Apple mantuvo un importante fallo de seguridad en la App Store durante meses

ELMUNDO.es | Madrid
Un desarrollador del Google alertó en julio del año pasado de la existencia de un agujero de seguridad que podía causar una importante vulnerabilidad a los usuarios de la popular tienda de aplicaciones de Apple. La compañía ha solucionado el error recientemente, más de medio año después del aviso.
Según informa The Hacker News, el desarrollador Elie Bursztein detalla en su blog en qué consistía este fallo, por el que un supuesto atacante sólo tenía que utilizar la misma red que la potencial víctima (como WiFi públicas de aeropuertos o cafeterías, por ejemplo) y, entonces, podía insertar comandos propiosen las comunicaciones entre el iPhone y la App Store.
Para ilustrar el fallo de seguridad, el propio Bursztein grabó y publicó varios ejemplos de ataques.
La ausencia de cifrado (HTTPS) en ciertas comunicaciones entre los iPhone y la la tienda de aplicaciones de Apple pudo permitir durante años el robo de contraseñas o la instalación remota de aplicaciones no deseadas, entre otros efectos indeseables.
Los ataques eran posibles dado que parte de las comunicaciones entre el dispositivo y las aplicaciones en iOS se realizaba con tráfico no encriptado HTTP.
Un atacante podía “abusar” de la falta de cifrado en ciertas partes de la comunicación con la App Store para realizar un abanico de ataques que iban desde el robo de contraseñas hasta la posibilidad de cambiar una aplicación gratuita con una aplicación de pago sin que el cliente se diera cuenta, pasando por la revelación de la lista de aplicaciones instaladas en un iPhone.
“Estoy muy feliz de que mi trabajo dutante mi tiempo libre trabajo haya empujado a Apple a implementar HTTPS, lo que finalmente protege a los usuarios”, comenta Bursztein en su blog.
“Decidí publicar estos ataques con la esperanza de que cada vez más desarrolladores (en particular, de productos móviles) habiliten HTTPS”, concluye Bursztein. “Habilitar HTTPS y garantizar la validez de los certificados es lo más importante que puedes hacer para asegurar las comunicaciones de las aplicaciones”, aconseja, y añade: “Por favor, no falle a sus usuarios y haga lo correcto: ¡Use HTTPS!”.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s