Menú principal

miércoles, 7 de diciembre de 2016

La mayoría de las apps de la AppStore no están preparadas para ATS

A falta de un mes para que Apple aplique ATS a las comunicaciones de las aplicaciones en iOS, los desarrolladores de empresas no parecen listos para aceptarlos. De esto ya hemos hablado en Seguridad Apple recientemente, y es que la política de Apple es clara y estricta. En el caso de hoy, hablamos de un nuevo estudio realizado sobre las aplicaciones de la AppStore. El estudio fue realizado sobre las 200 aplicaciones más comunes instaladas en dispositivos iOS en entornos empresariales. 

Los investigadores analizaron la conformidad de estas aplicaciones con los requisitos de seguridad de las aplicaciones que se deberán cumplir. La característica ATS obliga a todas las aplicaciones a comunicarse con servidores de Internet mediante conexiones HTTPS y garantiza que solo se utilizan protocolos de cifrado estándar y algoritmos sin debilidades conocidas. Por ejemplo, la versión 3 de SSL no está permitida y tampoco lo está el algoritmo de cifrado RC4. A día de hoy, iOS proporciona un método para que las aplicaciones no utilicen ATS o para usarlo en ciertas conexiones, pero Apple cambiará eso. Meses atrás anunciaron que se requerirá que todas las aplicaciones publicadas en la AppStore active ATS a finales de este año. El requisito se aplicará a nivel de proceso de revisión de la AppStore. Habrá la posibilidad de utilizar algunas excepciones de forma "razonablemente justificada", pero deberán ser aprobadas por la empresa de Cupertino.

Figura 1: Resumen de estudio

Durante el estudio, se encontraron que el 97 por ciento de las aplicaciones analizadas, es decir 193 de 200, utilizaban excepciones y otros ajustes que deshabilitaban la configuración ATS predeterminada. De las 200 aplicaciones analizadas, 166 aplicaciones evitan algunos requisitos ATS, estableciendo el atributo NSAllowsArbitraryLoads con un valor de true en su archivo Info.plist. Sin embargo, no todos evitan los requisitos ATS para todas las conexiones de red, hay empresas que soportan ATS para conexiones en su dominio, mientras que no lo hacen con dominios externos. 

Se puede argumentar que algunas conexiones no necesitan HTTPS porque no son utilizadas para transferir datos sensibles, los investigadores del estudio se encontraron 10 aplicaciones que enviaban ID de dispositivo, direcciones de correo electrónico, direcciones físicas, códigos postales o información de geolocalización sobre comunicaciones HTTP no cifradas. El debate está montado, Apple tendrá que tramitar o rechazar una gran cantidad de solicitud de excepciones, visto lo visto. ATS está muy cerca y la AppStore no parece preparada.

1 comentario:

  1. I enjoyed over read your blog post. Your blog have nice information, Absolutely fantastic posting!

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares