El tráfico desde el dispositivo hasta la App Store de Apple siempre se ha producido en texto claro. Esto ha presentado varios problemas de seguridad documentados desde 2012, pero no ha sido hasta ahora cuando Apple ha instaurado la comunicación cifrada para solucionar varios problemas.
La historia se remonta a julio de 2012 cuando el Dr. Elie Bursztein de Google reporta de forma privada vulnerabilidades en la aplicación App Store para iOS. La raíz de todas ellas era el uso de HTTP en algunas interacciones con itunes.apple.com. En redes locales, se podría capturar el tráfico y se podrían dar los siguientes escenarios:
- Robo de contraseña de iTunes: Cuando la víctima abre la aplicación App Store, se hace una petición al servidor de iTunes para comprobar la lista de actualizaciones disponibles. El atacante podría interceptar esta petición e inyectar un cuadro de diálogo pidiendo la contraseña de iTunes.
- «Intercambio» de la app: Cuando la víctima busca una app y hace click en instalar, App Store realiza una petición con el ID de la app deseada. Este podría ser cambiado por el atacante interceptando la petición e instalándose en última instancia la app deseada por el atacante.
- Actualización falsa: Sería posible manipular la página de actualizaciones disponibles en App Store, para así instalar una app falsa.
- Evitar instalar una app: Se podría reemplazar la ID de una app que se desee descargar por una app ya instalada, evitando así que la víctima instale un app en concreto.
- Revelación de aplicaciones instaladas: cuando se consulta la lista de actualizaciones disponibles, se envía una lista de las app instaladas en el dispositivo que puede ser visualizada por cualquiera en la red local.
A raíz de tales posibles escenarios, Apple ha decidido usar HTTPS en vez de HTTP, solucionando todos estos problemas de una vez. Ahora se han dado detalles técnicos sobre cómo realizar cada ataque, disponibles en el apartado de más información.
Más información:
Apple finally turns HTTPS on for the App Store, fixing a lot of vulnerabilities
iOs App Store password stealing attack
iOS App swap attack
iOs App Store fake upgrade attack
Fernando Castillo
Sergio de los Santos
Twitter: @ssantosv
