Fallo de validación de certificados en iOS


Apple ha publicado en dos semanas otra nueva versión de iOS. En la primera corregía el fallo que permitía el jailbreak del dispositivo desde jailbreak.me, y en esta segunda actualización, un grave fallo de seguridad en la implementación de SSL conocido desde hace 9 años.





Las versiones 4.3.5 y 4.2.10 de iOS solucionan un fallo en el manejo de los certificados X.509 usados durante el cifrado SSL. Esto puede permitir que páginas que no son válidas pasen como tales, sin que el navegador avise de que existe algún error en la cadena de certificación. El problema ha sido descubierto por Gregor Kopf de Recurity Labs y Paul Kehrer de Trustwave's SpiderLabs.

Cuando un usuario se conecta a una página a través de https, el navegador recibe e intenta validar el certificado del servidor. Este certificado viene firmado por autoridades que lo acreditan para el dominio al que pertenecen. En esta cadena de validación, normalmente existen agentes intermediarios en los que se confía. El fallo que cometía Apple era no validar que estos emisores intermediarios pudiesen realmente emitir certificados. Técnicamente, se trata de comprobar el valor "Restricciones básicas" del certificado.

No se validaba que el emisor de certificados intermedios tuviese en realidad el poder de emitir certificados. Así, cualquiera con un certificado válido podía convertirse en emisor intermedio de cualquier otro certificado para dominios conocidos. Por ejemplo, cualquiera con un certificado emitido por Verisign podría a su vez crear un certificado para paypal.com, montar una página falsa en ese dominio y Safari lo daría como válido. O sea, el navegador comprobaría que la cadena es válida, pero no que ese intermediario no debería poder emitir y firmar certificados para otros. Se trata de una especie de "man in the middle" en la cadena de certificación. Para completar el escenario del engaño, el atacante debería además redirigir a la víctima a una página falsa alojada en otro punto.

Lo más grave es que esto no es nuevo. En 2002 se descubrió que Internet Explorer, Outlook y la mayoría de aplicaciones que usaban la cryptoAPI de Windows cometían el mismo error y ya fue subsanado entonces.

Los descubridores han creado una web para la ocasión. https://issl.recurity.com/. Si se visita sin que el navegador lance una advertencia (cosa que ocurrirá con todos los iOS no parcheados) es que se es vulnerable.

Más Información:

About the security content of iOS 4.3.5 Software Update for iPhone
http://support.apple.com/kb/HT4824

Fuente:
Sergio de los Santos
http://www.hispasec.com
Twitter: @ssantosv



Otras noticias de interés:

Lanzamiento del PROYECTO ALPARGATA (www.alpargata.org.ve).
Alpargata es un proyecto lanzado con la finalidad de cubrir un área donde poco se ha desarrollado software abierto disponible a la comunidad y en donde hay un potencial importante para desarrollar. ...
Vulnerabilidad en drivers NVIDIA para Linux
NVIDIA ha publicado un boletín informando de una vulnerabilidad en sus drivers para sistemas Unix que podría permitir una elevación de privilegios. ...
Reino Unido declara guerra a pornografía online
El primer ministro británico, David Cameron, ha anunciado hoy lunes una serie de medidas para atajar el consumo de pornografía a través de Internet. Lo más drástico es que el acceso a la pornografía desde los computadores y aparatos móviles es...
Festival Latinoamericano de Instalación de Software Libre
El sábado 2 de abril de 2005 se realizará el Festival Latinoamericano de Instalación de Software Libre - FLISOL, un evento cuyo propósito es promover el uso de software libre y la integración de comunidades de usuarios de software libre en todos...
#Facebook te sigue incluso si borraste tu cuenta
Alemania sigue sospechando de Facebook y sus actividades de rastreo de usuarios mediante cookies. Esta vez, la Agencia de Protección de datos de Hamburgo publicó un informe en el que señala que cookies de la red social pueden permanecer en el PC d...
Jornadas de Sowftware Libre en Popayán
La Universidad del Cauca Facultad de Ingeniería Electrónica y Telecomunicaciones Campus de Tulcán Popayán, Cauca, Colombia - Agosto 18 - 21, 2006 invita a todos a las Jornadas de Software Libre en Popayán, los días 18-21 de agosto. ...
La amenaza invisible de la tecnología Botnet.
En el foro de HackHispano, Roiman Valbuena ha publicado un interesante artículo referente a los BotNet, vale la pena leerlo. A continuación el artículo:...
Adivine fecha del "bug" 200.000 de Mozilla
Si logras adivinar la fecha y hora en que se registrará el “bug” –error de código– número 200.000 del navegador Mozillla, ganará un premio muy especial. El concurso es organizado por los propios desarrolladores del software. ...
Diversas vulnerabilidades en Wireshark
Se han anunciado diversas vulnerabilidades de desbordamiento de búfer y denegación de servicio en Wireshark versiones 0.10.8 a 1.0.14 y 1.2.0 a 1.2.9....
Richard Stallman habla sobre la GPLv3 y el pacto Novell/Microsoft
via Fresqui, llego a la Charla de Richard Stallman en la Conferencia Internacional GPLv3 realizada en Tokyo el 21 de Noviembre. Aunque la charla está en inglés, no tiene desperdicio. Dejo acá un extracto traducido de lo que dijo R. Stallman sobre ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • certificados
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallo
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • ios
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • validacion
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra