El investigador en seguridad informática David Coomber descubrió una vulnerabilidad (CVE-2016-6231) en la aplicación de navegación segura de Kaspersky para iOS.
Como resultado, la aplicación no valida el certificado SSL cuando se conecta a sitios seguros y esto podría ser explotado por atacantes con ataques MITM con capacidades para "presentar un certificado SSL incorrecto para un sitio seguro, el cual la aplicación aceptará de forma silenciosa".
Después de esto, toda la información intercambiada entre la aplicación y el servidor que hostea el sitio puede ser fácilmente capturada por un atacante. Algunos datos que se pueden capturar son usuarios y contraseñas.
El objetivo del navegador seguro de Kaspersky es detectar y bloquear sitios falsos y maliciosos. La empresa ya solucionó la vulnerabilidad después de ser informado de su existencia por Coomber. La versión más reciente de la aplicación (v.1.7.0) es gratuita y está disponible para su descarga.
Kaspkersky señaló que "esta vulnerabilidad podría haber sido explotada sólo si el usuario abre el enlace del malware que no fue detectado por el antiphishing u otros motores antimalware incrustados en la aplicación."
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT