Llegamos a ustedes gracias a:



Alertas de Seguridad

Una vulnerabilidad pone en riesgo

A miles de apps iOS

[29/04/2015] La firma SourceDNA ha detectado una vulnerabilidad que puede afectar potencialmente a tráfico encriptado de unas 25 mil aplicaciones iOS, debido a una falla en una popular librería de red open-source.

La falla se debe a un error de validación de nombres de dominio de certificados digitales en AFNetworking, una librería utilizada por un gran número de desarrolladores de aplicaciones, tanto de iOS como de Mac OS X, a la hora de implementar comunicaciones web, incluidas aquellas cifradas con HTTPS (HTTP con cifrado SSL/TLS).

La vulnerabilidad permite a los hackers interceptar tráfico HTTPS, entre una aplicación vulnerable y un servicio web, y tener acceso al tráfico cifrado. Este tipo de ataques, denominados man-in-the-middle, pueden ser lanzados a través de redes inalámbricas inseguras, hackeando los routers o mediante otros métodos.

Según la firma SourceDNA, que rastrea el uso de componentes de terceros en aplicaciones móviles, existen unas 25 mil aplicaciones de iOS que son potencialmente vulnerables, ya que utilizan AFNetworking 2.5.2 o versiones anteriores.

La vulnerabilidad se reparó en la versión 2.5.3 de AFNetworking, lanzada el pasado 20 de abril.

Esta falla se informó el 27 de marzo, un día después de que otro diferente se abordase con la versión AFNetworking 2.5.2. Esa vulnerabilidad solo existía en la versión 2.5.1, lanzada el 9 de febrero, y dejaba expuestas a mil de las 100 mil apps que utilizan AFNetworking. La nueva deja vulnerables también a las apps que utilizan versiones más antiguas de la librería, siempre y cuando utilicen AFNetworking para establecer conexiones HTTPS con los servidores web.

SourceDNA ha creado un servicio online, denominado SearchLight, que permite al usuario comprobar manualmente si una app de iOS puede ser vulnerable.