía las actualizó tan pronto como fueron notificadas antes de hacer públicos los detalles.

¿Crees que Apple ha perdido la prestigiosa seguridad que caracterizaba a sus productos?

Fuente: We Live Security

Continúa leyendo

Últimos análisis

Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9