Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/03/2013
Apple implementa per defecte HTTPS en App Store i soluciona així diverses vulnerabilitats
El tràfic des del dispositiu fins a l’App Store d’Apple sempre s’ha produït en text clar. Açò ha presentat diversos problemes de seguretat documentats des de 2012, però no ha sigut fins ara que Apple ha instaurat la comunicació xifrada per a solucionar diversos problemes.
La història es remunta a juliol de 2012, quan el Dr. Elie Bursztein, de Google, informa de forma privada de vulnerabilitats en l’aplicació App Store per a iOS. L’arrel de totes elles era l’ús d'HTTP en algunes interaccions amb itunes.apple.com. En xarxes locals, es podria capturar el tràfic i es podrien donar els escenaris següents:
- Robatori de la contrasenya d’iTunes: quan la víctima obri l’aplicació App Store, es fa una petició al servidor d'iTunes per a comprovar la llista d’actualitzacions disponibles. L’atacant podria interceptar esta petició i injectar un quadro de diàleg que demana la contrasenya d’iTunes.
- "Intercanvi" de l’app: quan la víctima busca una app i fa clic en "Instal·lar", App Store fa una petició amb l’ID de l’app desitjada. Esta podria ser canviat per l’atacant interceptant la petició i instal·lant en última instància l’app desitjada per l’atacant.
- Actualització falsa: seria possible manipular la pàgina d’actualitzacions disponibles en App Store, per a instal·lar així una app falsa.
- Evitar instal·lar una app: es podria reemplaçar la ID d’una app que es desitge descarregar per una app ja instal·lada, evitant així que la víctima instal·le un app en concret.
- Revelació d’aplicacions instal·lades: quan es consulta la llista d’actualitzacions disponibles, s’envia una llista de les app instal·lades en el dispositiu que pot ser visualitzada per qualsevol en la xarxa local.
Arran d'estos possibles escenaris, Apple ha decidit usar HTTPS en compte d'HTTP, de manera que soluciona tots estos problemes d’una vegada. Ara s’han donat detalls tècnics sobre com es pot realitzar cada atac, disponibles en l’apartat de més informació.
Més informació:
Apple finally turns HTTPS on for the App Store, fixing a lot of vulnerabilitieshttp://elie.im/blog/web/apple-finally-turns-https-on-for-the-app-store-fixing-a-lot-of-vulnerabilities/
iOs App Store password stealing attack http://www.youtube.com/watch?v=b7MQjLVkekg
iOS App swap attack http://www.youtube.com/watch?v=qTkxmfkw7iQ
iOs App Store fake upgrade attack http://www.youtube.com/watch?v=epcS_s2E-rA