SourceDNA ha detectado un fallo de certificado dentro de la librería de código abierto AFNetworking.
Los ataques MITM (man in the middle) se basan principalmente
en un pirata informático que se conecta en un punto intermedio de la conexión
entre el cliente y el servidor redirigiendo todo el tráfico hacia él, donde lo
analiza, monitoriza y reenvía al servidor en texto plano o con un certificado
falso sin que quede rastro del mismo. Estos ataques son invisibles para los
usuarios y pueden permitir el robo de contraseñas, datos bancarios y otros
datos privados sin que el usuario tenga la menor constancia de ello.
En los últimos meses se han detectado fallos en el protocolo
HTTPS que permiten a piratas informáticos monitorizar el tráfico aunque este viaje
de forma cifrada por la red. Tanto las conexiones de escritorio como las que se
realizan desde dispositivos móviles (smartphones, tablets, etc) son vulnerables
si no se utilizan las versiones actualizadas de los protocolos.
Detalle e Impacto de la vulnerabilidad
- SourceDNA ha detectado un fallo de certificado dentro de la librería de código abierto AFNetworking, utilizada por muchos desarrolladores de aplicaciones móviles para iOS para implementar la conexión a Internet en sus aplicaciones. Generalmente, cuando se detecta un certificado falso o modificado la conexión HTTPS debe cerrarse para evitar posibles robos de datos, sin embargo, esta librería confía automáticamente en estos certificados y por lo tanto las conexiones de los usuarios pueden quedar expuestas.
- Aunque el fallo de seguridad ha sido solucionado en la versión 2.5.2 de la librería, todas las aplicaciones que incluyan cualquier versión anterior de esta están expuestas a este fallo y están comprometiendo las conexiones, teóricamente seguras, de sus usuarios.
- SourceDNA, empresa de seguridad que detectó y reportó el fallo, ha analizado cerca de un millón y medio de aplicaciones de iOS disponibles desde la App Store y ha detectado que más de 1500 utilizan versiones antiguas de la librería AFNetworking, utilizando así versiones inseguras del protocolo HTTPS y exponiendo las conexiones y los datos de los usuarios que se conectan a la red a través de iOS a ataques MITM.
- Ciertas aplicaciones de iOS con considerable prestigio como Citrix OpenVoice Audio o la aplicación móvil de Alibaba son vulnerables ya que aún no han sido actualizadas. Las aplicaciones móviles de Microsoft, por ejemplo, estaban expuestas también aunque la compañía las actualizó tan pronto como fueron notificadas antes de hacer públicos los detalles.
- Actualizar a la versión 2.5.2 de la librería AFNetworking,, que ya tiene el fallo corregido
