William Charles
0 
2926
212
SourceDNA, una plataforma de análisis de código que audita aplicaciones de Android e iOS, publicó recientemente un informe que indica que más de 1,000 aplicaciones de iOS tienen una vulnerabilidad de seguridad grave que podría comprometer los detalles financieros de un usuario.
El error impide que las aplicaciones autentiquen correctamente los certificados SSL ¿Qué es un certificado SSL y si necesita uno? ¿Qué es un certificado SSL y necesita uno? Navegar por Internet puede dar miedo cuando se trata de información personal. , abriendo las aplicaciones a una serie de ataques de hombre en el medio. Si bien esta aplicación no afecta la seguridad del iOS en sí mismo Seguridad del teléfono inteligente: ¿Pueden los iPhones obtener malware? Seguridad de teléfonos inteligentes: ¿pueden los iPhones obtener malware? El malware que afecta a "miles" de iPhones puede robar las credenciales de la App Store, pero la mayoría de los usuarios de iOS están perfectamente seguros, entonces, ¿cuál es el problema con iOS y el software malicioso? , podría comprometer los datos del usuario transmitidos a través de las aplicaciones afectadas ...
Un error simple que rompe SSL
El error en cuestión está en el paquete AFNetworking, una popular solución de red de código abierto utilizada en miles de aplicaciones de la tienda de aplicaciones. El error es un error lógico simple que impide que la verificación SSL se lleve a cabo, devolviendo todas las verificaciones de certificados como válidas. Este no es un desastre de seguridad masivo como HeartBleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puede hacer para mantenerse a salvo? o ShellShock ¿Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux ¿Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux, pero es un problema si utiliza una aplicación que contiene el error. Afortunadamente, el error existió solo durante aproximadamente seis semanas, se agregó en 2.5.1 y se corrigió en 2.5.2. Es razonable suponer que ese es el final de la historia..
Lamentablemente no.
Lamentablemente, muchos desarrolladores no mantienen activamente sus aplicaciones actualizadas con correcciones de errores, y hay un montón de aplicaciones que todavía usan la versión dañada de AFNetworking, a pesar de la disponibilidad de un parche. SourceDNA analizó 20,000 aplicaciones que contienen versiones del paquete AFNetworking, y determinó que alrededor de 1,000 todavía están usando la verificación SSL rota.
SourceDNA pudo realizar esta verificación mediante el uso de herramientas de análisis que permiten analizar los archivos binarios de miles de aplicaciones. Su tecnología les permite identificar no solo con qué bibliotecas se compilaron estas aplicaciones, sino con qué versiones de esas bibliotecas. Como resultado, esto es increíblemente útil para identificar qué aplicaciones pueden verse afectadas por errores y vulnerabilidades conocidas. Según el documento publicado,
“SourceDNA creó una huella digital diferencial para encontrar el código vulnerable. Piense en esto como un conjunto de características únicas que estaban presentes o ausentes solo en la versión objetivo y no en ninguna otra antes o después. Con este conjunto de firmas, nuestro motor de análisis nos dirá exactamente qué versión de AFNetworking estaba en uso en cada aplicación. “
Muchas de las aplicaciones afectadas almacenan y transmiten datos de la tarjeta de crédito del usuario, incluida la aplicación móvil Alibaba.com, KYBankAgent 3.0 y el punto de venta del restaurante Revo. Varios millones de usuarios tienen una aplicación vulnerable instalada en su dispositivo iOS, una cantidad asombrosa de exposición por un error tan breve.
“El 5% o alrededor de 1,000 aplicaciones tenían la falla. ¿Son importantes estas aplicaciones? Los comparamos con nuestros datos de clasificación y encontramos algunos jugadores importantes: Yahoo !, Microsoft, Uber, Citrix, etc. Nos sorprende que una biblioteca de código abierto que introdujo una falla de seguridad durante solo 6 semanas haya sido expuesta. millones de usuarios para atacar.”
Evaluación del impacto del error de AFNetworking
¿Qué tan grave es esta vulnerabilidad? El error permite a los atacantes engañar a las aplicaciones haciéndoles creer que se están comunicando a través de una conexión segura con un servidor de confianza. Si está utilizando una aplicación vulnerable, cualquier persona en la misma red WiFi que usted pueda configurar un ataque de hombre en el medio ¿Qué es un ataque de hombre en el medio? La jerga de seguridad explicada ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está seguro de lo que eso significa, este es el artículo para usted. e interceptar información de las aplicaciones, incluidos datos confidenciales como información de tarjeta de crédito. Esta información podría utilizarse para facilitar el robo de identidad. 6 Señales de advertencia de robo de identidad digital que no debe ignorar. 6 Señales de advertencia de robo de identidad digital. No debe ignorar. caer en la trampa de pensar que siempre le pasará a "alguien más". No ignores las señales de advertencia. y otras formas de fraude. Potencialmente, este tipo de ataque podría automatizarse para apuntar a aplicaciones populares.
Varias compañías han lanzado actualizaciones y correcciones desde que se conoció la noticia, incluidas Microsoft y Yahoo. Sin embargo, la mayoría de las aplicaciones permanecen sin parchear. Para ver si las aplicaciones que usa están afectadas, puede usar la herramienta de búsqueda de SourceDNA. Si descubre que una de sus aplicaciones sigue siendo vulnerable, la estrategia más segura es eliminarla temporalmente y enviar un mensaje a los desarrolladores pidiéndoles que publiquen un parche lo antes posible.
SourceDNA es una herramienta inteligente, y esto demuestra que su tecnología es realmente útil. La seguridad informática es difícil, y una herramienta que puede automatizar el proceso de búsqueda de errores no parcheados, con o sin cooperación del desarrollador, es una gran victoria para la seguridad del usuario. Sin este tipo de comprobación, este error generalizado habría persistido, probablemente durante mucho tiempo. Este tipo de análisis permite la vergüenza pública masiva que hace que los desarrolladores sean mucho más responsables, y parece probable que SourceDNA descubra más problemas no detectados y no resueltos.
¿Su dispositivo iOS está afectado por el error de AFNetworking?? ¿Estás emocionado por estas nuevas herramientas de análisis? Háganos saber en los comentarios!
Créditos de imagen: “Guerra Cibernética de la Marina de los EE. UU.,” “frente de iPhone, “cámara iPhone“, por Wikimedia