1.000 aplicaciones de iOS tienen un error de SSL paralizante Cómo verificar si está afectado
SourceDNA, una plataforma de análisis de código que audita las aplicaciones de Android e iOS, lanzó recientemente un informe que indica que más de 1,000 aplicaciones de iOS tienen una grave vulnerabilidad de seguridad que podría comprometer los detalles financieros de un usuario.
El error evita que las aplicaciones autentiquen correctamente los certificados SSL ¿Qué es un certificado SSL y lo necesita? ¿Qué es un certificado SSL y lo necesita? Navegar por Internet puede ser aterrador cuando se trata de información personal. Lea más, abriendo las aplicaciones a una serie de ataques de intermediarios. Si bien esta aplicación no afecta la seguridad del propio iOS Seguridad para teléfonos inteligentes: ¿los iPhones pueden obtener malware? Seguridad de teléfonos inteligentes: ¿los iPhones pueden obtener malware? El malware que afecta a "miles" de iPhones puede robar las credenciales de la tienda de aplicaciones, pero la mayoría de los usuarios de iOS son perfectamente seguros. ¿Cuál es el problema con iOS y el software no autorizado? Leer más, podría comprometer los datos del usuario transmitidos a través de las aplicaciones afectadas ...
Un simple error que rompe SSL
El error en cuestión se encuentra en el paquete AFNetworking, una popular solución de red de código abierto utilizada en miles de aplicaciones de la App Store. El error es un simple error lógico que impide que la comprobación de SSL se realice, devolviendo todas las comprobaciones de certificado como válidas. Esto no es un desastre de seguridad masivo como HeartBleed Heartbleed. ¿Qué puedes hacer para mantenerte seguro? Heartbleed - ¿Qué puedes hacer para mantenerte seguro? ¿Leer más o ShellShock peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux, ¿peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux. Lea más, pero es un problema si utiliza una aplicación que contiene el error. Por suerte, el error solo existió durante unas seis semanas, se agregó en 2.5.1 y se solucionó en 2.5.2. Usted podría asumir razonablemente que es el final de la historia..
Lamentablemente no.
Lamentablemente, muchos desarrolladores no mantienen activamente sus aplicaciones actualizadas con correcciones de errores, y hay muchas aplicaciones que aún utilizan la versión rota de AFNetworking, a pesar de la disponibilidad de un parche. SourceDNA analizó 20,000 aplicaciones que contienen versiones del paquete AFNetworking, y determinó que aproximadamente 1,000 todavía están usando la comprobación SSL rota.
SourceDNA pudo realizar esta comprobación mediante el uso de herramientas analíticas que permiten analizar los archivos binarios de miles de aplicaciones. Su tecnología les permite identificar no solo con qué bibliotecas se compilaron estas aplicaciones, sino con cuáles versiones de esas bibliotecas. Como resultado, esto es increíblemente útil para identificar qué aplicaciones pueden verse afectadas por errores conocidos y vulnerabilidades. Según el papel publicado,
“SourceDNA creó una huella digital diferencial a partir de ellos para encontrar el código vulnerable. Piense en esto como un conjunto de características únicas que estaban presentes o ausentes solo en la versión específica y no en ninguna otra antes o después de ella. Con este conjunto de firmas, nuestro motor de análisis nos diría exactamente qué versión de AFNetworking estaba en uso en cada aplicación. “
Muchas de las aplicaciones afectadas almacenan y transmiten datos de tarjetas de crédito de los usuarios, incluida la aplicación móvil Alibaba.com, KYBankAgent 3.0 y Revo Restaurant Point of Sale. Varios millones de usuarios tienen una aplicación vulnerable instalada en su dispositivo iOS, una sorprendente cantidad de exposición ante un error tan breve.
“El 5% o alrededor de 1.000 aplicaciones tenían la falla. ¿Son importantes estas aplicaciones? Los comparamos con nuestros datos de rango y encontramos algunos jugadores importantes: Yahoo !, Microsoft, Uber, Citrix, etc. Nos sorprende que haya una biblioteca de código abierto que introdujo una falla de seguridad durante solo 6 semanas. millones de usuarios a atacar.”
Evaluando el impacto del error de AFNetworking
¿Qué tan mala es esta vulnerabilidad? El error permite a los atacantes engañar a las aplicaciones para que piensen que se están comunicando a través de una conexión segura con un servidor de confianza. Si está utilizando una aplicación vulnerable, cualquier persona en la misma red WiFi puede configurar un ataque de hombre en el medio ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques "intermediarios" pero no está seguro de lo que eso significa, este es el artículo para usted. Lea más e intercepte información de las aplicaciones, incluidos datos confidenciales como información de tarjetas de crédito. Esta información podría usarse para facilitar el robo de identidad. 6 Señales de advertencia del robo de identidad digital. No debe ignorar. 6 Señales de advertencia del robo de identidad digital. No debe ignorar. El robo de identidad no es muy raro en estos días, sin embargo, a menudo Caiga en la trampa de pensar que siempre le sucederá a "otra persona". No ignore las señales de advertencia. Leer más y otras formas de fraude. Potencialmente, este tipo de ataque podría automatizarse para apuntar a aplicaciones populares.
Varias compañías han lanzado actualizaciones y arreglos apresurados desde que se publicó la noticia, incluidos Microsoft y Yahoo. La mayoría de las aplicaciones, sin embargo, permanecen sin parchear. Para ver si las aplicaciones que usa están afectadas, puede usar la herramienta de búsqueda SourceDNA. Si descubres que una de tus aplicaciones sigue siendo vulnerable, la estrategia más segura es eliminarla temporalmente y enviar un mensaje a los desarrolladores pidiéndoles que pongan un parche lo antes posible..
SourceDNA es una herramienta inteligente, y esto demuestra que su tecnología es realmente útil. La seguridad informática es difícil, y una herramienta que puede automatizar el proceso de búsqueda de errores no parcheados, con o sin la cooperación del desarrollador, es una gran victoria para la seguridad del usuario. Sin este tipo de comprobación, este error generalizado habría persistido, probablemente durante bastante tiempo. Este tipo de análisis permite la vergüenza pública masiva que hace que los desarrolladores sean mucho más responsables, y parece probable que SourceDNA descubra más problemas no detectados y no resueltos.
¿Está tu dispositivo iOS afectado por el error de AFNetworking?? ¿Estás emocionado por estas nuevas herramientas de análisis? Háganos saber en los comentarios.!
Créditos de la imagen: “Guerra cibernética de la marina estadounidense,” “frente de iPhone, “cámara de iPhone“, por Wikimedia
Obtenga más información sobre: Seguridad informática, iOS, Violación de seguridad, Seguridad de teléfonos inteligentes.