Un bug en la base del código fuente abierto encontró el camino en al menos 1.000 aplicaciones, dejando a millones de usuarios expuestos a ataques «man-in-the-middle».
Alrededor de 1.000 aplicaciones de iOS se ven afectadas por una debilidad en la seguridad móvil que hace que sea fácil para los atacantes el poder tener acceso a los datos cifrados, como contraseñas, números de cuentas bancarias y direcciones a medida que se envían, de acuerdo con un informe de la firma de seguridad SourceDNA .
Las aplicaciones afectadas comparten el mismo código, disponible de forma gratuita para ayudar a desarrolladores a incorporar el cifrado en sus programas. Llamado AFNetworking, la biblioteca de código se informó que tiene una falla en la implementación de SSL, la tecnología de seguridad web que permite que datos sensibles se intercambien en la red. Fue introducido en enero y 1.000 más o menos aplicaciones, siguen ejecutando la versión vulnerable.
SourceDNA escanea todas las aplicaciones gratuitas o pagas disponible en iOS App Store, para encontrar aplicaciones que aún son vulnerables. «Nuestro sistema después de explorar esas aplicaciones para ver cuáles realmente tenían el código vulnerable», escribe la compañía . «Los resultados fueron que 55% tienen la 2.5.0 código antiguo, pero seguro, el 40% no estaban usando la parte de la biblioteca que proporciona la API de SSL, y el 5%, cerca de 1.000 aplicaciones tenido el defecto.
Son importantes estas aplicaciones
Nos asombra que una biblioteca de código abierto que presentó una falla de seguridad en sólo seis semanas han expuesto a millones de usuarios de ser vulnerables «. Microsoft, Uber y Yahoo ya han fijado sus aplicaciones vulnerables, y los usuarios deben actualizar a la última versión, pero Citrix, creador de una solución de conferencia telefónica popular aún no.
La compañía ha creado una herramienta en línea para desarrolladores para que puedan comprobar si sus propias aplicaciones son vulnerables , y los usuarios pueden comprobar por sí mismos si usan una aplicación que es o ha sido afectada.
La vulnerabilidad AFNetworking hace que sea fácil para un atacante para romper un tipo de encriptación llamada SSL. Este es el más conocido para la mayoría de los usuarios como la tecnología que asegura las transacciones de comercio electrónico, normalmente marcados con un símbolo de candado en la barra del navegador, pero es cada vez más utilizada para proteger la privacidad del usuario en contra de todo tipo de atacantes, de espías del gobierno para los ladrones de identidad .
Sin SSL o cifrado similar, el tráfico de Internet puede ser interceptado por un ataque «man-in-the-middle», donde un atacante enruta el tráfico a través de sus propios equipos para alterar o robar. Un escenario típico para tal ataque sería contra una navegación de conexión Wi-Fi gratuita en una cafetería; pero hay poca diferencia técnica entre el material y la vigilancia sistemática practicada por las agencias de inteligencia occidentales.
Al igual que el bug de OpenSSL Heartbleed, que rompió catastróficamente millones de servidores en todo el mundo, la falla en AFNetworking podría plantearse la pregunta sobre la suposición que en muchos años, este código abierto (donde el código fuente es público y se puede reutilizar libremente) es más seguro. A pesar de las 100.000 aplicaciones que utilizan AFNetworking todavía tardó más de un mes en ser descubierto.