76 aplicaciones de iOS son vulnerables a la interceptación silenciosa de datos

Verify.ly, un servicio que escanea el código binario de una aplicación iOS para detectar problemas de seguridad relacionados con la aplicación, ha revelado que 76 aplicaciones iOS con 18 millones de descargas combinadas no están protegidas contra la intercepción silenciosa de datos protegidos por TLS.

Durante la prueba, se descubrió que las 76 aplicaciones, incluidas varias aplicaciones VPN, aplicaciones de navegador y la popular aplicación Vice News, eran vulnerables a un ataque silencioso de intermediario que pone en riesgo los datos del usuario.

La violación de seguridad permite a un atacante interceptar y manipular fácilmente los datos del usuario.

“Nuestro sistema identificó cientos de aplicaciones con una alta probabilidad de vulnerabilidad a la intercepción de datos. Pude confirmar completamente (vulnerabilidades de la aplicación) usando un iPhone en vivo con iOS 10 y un proxy 'malicioso' para insertar un certificado TLS no válido en la conexión para la prueba ”, escribió Will Strafach, fundador de Verify.ly.

El informe descubrió que 33 de estas aplicaciones vulnerables de iOS estaban en el grupo de bajo riesgo, 24 en el grupo de riesgo medio y 19 en alto riesgo.

Si bien el grupo de aplicaciones de bajo y mediano riesgo no era vulnerable a la interceptación de datos confidenciales de los usuarios que podrían ser perjudiciales, se consideró que 19 de las aplicaciones de alto riesgo tenían una alta vulnerabilidad al transmitir las credenciales de inicio de sesión de servicios financieros o médicos.

La mayoría argumentaría que tales ataques necesitan que su dispositivo esté en la misma conexión a Internet, generalmente una conexión Wi-Fi pública, que la del atacante, pero eso no es del todo cierto.

“La verdad del asunto es que este tipo de ataque puede ser realizado por cualquier parte dentro del alcance de Wi-Fi de su dispositivo mientras está en uso. Esto puede ser en cualquier lugar en público, o incluso dentro de su hogar si un atacante puede acercarse a corta distancia ", agrega Strafach.

Esta no es la primera vez que se descubre este tipo de vulnerabilidad en las aplicaciones de iOS. Por nombrar algunas, las aplicaciones de iOS como Kaspersky Safe Browser, Experian, Dell SecureWorks tuvieron problemas de vulnerabilidad similares.

"Muchos problemas como este surgen de un desarrollador de aplicaciones que no comprende completamente el código que tomaron prestado de la web", agregó.

El informe también señala que para mantener segura la información confidencial, se recomienda desconectar su Wi-Fi y usar datos celulares al iniciar sesión en su cuenta bancaria para realizar una transacción o verificar su saldo, ya que las conexiones de Internet celular son relativamente difíciles de piratear.