Menú principal

lunes, 26 de mayo de 2014

Apple comete un error de principiantes y se le caduca un certificado de los servidores usados para Software Updates

La gestión de los certificados digitales de una compañía es una de las tareas fundamentales que deben llevarse a cabo. En Eleven Paths, dentro de los más de 100 plugins de auditoría que tenemos en nuestro sistema de Pentesting Persistente Faast hay dos de ellos orientados solo a gestionar esto. El primero avisa de todos los certificados digitales caducados, el segundo genera una alerta de seguridad de gestión si al certificado digital le quedan menos de 30 días para caducar, permitiendo que el administrador tenga tiempo suficiente de actuar antes de tener el problema.

En el caso de Apple no han sido tan previsores, y uno de los certificados digitales de uno de los servidores que se utilizan en Software Updates ha caducado. En concreto, de los cuatro servidores indicados por Apple que se utilizan, que son: swcdn.apple.com, swdownload.apple.com, swquery.apple.com y swscan.apple.com, ha sido el certificado de SWSCAN.APPLE.COM el que se les ha caducado, como puede verse aquí.

Figura 1: El certificado de swscan.apple.com caducado

El uso de certificados digitales correctos para la distribución de actualizaciones de seguridad es fundamental para evitar los ataques de Evil Grade que pueden permitir a un atacante, como se pudo ver que utilizaba el troyano de espionaje FinFisher, para introducir un troyano en la máquina de la víctima simulando ser una actualización correcta. Esto ha hecho que ahora Software Updates no funcione con ese servidor.

Figura 2: Error en OS X al actualizar

Debido a esto, Apple parcheó después de varios años su sistema de actualizaciones utilizando certificados digitales, pero parece que no han gestionado correctamente su renovación.

1 comentario:

  1. He recibido un email que se me complica única por parte de Apple que mi cuenta va a expirar.
    Ela problema es que me piden demasiados datos personales y no se si será realidad u otra cosa.
    Pueden darme un teléfono de Apple España donde pueda comprobar dicha información
    Gracias

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares