1.500 aplicaciones de iOS son vulnerables a un fallo de seguridad

Buscamos entre las aplicaciones descargadas con más frecuencia en la App Store y descubrimos que muy pocas de las aplicaciones gratuitas y de pago más populares todavía están afectadas por el error. De todos modos, es mejor comprobar si sus aplicaciones son vulnerables y aprender cómo protegerse.

Aquí encontrará todo lo que necesita saber.

Así es como los piratas informáticos explotan la falla

De acuerdo con la firma de seguridad, alrededor de dos millones de personas han instalado aplicaciones que sufren la vulnerabilidad HTTPS. Las aplicaciones incluyen Citrix OpenVoice Audio Conferencing, la aplicación móvil de Alibaba, Movies by Flixster con Rotten Tomatoes, KYBankAgent 3.0 y Revo Restaurant Point of Sale, entre otras. Los investigadores están tratando de mantener la lista completa de aplicaciones en secreto para evitar exponer a los usuarios de iOS a más piratas informáticos que utilizarían la vulnerabilidad con fines nefastos. Sin embargo, en su sitio web, SourceDNA ofrece una herramienta a los desarrolladores para que puedan comprobar si sus aplicaciones son seguras.

El investigadores descubrió que la vulnerabilidad proviene de un problema en una versión anterior de una biblioteca de código abierto llamada AFNetworking, que permite a los desarrolladores agregar capacidades de red a sus aplicaciones. AFNetworking solucionó el problema hace unas tres semanas y muchos desarrolladores ya actualizaron sus aplicaciones de iOS para cerrar el agujero, pero al menos 1.500 aplicaciones de iOS siguen siendo vulnerables. Entre las empresas que ya han solucionado el problema se encuentran Yahoo, Uber y Microsoft.

¿Sus aplicaciones de iOS tienen la falla de validación SSL de AFNetworking, exponiendo la información de sus usuarios? ¡Descúbrelo aquí! http://t.co/Y4cwr9vwXb

— FuenteDNA (@SourceDNA) 20 de abril de 2015

SourceDNA explicó en una publicación de blog que cualquier aplicación que todavía use la versión anterior de El código de AFNetworking es vulnerable a ataques de intermediarios que permiten a los piratas informáticos descifrarlo Datos cifrados mediante HTTPS. Así es como funciona: los piratas informáticos que quieren explotar la falla simplemente se conectan a la red Wi-Fi de una cafetería para monitorear el dispositivo objetivo. Luego, los piratas informáticos envían al dispositivo un certificado de capa de sockets seguros fraudulento. Normalmente, el dispositivo se daría cuenta de que el certificado es falso y cortaría la conexión inmediatamente. Sin embargo, los dispositivos con aplicaciones que ejecutan la versión anterior del código AFNetworking tienen un error lógico que permite que el certificado falso pase sin un control de seguridad.

La razón por la que estas aplicaciones nunca realizan la verificación es que la versión 2.5.1 de AFNetwork no ofrece Fijación de certificados, que garantiza que las aplicaciones utilicen un certificado específico para la autenticación HTTPS y cifrado. La ausencia de este control de seguridad adicional deja las aplicaciones afectadas completamente expuestas a los piratas informáticos. Ahora que SourceDNA ha revelado públicamente la vulnerabilidad, lo más probable es que los desarrolladores de aplicaciones tomen medidas para corregir la falla, pero podría llevar tiempo.

He aquí cómo protegerse

Según el informe, parece que los piratas informáticos tienen que atacar su dispositivo utilizando redes Wi-Fi públicas como las que se encuentran en cafeterías y tiendas. Por el momento, se debe evitar cualquier red Wi-Fi que no sea de confianza. También puedes desactivar la actualización de aplicaciones en segundo plano en tu iPhone o iPad, para que las aplicaciones no intenten conectarse a redes abiertas.

Si le preocupa que su iPhone o iPad pueda albergar aplicaciones afectadas, puede revisa tus aplicaciones utilizando la herramienta de SourceDNA. También debes actualizar todas tus aplicaciones en caso de que los desarrolladores afectados ya hayan publicado una actualización para reparar el agujero. Puede actualizar sus aplicaciones yendo a la aplicación App Store y a la pestaña de actualizaciones en la esquina inferior derecha.

Usamos la herramienta de SourceDNA para buscar un puñado de aplicaciones populares en la App Store para ver cuáles están afectadas por el error. Descubrimos que la gran mayoría de las aplicaciones incluidas entre las 100 mejores aplicaciones gratuitas de la App Store son seguras. También revisamos un puñado de aplicaciones de pago y encontramos muy pocas afectadas.

Como puede ver, la cantidad de aplicaciones populares afectadas es en realidad muy pequeña, y esa cantidad continúa reduciéndose a medida que las empresas realizan actualizaciones. Si bien 1.500 aplicaciones parece una cantidad enorme, dados los millones de aplicaciones que hay en la App Store, la realidad es mucho más pequeña de lo que piensas. Sin embargo, más vale prevenir que curar, así que mira tus aplicaciones aquí.

Recomendaciones de los editores

• 17 funciones ocultas de iOS 17 que debes conocer
• 11 funciones de iOS 17 que no puedo esperar para usar en mi iPhone
• iOS 17 no es la actualización de iPhone que esperaba
• Todo lo que Apple no agregó a iOS 17
• ¿Mi iPhone tendrá iOS 17? Aquí están todos los modelos compatibles.

Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.