Menú principal

viernes, 10 de febrero de 2017

Decenas de aplicaciones de iOS inseguras en la AppStore

Decenas de aplicaciones de iOS, populares, son vulnerables a la interceptación de datos protegidos por el protocolo TLS. De estas aplicaciones decenas, alrededor de 75, no utilizan buenas prácticas para proteger los datos de los usuarios. Esto es, sin duda, una afirmación o noticia grave, ya que impacta en el manejo de los datos de los usuarios y algo que deberá ser revisado. La noticia ha sido puesta en conocimeinto para el público por los investigadroes de Sudo Security Group, los cuales descubrieron este hecho inesperado para muchos.

Algunas aplicaciones de iOS en la AppStore habían sido implementadas con carencias en el cifrado y sus comunicaciones, pudiendo ser vulnerables a ataques de man in the middle. Las aplicaciones podrían ser engañadas por un certificado falso enviado por un proxy, permitiendo que su seguridad de la capa de transporte pueda ser descifrada y visualizada a medida que se envía el tráfico hacia Internet.

Figura 1: Generación de certificado con OWASP ZAP

El descubrimiento fue inicialmente el resultado del análisis realizado por los investigadores de la empresa. A través del uso de un servicio que realiza un análisis estático de binaios de aplicaciones de la App Store. El presidente de la empresa Sudo verificó que las aplicaciones descubiertas por el sistema eran vulnerables en el laboratorio, utilizando para ello un proxy de red configurado con su propio certificado. Esta es una práctica que en muchas auditorías se utiliza y que para muchos no es nuevo, pero impacta ver como las aplicaciones más populares no utilizan Certificate Pinning para mejorar la seguridad de los usuarios.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares