76 populares aplicaciones iOS encontradas vulnerables a la interceptación silenciosa de datos

Verify.ly, un servicio que analiza el código binario de una aplicación iOS para detectar problemas de seguridad relacionados con la aplicación, ha revelado que 76 aplicaciones iOS con una combinación de 18 millones de descargas están desprotegidas contra la interceptación silenciosa de datos protegidos por TLS.

Foto: ymgerman / Shutterstock.com

Durante la prueba, se descubrió que las 76 aplicaciones, incluidas varias aplicaciones VPN, aplicaciones de navegador y la popular aplicación Vice News, eran vulnerables a un ataque silencioso del tipo «hombre en el medio» que pone en peligro los datos de los usuarios.

La brecha de seguridad permite a un atacante interceptar y manipular fácilmente los datos de los usuarios.

«Nuestro sistema marcó cientos de aplicaciones con una alta probabilidad de vulnerabilidad a la interceptación de datos. Pude confirmar completamente (las vulnerabilidades de la aplicación) usando un iPhone en vivo ejecutando iOS 10 y un proxy malicioso para insertar un certificado TLS inválido en la conexión para las pruebas», escribió Will Strafach, fundador de Verify.ly.

El informe reveló que 33 de estas aplicaciones iOS vulnerables pertenecían al grupo de bajo riesgo, 24 al grupo de riesgo medio y 19 al de alto riesgo.

Mientras que el grupo de aplicaciones de bajo y medio riesgo no era vulnerable a la interceptación de datos confidenciales de los usuarios que pudieran ser perjudiciales, se consideró que 19 de las aplicaciones de alto riesgo eran altamente vulnerables a la transmisión de credenciales de inicio de sesión de servicios financieros o médicos.

La mayoría argumentaría que tales ataques necesitan que su dispositivo esté en la misma conexión a Internet – generalmente una conexión Wi-Fi pública – que la del atacante, pero eso no es del todo cierto.

«La verdad es que este tipo de ataque puede ser llevado a cabo por cualquier parte dentro del alcance de Wi-Fi de su dispositivo mientras está en uso. Esto puede ser en cualquier lugar en público, o incluso dentro de su casa si un atacante puede estar a corta distancia». añade Strafach.

No es la primera vez que se descubre este tipo de vulnerabilidad en las aplicaciones iOS. Por nombrar algunas, las aplicaciones iOS como Kaspersky Safe Browser, Experian, Dell SecureWorks tenían problemas de vulnerabilidad similares.

«Muchos problemas como este surgen de un desarrollador de aplicaciones que no entiende completamente el código que ha tomado prestado de la web», añadió.

El informe también señala que para mantener segura la información confidencial, se recomienda apagar la conexión Wi-Fi y utilizar los datos del teléfono móvil mientras se inicia sesión en la cuenta bancaria para realizar una transacción o consultar el saldo, ya que las conexiones a Internet celular son relativamente más difíciles de piratear.

Última actualización el 8 de febrero de 2018

Deja un comentario