Apple siempre ha presumido de ser más cuidadosa que Android sobre qué aplicaciones permite que accedan a la App Store. Sin embargo, los de Cupertino no son infalibles y según el investigador Will Strafach, CEO de Sudo Security Group, hay a disposición de los usuarios al menos 76 apps en la tienda oficial que no utilizan el protocolo de seguridad TLS (Transport Layer Security), de tal manera que se pueden interceptar los datos.
Para Strafach, esta investigación nació de la necesidad de dar a conocer «los problemas de seguridad más comunes que afectan a las aplicaciones móviles en la actualidad». «Presentaré algunos hallazgos dentro de este post que creo que son de interés público, relacionados específicamente con aplicaciones iOS que son vulnerables a la interceptación silenciosa», explica en su blog.
El experto quiere concienciar al usuario y para ello ha elaborado un listado con las aplicaciones de iOS que son vulnerables a ataques por parte de un tercero. Es decir, al fallar los protocolos de seguridad TLS, cualquiera puede acceder a los datos privados del usuario permitiendo la interceptación y/o manipulación de datos.
76 ‘apps’ pueden parecer pocas si tenemos en cuenta que la App Store tiene millones catalogadas -comenta Strafach-, pero el tema es más preocupante cuando conocemos que esas 76 aplicaciones acumulan más de 18 millones de descargas en total.Sin embargo, no todas se comportan por igual. De ahí que Will Strafach haya establecido tres niveles de riesgo:
– Bajo: afecta a un total de 33 apps vulnerables porque los datos que se pueden interceptar no son especialmente sensibles. Son aquellos relacionados con la información que ofrece el propio dispositivo como la dirección de correo electrónico.
– Medio: afecta a 24 aplicaciones de iOS cuya interceptación de datos es más sensible, como los credenciales de inicio de sesión de servicio o de autenticación.
– Alto: un total de 19 aplicaciones permiten que un tercero pueda «robar» datos tan importantes como los de acceso a cuentas bancarias o datos médicos.
De momento, el experto ha decidido solo hacer públicas las aplicaciones de riesgo bajo. Las consideradas de riesgo medio/alto se publicarán dentro de 60 a 90 días, explica en su blog, ya que las compañías responsables (bancos, proveedores médicos y otros desarrolladores) han sido informadas de las graves vulnerabilidades y Strafach espera que, tras el aviso, los solucionen. El experto asegura que hará un seguimiento e informarán sobre su se han solucionado o no estos graves bugs.
Por tanto, estas son las aplicaciones de iOS con fallos en el protocolo de seguridad TLS de riesgo bajo:
1. ooVoo: para hacer videollamadas y enviar mensajes de texto, con imágenes y videos.
2. VivaVideo – Free Video Editor & Photo Movie Maker: para la edición de videos, diapositivas y películas.
3. Snap Upload for Snapchat — Send Photos & Videos: que ya ha sido retirada de iTunes.
globalinfoblog.com 