Decenas de aplicaciones populares de iOS son vulnerables a la propagación de sus datos confidenciales a través de ataques silenciosos "man-in-the-middle", según un experto en seguridad móvil confiable.
Durante las pruebas, Will Strafach, uno de los primeros en abrir la plataforma iOS, encontró 76 aplicaciones que eran culpables de aceptar certificados no válidos que podrían usarse para interceptar datos.
Strafach es ahora el CEO de Sudo Security Group, una empresa que se especializa en soluciones de seguridad empresarial para iOS. Mientras desarrollaba la última herramienta de la empresa, un servicio de análisis de aplicaciones, Strafach escaneó el código de las aplicaciones de iOS "en masa" para investigar problemas comunes.
Se topó con "cientos" de aplicaciones de iOS que tienen una alta probabilidad de vulnerabilidad a la interceptación de datos. Con más pruebas, Strafach Ha confirmado que 76 de ellos podrían ser pirateados utilizando un certificado TLS no válido.
Algunas de las aplicaciones que son vulnerables pero presentan un riesgo bajo para los usuarios finales si sus datos son interceptados son Snap Upload para Snapchat, VICE News, Trading 212 Forex & Stocks, Private Browser, Cheetah Browser y Code Scanner de ScanLife.
Strafach también identificó aplicaciones vulnerables que presentan un riesgo medio o alto para los usuarios finales, pero les está dando a sus desarrolladores la oportunidad de corregirlas antes de publicar la lista en 60 a 90 días.
Lo preocupante de estas vulnerabilidades es que están bloqueadas por la función App Transport Security integrada en iOS. Además, "este tipo de ataque puede ser realizado por cualquier parte dentro del alcance de Wi-Fi de su dispositivo mientras está en uso", dice Strafach.
“Esto puede ser en cualquier lugar público, o incluso dentro de su casa si un atacante puede acercarse a corta distancia. Un ataque de este tipo puede llevarse a cabo utilizando hardware personalizado o un teléfono móvil ligeramente [sic] modificado, según el alcance y las capacidades requeridas ".
En el pasado, se identificó la misma vulnerabilidad en aplicaciones iOS de Exsperian, Trend Micro, Citrix, Dell, Kaspersky y PayPal. Sin embargo, se cree que estos problemas ya se han abordado y ninguna de estas aplicaciones es vulnerable en la actualidad.
Solo los desarrolladores de aplicaciones pueden resolver este problema; Apple no puede hacer nada para reparar los agujeros. Sin embargo, Strafach dice que es fácil evitar un ataque simplemente usando una conexión celular en lugar de Wi-Fi cuando se usa una aplicación vulnerable.
