Menú principal

miércoles, 28 de septiembre de 2011

iSSLFix 1.2 bloqueó hace 3 semanas los certificados falsos de Diginotar pero Apple no lo ha hecho aún en iOS. WTF?

Cuando saltó el escándalo de que se habían creado certificados falsos firmados por la compañía DigiNotar (que al final ha terminado en bancarota) todo el mundo se preocupó. Estos certificados podrían permitir a un atacante acceder al correo electrónico de Gmail, Hotmail o a las cuentas de Paypal sin generar ninguna alerta en las máquinas de los clientes. Evidentemente, todos los fabricantes de software reaccionaron lo más rápido que pudieron generando parches que bloqueaban los certificados falsos que se habían creado, para evitar que sus usuarios fueran víctimas de estos ataques.

En el caso de Apple, la reacción fue más lenta en tiempo de lo deseado, y reaccionó con un Security Update 2011-005 que sólo daba solución a Mac OS X Snow Leopard y Mac OS X Lion, dejando las versiones anteriores de Mac OS X, especialmente a Leopard que aún cuenta con una gran cuota de mercado, sin ninguna solución.


Sin embargo, a pesar de que incluso un rapero había pedido cantando que no se olvidaran de parchear iOS para dar cobertura a los terminales iPhone, iPad e iPod Touch, no hubo parche de seguridad para nadie más. A esto, hay que sumar que desde iOS no es posible ver cuáles son las entidades en las que se confía, que no se puede revocar manualmente la confianza a ninguna entidad y que, además, revisar un certificado digital con iOS que genera una alerta de seguridad no es precisamente lo más fácil de realizar.

Así, mientras que la comunidad de usuarios que realiza Jailbreak a su dispositivo cuenta con un parche de Jan0 para iSSLFix 1.2 desde el 4 de Septiembre de 2011, el resto de usuarios que no ha hecho jaiblreak al dispositivo, sigue totalmente vulnerable a estos certificados digitales falsos. Los que tengan Cydia, solo deberán entrar en las actualizaciones e instalar la nueva versión de iSSLFix.

Cuando hicimos el artículo de pros y contras a la hora de realizar jailbreak al dispositivo, uno de los argumentos que esgrimimos fue que si se hace jailbreak hay que buscarse la vida para parchear el sistema. En aquel entonces, el argumento era negativo, pues esperabamos de Apple una respuesta más rápida ante situaciones como está.

Sin embargo, con el caso de Diginotar, parece que es más fácil tener un sistema actualizado si está con jailbreak que sin él, y casos como PDF Patcher 2, e iSSLFix 1.0 demuestran que la comunidad de jailbreakers está por la labor de preocuparse por la seguridad.

Esperamos que Apple reaccione pronto, y que no haya que espera a iOS 5 para tener un update de seguridad en los terminales con iOS que no tienen jailbreak, y que, a ser posible, sean un poco más veloces en las actualizaciones de seguridad de este tipo. Por si acaso, si tienes un terminal sin jailbreak, para evitar los ataques de este tipo de certificados falsos, os recomendamos el uso de soluciones VPN que eviten los ataques Man in the middle en las redes de conexión.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares