Cerca de 1.500 aplicaciones para iPhone y iPad contienen una vulnerabilidad HTTPS que puede facilitarles a los atacantes la ejecución de ataques Man-In-The-Middle (MITM). De esta forma, podrían robar contraseñas, detalles bancarios y otros datos privados.
El bug fue descubierto por SourceDNA, reporta Cult of Mac, y es una falla en la librería de código open source AFNetworking, que algunos desarrolladores incluyen en sus apps para añadir funcionalidades de networking. Y si bien ha sido corregida en la version 2.5.2 de AFNetworking, no todas las aplicaciones afectadas han sido actualizadas a la última, dejándolas susceptibles a ser víctimas de ataques.
SourceDNA analizó 1.4 millones de aplicaciones en App Store y encontró a aquellas todavía afectadas, y aunque estas 1.500 resultan una proporción pequeña del número total, los usuarios de las que no fueron parcheadas podrían terminar con su información interceptada por un ataque MITM. Tal como explicamos en nuestro Glosario, con esta técnica el atacante intercepta una comunicación asumiendo el rol de intermediario entre las dos partes víctimas, manteniendo vínculos independientes con cada una y simulando una conexión íntegra mediante la lectura, inserción y modificación de mensajes.
Usualmente, se detectaría un certificado SSL falso, cuasando que la conexión se caiga al instante; pero los investigadores encontraron que debido a un error en el código, no se ejecuta un chequeo de validación. Esto significa que las apps con la versión 2.5.1 de AFNetworking confían en los certificados fraudulentos.
"El problema ocurre incluso cuando la aplicación móvil solicita a la librería validar el certificado SSL del servidor", escribieron los analistas. "La evaluamos en un dispositivo real e, inesperadamente, encontramos que todo el tráfico SSL podría ser interceptado regularmente a través de un proxy como Burp sin ninguna intervención".
Al día lunes 20 de abril, muchas apps populares como Citrix OpenVoice Audio Conferencing, la versión móvil de Alibaba, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0 y Revo Restaurant Point of Sale todavía estaban usando la versión vulnerable de AFNetworking, según reporta Ars Technica. La lista era más larga, pero las apps de compañías como Microsoft, Yahoo y Uber fueron corregidas luego de una comunicación en privado a sus desarrolladores.
Créditos imagen: Bloomua / Shutterstock.com