Menú principal

lunes, 26 de mayo de 2014

Apple comete un error de principiantes y se le caduca un certificado de los servidores usados para Software Updates

La gestión de los certificados digitales de una compañía es una de las tareas fundamentales que deben llevarse a cabo. En Eleven Paths, dentro de los más de 100 plugins de auditoría que tenemos en nuestro sistema de Pentesting Persistente Faast hay dos de ellos orientados solo a gestionar esto. El primero avisa de todos los certificados digitales caducados, el segundo genera una alerta de seguridad de gestión si al certificado digital le quedan menos de 30 días para caducar, permitiendo que el administrador tenga tiempo suficiente de actuar antes de tener el problema.

En el caso de Apple no han sido tan previsores, y uno de los certificados digitales de uno de los servidores que se utilizan en Software Updates ha caducado. En concreto, de los cuatro servidores indicados por Apple que se utilizan, que son: swcdn.apple.com, swdownload.apple.com, swquery.apple.com y swscan.apple.com, ha sido el certificado de SWSCAN.APPLE.COM el que se les ha caducado, como puede verse aquí.

Figura 1: El certificado de swscan.apple.com caducado

El uso de certificados digitales correctos para la distribución de actualizaciones de seguridad es fundamental para evitar los ataques de Evil Grade que pueden permitir a un atacante, como se pudo ver que utilizaba el troyano de espionaje FinFisher, para introducir un troyano en la máquina de la víctima simulando ser una actualización correcta. Esto ha hecho que ahora Software Updates no funcione con ese servidor.

Figura 2: Error en OS X al actualizar

Debido a esto, Apple parcheó después de varios años su sistema de actualizaciones utilizando certificados digitales, pero parece que no han gestionado correctamente su renovación.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares