martes, 21 de abril de 2015

Un error en una librería provoca una vulnerabilidad en HTTPS que afecta a 1.000 aplicaciones iOS y millones de usuarios

El error, descubierto en la librería de código abierto AFNetworking, que utilizada por más de 100.000 aplicaciones iOS para comunicarse con servicios web, deshabilitaría la validación de certificados digitales de los servidores, al establecer una conexión HTTPS.

Es decir, que si usuarios malintencionados interceptasen dicho trafico cifrado, podrían descifrar y modificar dichos datos proporcionando a la aplicación un certificado falso, en lo que se conoce como ataque Man-in-the-Middle, abreviado a veces como MitM, y puede realizarse aprovechando vulnerabilidades en redes cámbricas no seguras y routers domésticos.

Es difícil decir cuantas aplicaciones de las que usan esta librería habrían sido afectadas, ya que el error afecta únicamente a las que utilicen la versión 2.5.1 del 9 de febrero y, de estas, solo a las que utilicen la funcionalidad SSL/TLS de la librería, que no son todas.

El error fue subsanado el 26 de marzo en la versión 2.5.2 de la librería, por lo que estuvo activo unicamente 6 semanas, durante las cuales solo un 20% de las 100.000 aplicaciones fueron actualizadas, y en mas de la mitad no se actualizó dicha librería, manteniendo la antigua 2.5.0. Si a esto le añadimos, que solo un numero limitado de aplicaciones utilizan el cifrado SSL/TLS, podemos concluir que la cantidad de aplicaciones afectadas sería de un millar, mas o menos.

Aunque pueden no parecer muchas, debemos tener en cuenta que entre ellas se encontrarían aplicaciones de empresas de alto nivel como Yahoo, Microsoft, Uber, Citrix, etcétera.

Fuente: InfoWorld