Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Aplicaciones de iOS vulnerables en HTTPS
Los atacantes pueden espiar el tráfico cifrado de más de 25 mil aplicaciones de iOS debido a una vulnerabilidad en una popular biblioteca de red de código abierto.
La vulnerabilidad se debe a un error para validar los nombres de dominio de los certificados digitales en AFNetworking, una biblioteca utilizada por un gran número de desarrolladores de aplicaciones para iOS y Mac OS X, es utilizada para implementar comunicaciones a nivel de red, incluyendo las peticiones web que usan HTTPS (HTTP con cifrado SSL/TLS).
La falla permite a los atacantes interceptar el tráfico HTTPS entre una aplicación vulnerable y un servicio web para descifrarlo usando un certificado digital falso. Este tipo de ataques man-in-the-middle (MiTM) pueden ser lanzados a través de redes inalámbricas inseguras, en los routers comprometidos o mediante otros métodos.
De acuerdo con una empresa llamada SourceDNA, que rastrea el uso de componentes de terceros en las aplicaciones móviles, más de 25 mil aplicaciones de iOS son potencialmente vulnerables debido a que utilizan AFNetworking 2.5.2 o versiones anteriores.
La vulnerabilidad se corrigió en AFNetworking 2.5.3, lanzado el 20 de abril.
Las aplicaciones que tienen los certificados firmados por una autoridad certificadora no son vulnerables, pero este mecanismo sólo es utilizado por un pequeño número de desarrolladores, dijo SourceDNA el viernes en un blog.
Un aspecto interesante de esta falla es que se informó a los desarrolladores de AFNetworking el 27 de marzo, pero un día después otra falla diferente tambien permitió el HTTPS snooping en AFNetworking 2.5.2.
Esa vulnerabilidad sólo existía en AFNetworking 2.5.1, lanzada el 9 de febrero, y terminó afectando a más de mil entre 100 mil aplicaciones de iOS que utilizan AFNetworking. El nuevo fallo hace que las aplicaciones que utilizan las versiones anteriores de la biblioteca también sean vulnerables siempre y cuando estén basadas en AFNetworking para establecer conexiones HTTPS a los servidores web.
SourceDNA creó un servicio en línea llamado Searchlight que puede ser utilizado por los usuarios para comprobar manualmente si las aplicaciones instaladas en sus dispositivos iOS son vulnerables. Este servicio demuestra que las aplicaciones de grandes desarrolladores como Microsoft, Yahoo y Google también están potencialmente afectadas por las fallas en AFNetworking.
