Paypal acaba de sacar una actualización de urgencia para arreglar una vulnerabilidad descubierta en su aplicación de gestión bancaria personal para i-Phone. El problema, que fue descubierto por la empresa Viaforensics, radica en que la aplicación para iPhone no comprueba que el certificado digital, utilizado en los téneles SSL que utiliza la aplicación para conectarse vía Http-s a los servidores de Paypal, haya sido firmado por una entidad de confianza.Esta falta de validación podría permitir a un atacante crear un falso certificado digital para Paypal que la aplicación daría por bueno. Con este certificado, el atacante puede construir un ataque de Man in the Middle e interceptar todas las comunicaciones que la aplicación envía y, por lo tanto, manipular los datos en transito. Este tipo de ataques son especialmente sencillos de implementar en entornos de conexión WiFi, dónde el atacante cuenta con el acceso a la red y el anonimato de una red pública o vulnerable.
La vulnerabilidad tiene un alto nivel de criticidad, por lo que Paypal, ha corrido para arreglar el fallo y ya está disponible el parche y la nueva versión de la herramienta. Según ha explicado Paypal, no tienen ninguna constancia de que esta vulnerabilidad haya sido explotada por nadie, pero si tienes la aplicación antigua, ahora que es conocido el fallo, debes actualizarla inmediatamente, porque probablemente se empiece a intentar atacar. Tienes más información relativa a este suceso en el artículo del Wall Street Journal.
No hay comentarios:
Publicar un comentario