Apple dijo el pasado sábado que está trabajando para corregir un defecto en OS X que podría, en algunos casos, permitir a los hackers interceptar la comunicación enviada a través de protocolos de seguridad SSL / TSL. El mismo error fue parcheado en una actualización iOS que la compañía lanzó el viernes. Concretamente la iOS 7.0.6
En una declaración entregada a Reuters, Apple confirmó que el fallo de seguridad en el protocolo SSL / TSL del último iOS 7.0.2 también está presente en OS X. La compañía de Cupertino, dijo que espera tener una actualización de software lista para el lanzamiento “muy pronto “.
Apple y los parches a contrareloj.
Un atacante con una posición privilegiada en la red puede capturar o modificar los datos de sesiones protegidas por SSL / TLS.
Las declaraciones por parte del portavoz de Apple, Trudy Muller, fueron las siguientes:
Somos conscientes de este problema y ya tiene una solución de software que estará lista muy pronto
El viernes, Apple silenciosamente lanzó una nueva actualización de software, la iOS 7.0.6, en la que en las notas de acompañamiento se puede leer:
iOS 7.0.6
Seguridad de los datos
Disponible para: iPhone 4 y posteriores, iPod touch (5 ª generación), iPad 2 y posteriores.
Impacto: un atacante con una posición privilegiada en la red puede capturar o modificar los datos de sesiones protegidas por SSL / TLS
Los usuarios finales que no ejecutan el software más reciente pueden estar abiertos a los ataques cuando se conecten a una red compartida. Usuarios con malas intencioes podrían ver, modificar o descargar el correo electrónico y otros datos que se envían a través del protocolo Secure Socket Link, que se encuentra bajo la protección del Transport Layer Security.
En su esencia, el problema se debe a la mala gestión y el reconocimiento defectuoso de los certificados digitales utilizados para establecer conexiones cifradas seguras. En el caso de iOS y OS X, no se encuentra el código necesario para reconocer ese certificado digital, causando una falta de verificación del mismo. Cuando un usuario visita lo que ellos creen que es un sitio de confianza, los hackers pueden potencialmente hacerse pasar por el titular del certificado legítimo y recoger los datos enviados a través de la conexión antes de entregarlas al sitio real.
¿Cuándo se descubrió el pastel?
Aunque no está claro exactamente en qué momento Apple descubrió el fallo, el código de identificación CVE (Common Vulnerabilities and Exposures) para la versión de iOS se reservó y se asigna a un desconocido, el 8 de enero. El CVE es una referencia estándar a disposición del público en busca de vulnerabilidades de seguridad del software conocido.