SourceDNA, una plataforma de análisis de código que audita las aplicaciones de Android e iOS, publicó recientemente un informe que indica que más de 1.000 aplicaciones de iOS tienen una vulnerabilidad de seguridad grave que podría comprometer los detalles financieros de un usuario.
El error impide que las aplicaciones autentiquen correctamente los certificados SSL. ¿Qué es un certificado SSL y lo necesita? ¿Qué es un certificado SSL y lo necesita? Navegar por Internet puede ser aterrador cuando se trata de información personal. Lea más, abriendo las aplicaciones hasta varios ataques Man-in-the-middle. Si bien esta aplicación no afecta la seguridad de iOS en sí Seguridad de teléfonos inteligentes: ¿Pueden los iPhone obtener software malicioso? Seguridad de teléfonos inteligentes: ¿Pueden los iPhone obtener software malicioso? El malware que afecta a "miles" de iPhones puede robar las credenciales de la App Store, pero la mayoría de los usuarios de iOS son perfectamente seguros. ¿Cuál es el problema con iOS y el software fraudulento? Leer más, podría comprometer los datos del usuario transmitidos a través de las aplicaciones afectadas ...
Un error simple que rompe SSL
El error en cuestión se encuentra en el paquete AFNetworking, una popular solución de red de código abierto utilizada en miles de aplicaciones de la App Store. El error es un error lógico simple que impide que realmente se lleve a cabo la verificación SSL, devolviendo todas las comprobaciones de certificado como válidas. Este no es un desastre de seguridad masivo como HeartBleed Heartbleed. ¿Qué puedes hacer para mantenerte seguro? Heartbleed: ¿qué puedes hacer para mantenerte seguro? Lea más o ¿ShellShock Worse Than Heartbleed? Conozca ShellShock: ¿una nueva amenaza de seguridad para OS X y Linux Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux Lea más, pero es un problema si usa una aplicación que contiene el error. Afortunadamente, el error existió solo durante unas seis semanas, se agregó en 2.5.1 y se corrigió en 2.5.2. Es razonable suponer que es el final de la historia.
Lamentablemente no.
Lamentablemente, muchos desarrolladores no mantienen sus aplicaciones actualizadas con correcciones de errores, y hay un montón de aplicaciones que todavía usan la versión defectuosa de AFNetworking, a pesar de la disponibilidad de un parche. SourceDNA analizó 20, 000 aplicaciones que contienen versiones del paquete AFNetworking, y determinó que alrededor de 1, 000 siguen usando el cheque SSL interrumpido.
SourceDNA pudo realizar esta comprobación mediante el uso de herramientas de análisis que permiten analizar los archivos binarios de miles de aplicaciones. Su tecnología les permite identificar no solo con qué bibliotecas se compilaron estas aplicaciones, sino qué versiones de esas bibliotecas. Resulta que esto es increíblemente útil para identificar qué aplicaciones pueden verse afectadas por errores conocidos y vulnerabilidades. De acuerdo con el documento publicado,
"SourceDNA creó una huella digital diferencial de ellos para encontrar el código vulnerable. Piense en esto como un conjunto de características únicas que estaban presentes o ausentes solo en la versión específica y no en ninguna otra antes o después. Con este conjunto de firmas, nuestro motor de análisis nos diría exactamente qué versión de AFNetworking estaba en uso en cada aplicación. "
Muchas de las aplicaciones afectadas almacenan y transmiten datos de tarjetas de crédito de los usuarios, incluidas la aplicación móvil Alibaba.com, KYBankAgent 3.0 y el Punto de venta del restaurante Revo. Varios millones de usuarios tienen una aplicación vulnerable instalada en su dispositivo iOS: una cantidad asombrosa de exposición a partir de un error tan breve.
"El 5% o aproximadamente 1.000 aplicaciones tenían el defecto. ¿Son estas aplicaciones importantes? Los comparamos con nuestros datos de rango y encontramos algunos grandes jugadores: Yahoo !, Microsoft, Uber, Citrix, etc. Nos asombra que una biblioteca de código abierto que introdujo un error de seguridad por solo 6 semanas expuso a millones de usuarios al ataque ".
Evaluar el impacto del error AFNetworking
¿Qué tan mala es esta vulnerabilidad? El error permite a los atacantes engañar a las aplicaciones para que crean que se están comunicando a través de una conexión segura con un servidor confiable. Si está utilizando una aplicación vulnerable, cualquier persona en la misma red WiFi que pueda configurar un ataque man-in-the-middle ¿Qué es un ataque Man-in-the-Middle? Jerga de Seguridad Explicada ¿Qué es un ataque Man-in-the-Middle? Explicación de jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está seguro de lo que eso significa, este es el artículo para usted. Lea más e intercepte información de las aplicaciones, incluidos los datos confidenciales, como la información de la tarjeta de crédito. Esta información podría usarse para facilitar el robo de identidad. 6 Señales de advertencia de robo de identidad digital que no debe ignorar 6 Señales de advertencia de robo de identidad digital que no debe ignorar El robo de identidad no es muy raro hoy en día, sin embargo, a menudo caer en la trampa de pensar que siempre le pasará a "otra persona". No ignore las señales de advertencia. Lea más y otras formas de fraude. Potencialmente, este tipo de ataque podría automatizarse para apuntar a aplicaciones populares.
Varias empresas se apresuraron a realizar actualizaciones y correcciones desde que se conoció la noticia, incluidos Microsoft y Yahoo. La mayoría de las aplicaciones, sin embargo, permanecen sin parchear. Para ver si las aplicaciones que usa están afectadas, puede usar la herramienta de búsqueda SourceDNA. Si descubre que una de sus aplicaciones aún es vulnerable, la estrategia más segura es eliminarla temporalmente y enviar un mensaje a los desarrolladores para pedirles que pongan un parche lo antes posible.
SourceDNA es una herramienta inteligente, y esto demuestra que su tecnología es realmente útil. La seguridad informática es difícil, y una herramienta que puede automatizar el proceso de búsqueda de errores no reparados, con o sin la cooperación del desarrollador, es una gran victoria para la seguridad del usuario. Sin este tipo de comprobación, este error generalizado habría persistido, probablemente durante bastante tiempo. Este tipo de análisis permite la humillación pública masiva que hace que los desarrolladores sean mucho más responsables, y parece probable que SourceDNA descubra nuevos problemas no detectados y no resueltos.
¿Su dispositivo iOS está afectado por el error AFNetworking? ¿Estás entusiasmado con estas nuevas herramientas de análisis? Háganos saber en los comentarios!
Créditos de las imágenes: "Guerra Marina de los EE. UU.", "Frente de iPhone", cámara de iPhone ", por Wikimedia