Un error en HTTPS puede afectar a 25.000 aplicaciones de iOS con datos sensibles sobre SSL

Al menos 25.000 aplicaciones disponibles en iOS App Store de Apple, contiene una vulnerabilidad crítica que podría paralizar completamente HTTPS y robar o modificar los datos sensibles.

Como fue el caso de un reciente diferentes vulnerabilidades HTTPS que afectaron 1.500 aplicaciones iOS, el error reside en AFNetworking, una biblioteca de código abierto que permite a los desarrolladores para incluir capacidades de red en sus aplicaciones iOS y OS X. Cualquier aplicación que usando una versión de AFNetworking antes de larecién estrenada 2.5.3 podría tener sus datos expuestas a los hackers y podría ser más fácil de controlar y cambiar, incluso cuando está protegido por el Protocolo de Capa de sockets seguros (SSL), como para las transacciones monetarias. 

Secure Socket Layer (SSL)
La vulnerabilidad podría ser explotada mediante el uso de cualquier certificado SSL válido para cualquier nombre de dominio, siempre y cuando la credencial digital ha sido emitido por una autoridad de certificación de confianza del navegador.

El resultado es que un atacante con cualquier certificado válido puede interceptar o modificar una sesión SSL iniciada por una aplicación con esta imperfecta biblioteca. 
El defecto es que el nombre de dominio no se verifica en el CERT, incluso si el certificado se comprueba para estar seguro de que Fue publicado válidamente. Por ejemplo, yo puedo pretender ser «microsoft.com» sólo mediante la presentación de un certificado válido.

Se estima que el número de aplicaciones de iOS potencialmente afectados varía de 25.000 a un máximo de 50.000. 
SourceDNA proporcionó una herramienta de búsqueda libre que los usuarios finales y desarrolladores pueden consultar para ver si sus aplicaciones son vulnerables. 
Para que sea más difícil para los atacantes para explotar la vulnerabilidad, SourceDNA no proporciona una lista completa de las aplicaciones vulnerables.

Una revisión rápida reveló que varias aplicaciones bacnhe como Bank of America, Wells Fargo y JPMorgan Chase probablemente se vieron afectados, aunque algunos de estos informes podrían ser falsos positivos. 
Es posible que algunas aplicaciones marcadas SourceDNA utilizan códigos o medidas de encargo secundaria, tales como certificados de colocación de clavos que previenen ataques.

Usuarios de IOS deben comprobar inmediatamente el estado de cualquier aplicación que utilizan, sobre todo si las aplicaciones transmiten números de cuentas bancarias u otra información personal sensible. 
Se puede requerir los desarrolladores de aplicaciones vulnerables a lanzar una actualización que incluye una AFNetworking corrección, para que los usuarios debe estar preparado para evitar versiones vulnerables. 
El error AFNetworking sólo afecta a las aplicaciones que utilizan la biblioteca de código.  El dispositivo en sí y otras aplicaciones, incluyendo el navegador, no se ven afectados por la falla, aunque uno o más aplicaciones en el dispositivo Son vulnerables.

Scroll al inicio