Las aplicaciones para dispositivos móviles siguen dando mucho de qué hablar en lo referido a temas de seguridad. Muchas de ellas no son seguras y exponen los datos de los usuarios sin que estos sean conscientes de estas deficiencias. En esta ocasión es la aplicación Instapaper la que no valida de forma correcta el certificado de seguridad utilizado.
Este se utiliza para que la información enviada entre los dos extremos viaje de forma segura y evitar que ciberdelincuentes puedan interceptar la información. Con un número de instalaciones superior a 400.000, la aplicación que permite almacenar artículos de sitios web para leerlos con posterioridad trabaja para solucionar este problema.
Tanto desde el lado del servidor como en el de los clientes, podemos encontrar el módulo SSLSocketFactory que comprueba si el certificado utilizado es legítimo. Sin embargo, la aplicación cliente posee un problema, ignorando la comprobación de la legitimidad del servidor.
Esto podría permitir que los ciberdelincuentes realizasen un ataque MitM y utilizar otro servidor que no fuese el legítimo, realizando de forma satisfactoria el negociado con la aplicación de los terminales de los usuarios.
Instapaper publicó una versión que aún era vulnerable
La existencia de este fallo permite que el usuario inicie sesión y pueda realizarse el envío a un servidor falso que no pertenece a la aplicación. Esto quiere decir que las credenciales de los usuarios habrían caído en manos de los ciberdelincuentes.
Inmediatamente desde Bitdefender comunicaron el problema a los responsables, centrándose en buscar una solución que por el momento no ha llegado. Desde Instapaper publicaron hace unos días una actualización que a priori resolvía el problema, sin embargo, se ha demostrado que el problema aún persiste.
Por el momento la versión más reciente es la 4.2 y en los próximos días se publicará otra que presumiblemente sí resolverá este problema.
Os recomendamos visitar el tutorial cómo solucionar el error cuando el Wi-Fi no tiene una configuración IP válida.