Menú principal

sábado, 25 de abril de 2015

Bug en librería AFNetworking deja más de 1.500 apps vulnerables en App Store

En los últimos días existen diferentes informes dónde se han comunicado diferentes fallos de seguridad referente al mundo de Apple. Uno de los fallos del que todavía no hemos hablado en Seguridad Apple afecta aproximadamente a 1500 aplicaciones de iOS. No hay que olvidar uno de los fallos más importante de los últimos meses en el mundo OS X como es el de Rootpipe, el cual aún no ha sido solucionado por Apple. Hace poco, Apple también tuvo que enfrentarse y poner solución al famoso Freak, el cual afectaba desde un Apple TV a un iPod Touch, pasando por los Mac y otros dispositivos iOS. El fallo, que afecta cerca de 1500 aplicaciones de iPhone e iPad, podría permitir a ciertos atacantes robar contraseñas e información sensible.

La vulnerabilidad fue descubierta por la empresa de seguridad denominada SourceDNA hace unas semanas. A día de hoy, quedan muchos desarrolladores que tienen que actualizar aún su aplicación por lo que siguen siendo vulnerables. Este ataque permite a un atacante descifrar datos que viajan a través del protocolo HTTPS, por lo que cualquiera podría generar un hotspot WiFi, nombrarla como gratuita, y hacer un MiTM con el que capturar el tráfico y descifrarlo a través de dicha vulnerabilidad.

Figur 1: SourceDNA para verificar si la app es vulnerable

La empresa SourceDNA escaneó y analizó la mayoría de las aplicaciones de la AppStore que tienen este fallo de seguridad, incluso crearon una aplicación para aprovecharse de este fallo. La empresa proporciona una aplicación web para verificar si sus aplicaciones son o no vulnerables. El día que el fallo de seguridad fue anunciado y mitigado, una búsqueda rápida en SourceDNA mostró cerca de 20.000 aplicaciones de iOS de las 100.000 aplicaciones que utilizan AFNetworking. Ha pasado poco tiempo, pero nos encontramos con estos resultados:
  • El 55% de las aplicaciones que tienen esta librería tienen la version 2.5.0, que es la versión antigua, pero con código seguro.
  • El 40% no estaba utilizando la parte de la biblioteca que proporciona la API de SSL.
  • El 5%, cerca de 1.000 aplicaciones tienen el defecto o fallo de seguridad pudiendo ser explotado. 
Figura 2: Resultados del Developer Microsoft

Muchos usuarios se preguntaron si las aplicaciones afectadas eran importantes, y SourceDNA indicó que algunos de los proveedores de las aplicaciones son empresas muy grandes y famosas, por ejemplo Yahoo, Microsoft, Citrix, etcétera. Por supuesto la recomendación es comprobar las aplicaciones y actualizarlas con el fin de solventar el fallo de seguridad.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares