ELMUNDO.es | Madrid
Un desarrollador del Google alertó en
julio del año pasado de la existencia de un agujero de seguridad que
podía causar una importante vulnerabilidad a los usuarios de la popular tienda
de aplicaciones de Apple. La compañía ha solucionado el error
recientemente, más de medio año después del aviso.
Según informa The Hacker News, el desarrollador Elie Bursztein detalla en su blog en qué consistía este
fallo, por el que un supuesto atacante sólo tenía que utilizar la misma
red que la potencial víctima (como WiFi públicas de aeropuertos o
cafeterías, por ejemplo) y, entonces, podía insertar comandos propios
en las comunicaciones entre el iPhone y la App Store.
Para ilustrar el fallo de seguridad, el
propio Bursztein grabó y publicó varios ejemplos de ataques.
La ausencia de cifrado (HTTPS) en ciertas
comunicaciones entre los iPhone y la la tienda de aplicaciones de Apple pudo
permitir durante años el robo de contraseñas o la instalación remota de
aplicaciones no deseadas, entre otros efectos indeseables.
Los ataques eran posibles dado que parte de
las comunicaciones entre el dispositivo y las aplicaciones en iOS se
realizaba con tráfico no encriptado HTTP.
Un atacante podía "abusar" de la
falta de cifrado en ciertas partes de la comunicación con la App Store para
realizar un abanico de ataques que iban desde el robo de contraseñas hasta la
posibilidad de cambiar una aplicación gratuita con una aplicación de pago sin
que el cliente se diera cuenta, pasando por la revelación de la lista de
aplicaciones instaladas en un iPhone.
"Estoy muy feliz de que mi trabajo
dutante mi tiempo libre trabajo haya empujado a Apple a implementar
HTTPS, lo que finalmente protege a los usuarios", comenta
Bursztein en su blog.
"Decidí publicar estos ataques con la
esperanza de que cada vez más desarrolladores (en particular, de productos
móviles) habiliten HTTPS", concluye Bursztein. "Habilitar HTTPS y
garantizar la validez de los certificados es lo más importante que puedes hacer
para asegurar las comunicaciones de las aplicaciones", aconseja, y añade: "Por
favor, no falle a sus usuarios y haga lo correcto: ¡Use HTTPS!".
Enlace articulo original: http://www.elmundo.es/elmundo/2013/03/12/navegante/1363074792.html
No hay comentarios:
Publicar un comentario