Vulnerabilidad crítica afecta a 25.000 aplicaciones de iOS

Al menos 25.000 aplicaciones de iOS, disponibles en el App Store de Apple, contienen una vulnerabilidad crítica que permite realizar ataques Man-in-the-Middle (MitM) sobre conexiones HTTPS.

La vulnerabilidad inicialmente informada a principios de esta semana residía en la biblioteca AFNetworking 2.5.1 y afectaba a 1.500 aplicaciones de iOS.
Esta vulnerabilidad fue corregida pero la empresa de seguridad SourceDNA reveló ayer un nuevo error crítico en la actualización de AFNetworking. La empresa ha revisado la actualización 2.5.2 y descubrió que el problema no se había corregido correctamente, afectando ahora a más de 25.000 aplicaciones de iOS.

Cualquier versión menor a la 2.5.3 es vulnerable. La vulnerabilidad puede ser explotada mediante el uso de cualquier certificado válido para cualquier nombre de dominio, siempre y cuando haya sido emitido por una autoridad de certificación de confianza (CA). El resultado es un atacante, con cualquier certificado válido, puede espiar o modificar una sesión SSL/TLS  iniciada por una aplicación con esta biblioteca defectuosa.

Nate Lawson, el fundador de SourceDNA, dijo que "el error reside en que, a pesar de que el certificado se comprueba, se puede ingresar a un dominio distinto del señalado en el certificado".

Una revisión rápida encontró que las aplicaciones de Bank of America, Wells Fargo y JPMorgan Chase probablemente fueron afectados, aunque algunos de esos informes podría ser falsos positivos. SourceDNA ofrece una herramienta gratuita para verificar si las aplicaciones son afectadas.

Fuente: iDigitalTimes

Suscríbete a nuestro Boletín