Encuentran un fallo de seguridad HTTPS que afecta a 1.500 apps en iOS

Ahora mismo hay cerca de 1.500 aplicaciones iOS para iPhone e iPad que comparten un problema. Se trata de un fallo se seguridad que permite a terceros interceptar el tráfico web SSL gestionado desde esas aplicaciones.

El fallo no afecta a aplicaciones cruciales, pero sí a software que usan habitualmente cerca de dos millones de personas. Entre las aplicaciones afectadas está la de Alibabá, la app Movies de Flixter, o el sistema de videoconferencias de Citrix. Los descubridores de la vulnerabilidad han mantenido la lista completa en secreto para evitar que hackers pudieran hacer uso extensivo de ella.

Esta semana, los investigadores Simone Bovi y Mauro Gentile, de la consultora de seguridad SourceDNA han publicado una web en la que podemos buscar aplicaciones por su desarrollador para comprobar si aún son vulnerables o no. Hay que puntualizar que el fallo de seguridad no afecta al tráfico HTTPS de los navegadores web, sino solo al que se ejecuta desde las aplicaciones afectadas. Pese a todo, no está de más comprobar si utilizamos alguna de ellas.

El fallo se debe al uso de una versión antigua de AFNetworking. La versión 2.5.1 de esta librería de código abierto para funciones de red permite presentar credenciales SSL fraudulentas desde la misma red. Existe una versión de esta librería, la 2.5.2, que ya corrige este problema, pero muchos desarrolladores aún no han actualizado sus aplicaciones. Se espera que todos lo vayan haciendo en los próximos días. [SourceDNA vía Ars Technica]

Foto: SourceDNA