1 2 3 4 5 6

1.5 mil apps iOS permiten interceptar datos sensibles del usuario

Help Net Security 22-Abr-2015

Un error en una versión anterior de AFNetworking (una biblioteca de código abierto ampliamente utilizada que añade capacidades de red a iOS y a las aplicaciones de OS X) puede permitir a los atacantes interceptar y descifrar el tráfico HTTPS entre aplicaciones y servidores, revelando eficazmente toda la información confidencial transmitida, como contraseñas, información de cuentas bancarias y más.

En febrero se informó a los desarrolladores sobre este error, finalmente se emitió un arreglo el 26 de marzo para la liberación de la versión 2.5.2 de la biblioteca. La información acerca de cómo se produjo el problema se puede encontrar en el blog de los investigadores Simone Bovi y Mauro Gentile.

El tema cobró mayor presencia esta semana, después de que SourceDNA lanzara los resultados de su exploración de un millón de aplicaciones disponibles para descargar en la App Store de Apple (las apps que son gratuitas y las 5 mil más populares de paga): Mil 500 de ellas utilizan la versión vulnerable de la biblioteca. Entre estas apps se encuentran algunas muy difundidas, como la aplicación móvil de Alibaba.com y la aplicación Citrix OpenVoice Audio Conferencing. Éstas se han descargado e instalado por unos dos millones de ususarios, según lo ha informado Ars Technica.

Inicialmente, la lista de aplicaciones vulnerables era más larga, pero desde hace semanas, SourceDNA comenzó a advertir discretamente a los desarrolladores de aplicaciones sobre el problema, lo que dio lugar a que muchos de ellos actualizaran la biblioteca a la versión más reciente.

SourceDNA también ha lanzado una herramienta de búsqueda para desarrolladores y usuarios la cual permite ver qué aplicaciones están siendo vulneradas:

"A medida de que las aplicaciones sean corregidas y liberadas, los mantendremos informados de qué tan rápido se están abordando estos defectos. Hemos visto buena aceptación de la versión 2.5.2 en las últimas versiones de las aplicaciones vulnerables (felicitaciones a Yahoo por la actualización más rápida), pero algunas apps dentro de la App Store todavía están en la cola de revisión", señalaron.

Fuente: Help Net Security JH

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT