Menú principal

jueves, 8 de septiembre de 2011

Riesgos de seguridad en conexiones Http-s en iOS

No hace mucho, Apple tuvo que sacar la versión iOS 4.3.2 e iOS 4.2.7 para añadir una blacklist de certificados digitales falsos robados a Comodo, y ayer mismo nos quejábamos de que esperamos que suceda lo mismo con los certificados falsos creados con cuentas de DigiNotar.

Por otro lado, Apple tuvo que volver a actualizar iOS a la versión 4.3.5 debido a un fallo de validación de BasicsConstraints que permitía realizar ataques man in the middle a conexiones Http-s a dispositivos con iOS, algo que propició la aparición de una nueva versión de la herramienta SSLSniff para atacar a los dispositivos vulnerables.

A día de hoy, mientas que Apple no actualice el sistema operativo iOS con la blacklist de los certificados digitales de DigiNotar, navegar en una conexión Http-s desde cualquier dispotivo con iOS, es decir, iPhone, iPad o iPod Touch, exige una revisión exhaustiva de los certificados digitales.

Las entidades de certificación de confianza las decide Apple

Mirando todas las opciones de tu terminal llegarás a la conclusión de que no puedes acceder a la lista de entidades de certificación en que confía tu dispositivo. Esta lista de entidades está disponible en la web de Apple para iOS 3.x e iOS 4.x. Sin embargo, lo peor no es que no puedas acceder a ellas, sino que no puedes revocar la confianza en una de ellas en concreto, por lo que debes someterte al criterio de Apple y aceptar la confianza de todas en las que él concede. Esta situación, hace que, a día de hoy no se pueda revocar la confianza a DigiNotar, por ejemplo.

Lo único que se puede ver es la lista de entidades a nivel de usuario en las que sí se confían, y es a ellas, y solo a ellas, a las que puedes quitar la confianza, pero a las que vienen por defecto en el sistema no hay posibilidad.

Apple Safari en Mac OS X

En el caso de Mac OS X, usando Apple Safari, se puede acceder a las opciones del certificado digital haciendo clic en la parte derecha de la barra de direcciones o sobre el icóno del candado que aparece en la esquina superior derecha, donde aparece la información del nombre de dominio del certificado. 

Figura 1: Revisión de un certificado digital en Mac OS X con Apple Safari

Como se puede ver, Paypal tiene un certificado con validación extendida, es decir, que ha sufrido una revisión manual de todo el proceso de generación del mismo, y como tal aparece reflejado en la información. Sin embargo... ¿se puede hacer esta revisión en iPad - y en iPhone e iPod Touch por consiguiente -? Estos son los resultados obtenidos.

Apple Safari en iPad: No se puede ver la información del certificado

Conexión a una página web con certificado de validación extendida: En la imagen siguente se puede ver como, en la conexión a Paypal, que tiene un certificado de validación extendida, desde Apple Safari, solo aparece un pequeño icóno de un candadito en la barra de título y las letras en verde (¡fíjate bien!).

Figura 2: Certificado de validación extendida en Apple Safari para iPad

El color de la fuente se ve con dificultad y hace falta prestar mucha atención. Sería conveniente buscar alguna manera de resaltar más esa característica.

Conexión a un página web con un certificado sin validación extendida: Para hacer esta prueba nos conectamos a https://aeat.es, que no tiene un certificado de validación extendida, y lo que se obtiene es exactamente el mismo icono, pero la fuente es de color negro.

Figura 3: Certificado digital sin validación extendida

Conexión a un página con contenido HTTPs y HTTP: Para hacer esta prueba nos conectamos a https://www.apple.com, que no tiene un certificado de validación extendida, y tiene contenido mixto HTTP en la página principal, tal y como se puede ver en la siguiente imagen.

Figura 4: Petición https a un servidor con contenido mixto

Lo único que sucece es que desaparece ese pequeño iconito de la barra de título, y listo. Para los usuarios, que han puesto HTTP-S pueden pensar que su conexión es totalmente segura, ya que no hay alerta de contenido mixmo.

Figura 5: Desaparece el candadito

Diigo Browser en iPad mucho peor: Ni alertas ni info de certificado

En sistemas iOS, hemos probado Diigo Browser, el navegador al estilo Chrome que permite cambiar el USER-Agent de navegación en iOS, y el resultado ha sido peor, ya que no diferencia ninguna situación y toma el protocolo HTTP-s como eso, como solo un protolo de acceso, no dando ninguna alerta ante contenido mixto o certificados de validación extendida.

Figura 6: validacion extendida sin ninguna alerta

Figura 7: Contenido mixto. Tampoco hay alerta

Imposible la revisión manual de certificados digitales

Sin embargo, lo peor de todo que nos hemos topado en Apple Safari para iPad o Diigo Browser para iPad es que, en ningún momento hemos sido capaces de ver la información del certificado digital para poder hacer una revisión manual y ver por quién estaba firmado.
Creemos que primar el diseño y la estética sobre la seguridad es un problema, como también se vio con las barras de título en Safari que se podían hacer desaparecer y hacían las delicias de los phishers en iPhone e iPad, más cuando la situación actual ha dejado claro que los ciberdelincuentes aprovechan cualquier resquicio para sacar provecho.

3 comentarios:

  1. Mola que le deis la caña que le estáis dando a Apple, que se la merece, la que le dais, y todavía más, pero es una gran falta de netiquette (y añadiría también de vergüenza) que trasteéis con el botón de retroceder del navegador para que cueste salir de vuestra web. Para volver atrás hay que abrir el desplegable histórico y elegir a mano el paso anterior (al menos en Opera, que es lo que uso)

    Me molesta mucho que hagáis una cosa así, porque es el mismo tipo de práctica desleal de que se acusa (y acusáis) a Apple.

    Un tirón de orejas por ello, esperando que lo arregléis pronto.

    ResponderEliminar
  2. @RFOG, no hemos hecho nada de eso, y a nosotros no nos pasa con Chrome, IE y FF, vamos a probar con Opera.

    Saludos!

    ResponderEliminar
  3. Efectivamente, Malo Maloso, ya en casa y probado, me retracto humildemente de ello: sólo pasa en Opera, así que les enviaré un bug...

    Que sirva este y el anterior para escarnio y befa propios. :-P En fin...

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares