SOLO INFORMATICA, POR MANUEL MURILLO GARCIA

Artículos, Comentarios, Noticias, Cursos, todo sobre Informática

 

Apple mantuvo un importante fallo de seguridad en la App Store durante meses

ELMUNDO.es | Madrid

Un desarrollador del Google alertó en julio del año pasado de la existencia de un agujero de seguridad que podía causar una importante vulnerabilidad a los usuarios de la popular tienda de aplicaciones de Apple. La compañía ha solucionado el error recientemente, más de medio año después del aviso.

Según informa The Hacker News, el desarrollador Elie Bursztein detalla en su blog en qué consistía este fallo, por el que un supuesto atacante sólo tenía que utilizar la misma red que la potencial víctima (como WiFi públicas de aeropuertos o cafeterías, por ejemplo) y, entonces, podía insertar comandos propios en las comunicaciones entre el iPhone y la App Store.

Para ilustrar el fallo de seguridad, el propio Bursztein grabó y publicó varios ejemplos de ataques.

La ausencia de cifrado (HTTPS) en ciertas comunicaciones entre los iPhone y la la tienda de aplicaciones de Apple pudo permitir durante años el robo de contraseñas o la instalación remota de aplicaciones no deseadas, entre otros efectos indeseables.

Los ataques eran posibles dado que parte de las comunicaciones entre el dispositivo y las aplicaciones en iOS se realizaba con tráfico no encriptado HTTP.

Un atacante podía “abusar” de la falta de cifrado en ciertas partes de la comunicación con la App Store para realizar un abanico de ataques que iban desde el robo de contraseñas hasta la posibilidad de cambiar una aplicación gratuita con una aplicación de pago sin que el cliente se diera cuenta, pasando por la revelación de la lista de aplicaciones instaladas en un iPhone.

“Estoy muy feliz de que mi trabajo dutante mi tiempo libre trabajo haya empujado a Apple a implementar HTTPS, lo que finalmente protege a los usuarios”, comenta Bursztein en su blog.

“Decidí publicar estos ataques con la esperanza de que cada vez más desarrolladores (en particular, de productos móviles) habiliten HTTPS”, concluye Bursztein. “Habilitar HTTPS y garantizar la validez de los certificados es lo más importante que puedes hacer para asegurar las comunicaciones de las aplicaciones”, aconseja, y añade: “Por favor, no falle a sus usuarios y haga lo correcto: ¡Use HTTPS!”.

Enlace articulo original: http://www.elmundo.es/elmundo/2013/03/12/navegante/1363074792.html

SEGURIDAD

Si le ha gustado esta entrada, por favor considere dejar un comentario o suscríbase al feed y reciba las actualizaciones regularmente.

Ya no se permiten comentarios.

chatroulette chatrandom