El 21 de febrero Apple lanzó iOS 7.0.6, una pequeña actualización de software que proporcionó "una solución para la verificación de la conexión SSL". La misma corrección de SSL también se lanzó para dispositivos iOS 6 más antiguos y Apple TV. Apple realiza pequeñas correcciones de errores de vez en cuando, por lo que a primera vista 7.0.6 parecía una actualización bastante normal.
Pero en realidad, Apple parcheó un gran falla de seguridad que potencialmente ha comprometido los datos de millones de personas durante años. Apodado "gotofail", el error ha estado volando por debajo del radar durante bastante tiempo y todavía no se ha parcheado en OS X.
Gotofail tiene presuntamente estado presente desde la introducción de iOS 6, y las implicaciones son bastante graves. Hasta ahora, los dispositivos iOS que utilizan Internet a través de una conexión SSL han sido vulnerables a los piratas informáticos que interceptan sus datos o ataques de "intermediario".
Básicamente, el error permite que el tráfico web seguro a través de SSL / TLS sea secuestrado por otra persona en la misma red. Es un proceso relativamente simple para cualquier persona que conozca la falla.
La firma de seguridad CrowdStrike explica:
Debido a una falla en la lógica de autenticación en las plataformas iOS y OS X, un atacante puede omitir las rutinas de verificación SSL / TLS en el protocolo de enlace de la conexión inicial. Esto permite a un adversario hacerse pasar por un punto final remoto confiable, como su proveedor de correo web favorito, y realizar una interceptación completa de tráfico entre usted y el servidor de destino, así como darles la capacidad de modificar los datos en vuelo (como entregar exploits para tomar el control de su sistema).
Gotofail se limita a las aplicaciones y servicios de Apple, como Safari y Messages. Por lo tanto, los navegadores de terceros como Chrome deberían funcionar bien.
Muchas partes de OS X siguen siendo vulnerables, incluido el mecanismo de actualización de software de Apple.
Estas son algunas de las aplicaciones que dependen de la vulnerable Apple #gotofail Biblioteca SSL más allá de Safari / cc @a_greenbergpic.twitter.com/ombDOOa01A
- ashkan soltani (@ ashk4n) 23 de febrero de 2014
Otros piratas informáticos conocidos han expresado su preocupación por los hallazgos:
No se necesita experiencia en iOS para que los malos abusen del error SSL que Apple acaba de arreglar. Muchos más pueden explotar (para mal) un error de SSL que un error normal de iOS
- MuscleNerd (@MuscleNerd) 22 de febrero de 2014
Personas en redes wifi públicas (¿Sochi?), No utilicen su dispositivo iOS si no está actualizado a iOS 7.0.6. No uses tu Mac Book. - pod2g (@ pod2g) 22 de febrero de 2014
Sí, la seguridad de iOS <7.0.6 ahora es tan mala que les recomiendo a todos que se actualicen rápidamente. - pod2g (@ pod2g) 22 de febrero de 2014
No es difícil de entender: HTTPS no funciona en OSX e iOS <7.0.6. Sus contraseñas y credenciales de tarjetas de crédito pueden ser interceptadas en redes.
- pod2g (@ pod2g) 22 de febrero de 2014
Incluso los bancos se están comunicando con sus clientes y les aconsejan que se actualicen a iOS 7.0.6 de inmediato. "Debe instalar esta actualización tan pronto como sea posible para asegurarse de que su información esté lo más segura posible", advirtió el banco solo en línea. Sencillo en un correo electrónico a los clientes ayer.
Quizás lo más alarmante de todo esto es la teoría propuesta por John Gruber de Daring Fireball. Gotofail se introdujo con el lanzamiento de iOS 6 en septiembre de 2012, y Apple se agregó al programa de espionaje "PRISM" de la NSA en octubre de 2012.
Una vez en su lugar, la NSA ni siquiera habría necesitado encontrar el error leyendo manualmente el código fuente. Todo lo que necesitarían son pruebas automatizadas con certificados falsificados que se ejecutan en cada nueva versión de cada sistema operativo. Apple lanza iOS, la prueba automatizada de certificados falsificados de la NSA encuentra la vulnerabilidad, y boom, Apple se "agrega" a PRISM.
O tal vez nada, y todo esto es una coincidencia.
Apple emitió una declaración anoche, por Reuters, diciendo que estaba al tanto del mismo error de SSL que todavía existe en OS X. Pronto se publicará una solución:
Apple Inc dijo el sábado que publicaría una actualización de software "muy pronto" para cortar la capacidad de espías y piratas informáticos de obtener correo electrónico, información financiera y otros datos confidenciales de las computadoras Mac.
Confirmando los hallazgos de los investigadores el viernes por la noche de que una falla de seguridad importante en iPhones y iPads también aparece en computadoras portátiles y de escritorio que se ejecutan Mac OS X, la portavoz de Apple, Trudy Muller, dijo a Reuters: “Somos conscientes de este problema y ya tenemos una solución de software que se lanzará muy pronto pronto."
