(apple) ios 10 y macOS Sierra 10.12 presentan una vulnerabilidad al visitar paginas con protocolo

Tema en 'Noticias' iniciado por sakumo hatake, 24 Oct 2016.

  1. sakumo hatake

    sakumo hatake Usuario Casual nvl. 2
    87/163

    Registrado:
    2 Feb 2009
    Mensajes:
    6.977
    Me Gusta recibidos:
    12
    [​IMG]


    De nueva cuenta, Apple está en la mirada de las vulnerabilidades. Un investigador ha podido descubrir que al visitar páginas web con protocolo HTTPS, el dispositivo con iOS 10 o macOS Sierra 10.12 podría ser atacado con el proceso “Man In The Middle”. Esto se debe a una razón principal, la validación OSCP.

    ¿Cómo funciona este ataque?
    El “Man In The Middle” es el ataque que tiene capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace ha sido violado.


    Por lo que un tercero podría intervenir al momento de que nosotros estamos visitando una página web con el protocolo HTTPS. La validación OSCP hace referencia a un protocolo que se emplea para determinar el estado y vigencia de un certificado en un momento dado. El protocolo HTTPS está
    formado por un OCSP, por lo que si el certificado no se puede verificar, aquí entraría un tercero para poder averiguar todo lo que estamos viendo en un sitio web.

    [​IMG]

    Apple deberá solucionar este fallo, mientras tanto ¿cómo puedo protegerme del ataque en iOS 10 o macOS Sierra?
    Según Redes Zone, la implementación del SecureTransport de Apple confía y comprueba las URL OCSP sin verificar la autoridad de certificación, ni tampoco el nombre común. El atacante puede auto-firmar una certificación, de tal manera que podrían ser varias veces hasta crear un gran tráfico de datos que evitarán que el usuario detecte esta actividad.
    Como experiencia personal, cuando visito algunos sitios importantes como bancos, consultando mi correo electrónico, o anteriormente al visitar la intranet de mi universidad, en ocasiones el certificado estaba vencido (cuando el protocolo HTTPS está tachado en Chrome o Safari avisa que el certificado no está verificado). Lo que yo hago es abrir una ventana en modo incógnito y al siguiente intento el certificado está funcionando normalmente. Compruebo que el certificado esté firmado por el entorno correspondiente y continúo navegando.

    [​IMG]


    Así que esperamos que Apple pronto pueda lanzar alguna actualización que corrija este problema, en iOS 10.1 no hay rastro alguno sobre alguna corrección mientras que en macOS Sierra 10.12.1 muestra que han mejorado la fiabilidad del navegador aunque con detalle no se confirma.
     
    #1 sakumo hatake, 24 Oct 2016
    Última edición: 24 Oct 2016