Apple dio a conocer el viernes un error crítico en su sistema de cifrado SSL que afectaba a iOS, lanzando un parche de emergencia. Pero luego, investigadores descubrieron que el mismo problema estaba presente en el sistema operativo de escritorio OSX, dejando a los usuarios de Safari en peligro de que su tráfico sea interceptado. Después, otro investigador detectó evidencia de que el problema también se extiende a aplicaciones como Mail, Twitter, FaceTime, iMessage, Calendario y hasta al sistema de actualización de software de Apple.
El investigador Ashkan Soltani publicó el domingo una lista de aplicaciones que están usando el sistema “secure transport” de Apple, la biblioteca que usan los desarrolladores para crear programas que se comunican de forma segura usando protocolos TLS y SSL.
Soltani es un investigador independiente que entre sus últimos trabajos ha analizado documentos filtrados de la NSA, por encargo del Washington Post. El experto advierte que la seguridad de varias aplicaciones mencionadas anteriormente está severamente comprometida. El problema afecta cómo los dispositivos Apple autentifican las conexiones seguras con servidores, permitiendo que un tercero falsifique la verificación e intercepte o corrompa el tráfico con ataques tipo man in the middle.
Entre lo más alarmante está el hecho de que la aplicación de actualización de software de Apple esté comprometida, lo que significa que el mecanismo de la compañía para empujar parches a los equipos con OSX puede ser falseado. Soltani señala que además de revisar los certificados SSL y TLS, el sistema de actualización verifica que el código esté firmado por Apple, lo que da una capa extra de seguridad, aunque eso no ha detenido a atacantes en el pasado que falsearon las firmas para enviar malware. Algunos se han cuestionado si esto realmente es una falla, o si la NSA tendrá algo que ver.
La falla ha sido denominada “gotofail” por la comunidad se seguridad. Los expertos recomendaron inicialmente mantenerse alejados de las redes no seguras y no usar Safari. Sin embargo, los descubrimientos de Soltani se extienden a más programas, dejando pocas opciones a los usuarios de Apple para usar su software.
Apple aseguró que lanzará un parche “muy pronto“.
Actualización: Apple lanzó un parche este martes.
Link: Forbes
