Seguridad en aplicaciones web
La mayoría, si no todas, las aplicaciones sensibles a la seguridad utilizan lo que se conoce como conexión TLS para crear un enlace cifrado de forma segura entre sus servidores y su teléfono. Esto asegura que cuando esté, por ejemplo, haciendo sus operaciones bancarias en su teléfono, en realidad se está comunicando con su banco y no con un servidor aleatorio y potencialmente peligroso.
Solo hay un pequeño problema: según un documento presentado el miércoles en la Conferencia Anual de Aplicaciones de Seguridad Informática en Orlando, los investigadores de la Universidad de Birmingham encontraron que nueve aplicaciones bancarias populares no han tomado las precauciones adecuadas al configurar su conexión TLS. Estas aplicaciones tienen una base de usuarios combinada de 10 millones de personas, todas cuyas credenciales de inicio de sesión bancarias podrían haber sido comprometidas si se explotara esta falla.
"Esto es serio, los usuarios confían en que estos bancos pueden hacer sus operaciones de seguridad", dice Chris McMahon Stone, un estudiante de doctorado en seguridad informática de la Universidad de Birmingham, Inverso. "Esta falla ahora está arreglada, la hemos divulgado a todos los bancos involucrados. Pero si un atacante conocía esta vulnerabilidad y dice que un usuario está ejecutando una aplicación desactualizada, sería muy trivial de explotar. El único requisito es que el atacante tenga que estar en la misma red que su víctima, así como una red WiFi pública.
Aquí está la lista de aplicaciones afectadas, por el papel.
Se supone que la conexión TLS debe garantizar que cuando ingrese su información de inicio de sesión en el banco, solo la esté enviando a su banco y a nadie más. Esta precaución de seguridad es un proceso de dos pasos.
Comienza con los bancos u otras entidades que envían un certificado firmado criptográficamente, verificando que realmente son quienes dicen ser. Estas firmas son entregadas por las autoridades de certificación, que son terceros de confianza en este proceso.
Una vez que se envía este certificado (y la aplicación se asegura de que es legítimo), se debe verificar el nombre de host del servidor. Simplemente se trata de verificar el nombre del servidor al que intenta conectarse para asegurarse de que no está estableciendo una conexión con nadie más.
Es este segundo paso donde estos bancos dejaron caer la pelota.
"Algunas de estas aplicaciones que descubrimos comprobaban que el certificado estaba firmado correctamente, pero no estaban verificando el nombre de host correctamente", dice Stone. "Por lo que esperarían cualquier certificado válido para cualquier servidor".
Esto significa que un atacante podría falsificar un certificado y montar un ataque de hombre en el medio. Donde el atacante aloja la conexión entre el banco y el usuario. Esto les daría acceso a todos La información enviada durante esa conexión.
Si bien esta falla se ha corregido, si utiliza alguna de las aplicaciones enumeradas anteriormente, debe asegúrese de que su aplicación esté actualizada para obtener la solución. Stone también recomienda encarecidamente a las personas que realicen sus operaciones bancarias móviles en el hogar, y que tengan su propia red para evitar cualquier posibilidad de un ataque de hombre en el medio.
Mantente a salvo en la web, amigos.
Hello Kitty es hackeado: la información para 3.3 millones de usuarios se vuelve salvaje
Hello Kitty, ya sabes, ese juguete de semejanza de un gatito inquietante y sin vida aún expresivo, inquietante, tenía sus bases de datos en línea violadas, hackeadas y liberadas en la naturaleza. (Se podría decir que toda la información de los usuarios supuestamente privados de Sanrio fue feroz). La información incluía casi todo, desde los nombres completos de los usuarios y ...
Se han filtrado 272 millones de contraseñas de correo electrónico, pero hay un poco de buenas noticias
Han surgido nombres de usuario y contraseñas para los servicios de correo electrónico más grandes del mundo, luego de una investigación realizada por un analista de seguridad que detectó a un pirata informático famoso. Pero hay una buena noticia: la mayor parte de las contraseñas pertenecen a un cliente de correo electrónico ruso, lo que significa que cualquiera sin un ...
Las mejores aplicaciones de entrenamiento: 6 aplicaciones de ejercicios gratuitas porque las resoluciones son difíciles
2018 es el año en el que realmente comenzará (y mantendrá) una rutina de salud y acondicionamiento físico. Aquí hay un poco de motivación e instrucción asistidas por la aplicación para comenzar con el pie derecho.