Finalmente, Apple soluciona el fallo de cifrado entre su App Store e iOS

Medio año después de haberse alertado sobre el problema, Apple ha decidido ponerse manos a la obra para proteger a los usuarios de iOS.

Apple ha terminado por solucionar un problema con su tienda de aplicaciones que durante bastante tiempo ha permitido que los atacantes robaran contraseñas e instalaran aplicaciones no solicitadas o extremadamente caras en los dispositivos basados en iOS.

El fallo se produjo porque Apple descuidó el uso de cifrado cuando un iPhone u otro dispositivo móvil intentaba conectarse a la App Store, de forma que en ese momento un atacante podía sabotear la conexión. Además del fallo de seguridad, las conexiones no cifradas también creaban una vulnerabilidad contra la privacidad del dueño del dispositivo porque quedan al descubierto la lista de aplicaciones instaladas en el dispositivo al completo.

Pero además, permitiría la instalación de aplicaciones, incluidas las que pudieran ser extremadamente caras, sin el consentimiento del usuario, lo que generaba un problema serio porque Apple no devolvía el dinero.

Para general todos estos problemas de seguridad lo único que necesitaba hacer un ciberdelincuent es estar en la misma red WiFi que la víctima, ya fuera pública o privada, incluida la de un café, o un aeropuerto, o un centro comercial.

El investigador de seguridad Elie Bursztein descubrió la vulnerabilidad el pasado mes de julio e informó a Apple, que solucionó el fallo en una reciente actualización de seguridad.

A finales de la semana pasada Bursztein publicó un post en el que anunciaba que el fallo estaba reparado y mostraba vídeos en los que se veía cómo era posible robar contraseñas o instalar aplicaciones no solicitadas en un iOS.

Elie Bursztein fue el investigador que hace dos años, durante la conferencia de seguridad Defcon celebrada en Las Vegas, demostró cómo superar el cifrado incorporado en Windows que los navegadores web, clientes de mensajería instantánea y otros programas utilizan para almacenar las contraseñas, explican en News.com.