Menú principal

martes, 12 de marzo de 2013

Apple implementa HTTPs por defecto en App Store

El movimiento de Apple hacia HTTPs ya se veía venir. Hace ya algún tiempo fue implementado en iTunes, y con lo que consiguió proteger a los usuarios contra la censura de apps en sitios como China, donde las utilizadas para privacidad estaban bloqueadas. Ahora el paso se ha dado en la App Store, donde se aplicaban ataques clásicos de esquemas de man in the middle por culpa de no  cifrar correctamente el tráfico. Aquí algunos ejemplos:

- Robo de contraseñas de App Store: Como la petición se hace en HTTP, el atacante podría interceptar la petición y devolver un falso cuadro de login para robar la contraseña, tal y como se ve en el siguiente vídeo.


Esta credencial se podría utilizar para después descargarse el backup de iCloud con herramientas como ElcomSoft Phone Password Breaker.

- Intercambio de apps: El usuario solicita la app que quiere instalar por medio de su ID, pero si el hombre en medio cambia ese ID por el de otra app, la víctima acabaría instalado otra app dentro de su sistema.


Esto podría utilizarse para descargar software malicioso dentro de sistemas que se conectasen a redes WiFi comprometidas.

- Falsas actualizaciones: Podría lograrse manipular la página donde se muestran las actualizaciones disponibles en la App Store, y que el usuario atacado instalara una nueva app.


Por supuesto, también se podría sacar información de las apps instaladas de un usuario, o bloquearle la posibilidad de que se instale uan determinada app, como sucede en países que aplican la censura.

Con este movimiento, como dicen en Una al día, se acaban de una vez todos estos posibles ataques, algo que los usuarios de iOS agradecerán sin duda, pues no todo el mundo está teniendo cuidado de las redes que utiliza para actualizarse sus apps.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares