Casi 1500 aplicaciones de iOS tienen una vulnerabilidad que puede permitir la interceptación de datos sensibles de los usuarios

1500 aplicaciones para iPhones y iPads son vulnerables a ataques Man-in-the-Middle (MiTM)

Si estás usando un iPhone/iPad o iPod, deberías estar preocupado porque los investigadores de seguridad han descubierto que alrededor de 1,500 aplicaciones para iPhone y iPad contienen una vulnerabilidad HTTPS que puede ser explotada por hackers para realizar ataques man-in-the-middle (MiTM) y robar contraseñas, detalles bancarios y otra información privada del usuario.

La vulnerabilidad en la biblioteca de código AFNetworking que permite a los hackers realizar los ataques MiTM fue descubierta por SourceDNA. Cult of Mac informa que la versión anterior de la biblioteca de código AFNetworking tenía la vulnerabilidad y ha sido corregida en la versión 2.5.2, pero varios desarrolladores de aplicaciones no han actualizado sus aplicaciones, dejándolas abiertas a ataques.

SourceDNA escaneó alrededor de 1.4 millones de aplicaciones disponibles en la App Store de Apple y descubrió que alrededor de 1,500 aplicaciones no se habían actualizado a la última versión de la biblioteca de código AFNetworking. Aunque el número es bastante pequeño en relación al total de aplicaciones disponibles en la App Store, incluso una sola aplicación sin parches podría permitir a los criminales cibernéticos llevar a cabo un ataque MiTM con fines maliciosos.

Normalmente, un certificado de capa de socket seguro falso sería detectado, causando que la conexión se interrumpa instantáneamente, pero los investigadores encontraron que debido a un error lógico en el código, no se realiza una verificación de validación. Esto significa que los certificados fraudulentos son confiables por las aplicaciones que ejecutan la versión 2.5.1 de AFNetworking.

“El problema ocurre incluso cuando la aplicación móvil solicita a la biblioteca que aplique verificaciones para la validación del servidor en los certificados SSL”, escribieron los investigadores. “Probamos la aplicación en un dispositivo real y, inesperadamente, encontramos que todo el tráfico SSL podría ser interceptado regularmente a través de un proxy como Burp sin ninguna intervención”.

Ars Technica informa que el número de aplicaciones, incluyendo Citrix OpenVoice Audio Conferencing, la aplicación móvil de Alibababa, Movies by Flixster con Rotten Tomatoes, KYBankAgent 3.0 y Revo Restaurant Point of Sale, aún estaban utilizando la versión vulnerable de AFNetworking, pero la mayoría de las aplicaciones más comunes utilizadas por los usuarios de iPhone/iPad y las aplicaciones de Microsoft, Yahoo y Uber fueron parcheadas tras una divulgación privada a los desarrolladores.