Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Código SSL no seguro podría resultar en ataques man-in-the-middle para Android

Investigadores encontraron miles de apps que tienen prácticas inseguras de código al implementar protocolos SSL, lo que podría conducir a ataques MitM en Android.

San Francisco – Durante la Conferencia RSA 2015 (RSAC) investigadores detallaron las vulnerabilidades SSL y TLS que afectan a decenas de miles de aplicaciones de Android, y los posibles riesgos que enfrentan las empresas a causa de ellos.

Dos sesiones separadas en la RSAC trataron el tema, que se debe a que los desarrolladores han estado aplicando indebidamente los controles de seguridad con los protocolos SSL que podrían conducir a ataques tipo man-in-the-middle (MitM).

La prueba está en la Tapioca

Will Dormann, analista de vulnerabilidades con la división CERT del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon en Pittsburgh, también presentó datos en una sesión durante la RSA. Los datos de Dormann se recopilaron mediante CERT Tapioca, que es una herramienta automatizada que ha encontrado casi 24.000 aplicaciones de Android con estas vulnerabilidades.

Adrian Mettler, ingeniero de planta, y Yulong Zhang, ingeniero senior de investigación de software con el proveedor de seguridad FireEye Inc. en Milpitas, California, presentaron una investigación que detalla exactamente cómo los desarrolladores estaban cometiendo errores que llevaron a estas vulnerabilidades. El dúo se centró en aplicaciones de Android gratis con más de 1 millón de descargas, que ascendieron a poco más de 11.000 aplicaciones a partir de principios de abril, y encontraron que las vulnerabilidades fueron causados ​​por aplicaciones que no verificaban adecuadamente si los certificados SSL fueron enviados o si fueron firmados por las partes correctas .

Mettler y Zhang encontraron que el 42% de las aplicaciones que utilizan los administradores de confianza SSL o estaban aceptando todos los certificados o aceptaban certificados inseguros. Además, se encontró que más del 95% de las aplicaciones no verifican los nombres de host, lo que podría conducir a un ataque MitM.

La inyección de datos maliciosos es la preocupación real

Mettler dijo que estas vulnerabilidades no preocuparían demasiado a las empresas si los dispositivos con aplicaciones afectadas se quedaran en la red corporativa, ya que es poco probable que los atacantes MitM estuvieran allí; los riesgos para los empleados se presentan una vez que salen del establecimiento. Dijo que el principal riesgo de un ataque MitM en Android sería la intercepción de datos sensibles, que podrían ser robados de tráfico HTTP o HTTPS –pero hay otro riesgo más allá de eso.

"Lo que es quizás más preocupante es que los datos maliciosos podrían inyectarse través de esa conexión. No es muy común, pero no es raro que las aplicaciones descarguen en realidad código y lo ejecuten en Android", dijo Mettler. "Esto sería un ataque relativamente sofisticado y difícil de lograr, pero es técnicamente posible. No es solamente la exposición de datos, pero que podría dar lugar a una infección de malware en el dispositivo, y luego los atacantes podrían tener acceso a otro tipo de cosas."

Mettler sugirió que las empresas comprueben las aplicaciones utilizadas en los dispositivos de los empleados. Esto podría hacerse mediante Tapioca, la cual el CERT ha puesto a disposición de las empresas –de acuerdo con Dormann– con el fin de revisar las solicitudes de las vulnerabilidades SSL. Si se encuentran aplicaciones vulnerables, se insta a las empresas a enviar informes al CERT, que luego asumirá la tarea de contactar a los desarrolladores para solicitar parches.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close