Apple tarda seis meses en reparar un agujero de seguridad.


La empresa de la manzana ha tardado medio año pero al final lo ha conseguido. Ha reparado un agujero de seguridad del Apple Store después de que un investigador de seguridad de Google lo descubriera en julio de 2012. La solución ha sido implementar un protocolo HTTPS por defecto en los accesos de su tienda.

Lo curioso es que fuera Google quien descubriera el fallo de su máximo rival. Aunque por lo que parece la deportividad reina entre los trabajadores de ambas compañías y Elie Bursztein, el investigador de seguridad de Google que descubrió el fallo, no tuvo ningún problema en decirlo.

Eso sí, lo publicó en su blog para que se enterara todo el mundo, no solo Apple.

La vulnerabilidad permitía a un atacante el robo de contraseñas de usuarios, el secuestro de conexiones, la adquisición de aplicaciones o la instalación de malware incluyendo troyanos de control haciéndose pasar por actualizaciones de software en la App Store y ante el uso de conexiones sin cifrar HTTP.

La solución fue implementar un protocolo de HTTPS


En su blog, Elie Bursztein, nos explica los fallos que tenía el Apple Store y porqué eran producidos. Además, lo primero que hace es alegrarse por haber ayudado a otra compañía, y por ende a sus usuarios, a solucionar sus problemas de seguridad.

El problema principal fue la falta de encriptación (HTTPS) en aplicaciones que contienen datos en servidores externos al terminal. Es decir, con una facilidad pasmosa, un atacante podía colarse en el sistema operativo cuando se compartiese una misma red WiFi abierta.

El hacker se beneficiaba de la falta de cifrado  en ciertas partes de la comunicación cuando el usuario se conectaba a la aplicación del App Store.

Esto, unido a la falta de contraseña de la red WiFi, hacía muy vulnerable a cualquier persona con un terminal iOS.

De todas maneras, a principios de este año Apple ya tenía solucionado un problema que no había descubierto ningún ingeniero de Cupertino. Tuvo que ser un investigador de seguridad de Google quien, en su tiempo libre, pusiera sobre aviso a la empresa de la manzana mordida. Medio año después han solucionado el problema. Más vale tarde que nunca.

No hay comentarios:

Publicar un comentario