iTunes no cifra contraseñas y permite activar iPhones sin pasar por iCloud

29/11/2018

Un nuevo fallo de seguridad demuestra que las contraseñas de iTunes son fáciles de interceptar porque no se encriptan antes de enviar al servidor de Apple.

En iTunes, los usuarios tienen que usar su ID Apple para muchos propósitos, por ejemplo para comprar música, comprar apps y videojuegos o activar su iPhone.

De acuerdo con el investigador de seguridad Mark Loman, los usuarios son vulnerables porque no se enteran cuando conectan con un servidor no seguro.

Normalmente no debería ser un problema no encriptar las contraseñas cuando se trata de una conexión SSL porque ya en sí la conexión se cifra. La vulneridad adicional es que todas las conexiones se hacen contra un mismo servidor y no se comprueban los certificados.

Esto es un error de principiantes, por ejemplo los servicios de inteligencia de la NSA podrían fácilmente interceptar todas las comunicaciones con iCloud

afirma Mark Loman

El proceso es muy fácil y le bastaría a un hacker simplemente interceptar la comunicación con una Wi-Fi comprometida en un hotel, restaurante o aeropuerto falseando las tablas del servidor DNS.

Además, es posible omitir el proceso de activación de los dispositivos iOS. Puede utilizarse para dispositivos que han sido bloqueados por robo. Incluso hay un servicio que utiliza esta vulnerabilidad para activar dispositivos iOS bloqueados que se venden en internet.

Apple lo que arregla hoy rompe mañana

En Apple últimamente vengo observando algo muy extraño que no sé si podré explicar. De vuelta a OS X Snow Leopard, fue el primer sistema operativo que intentó ser de 64bit en procesadores Intel con la confusión de EFI32 y EFI64.

Unos de los primeros fallos fue en la aplicación Apple Mail y la migración de cuentas Gmail. Éste problema fue solucionado en sucesivas actualizaciones.

Actualización de Mac OS X v10.6.1
Soluciona casos en los que la configuración automática de cuentas de Mail podía no funcionar
Soluciona los problemas que se producían al enviar correo con ciertos servidores SMTP

Más adelante el navegador Safari tenía unos problemas con los vídeos flash player que al visonarlos se paraban a los 5 segundos. Éste problema también fue solucionado.

De vuelta a OS X Mavericks, el primer sistema operativo real de la compañía de 64bit, regresan los problemas de Apple Mail y Safari que también se actualizaron.

Actualización de Mail para Mavericks
Incluye otras soluciones que mejoran la compatibilidad y la estabilidad de Mail

Más recientemente, en iTunes se parcheó la vulneridad SSL, así como en iOS 7.0.6 y OS X Mavericks 10.9.2.

De vuelta a iTunes 11.2.1, la compañía actualizó la aplicación para devolver una característica, sincronizar nuestra lista de contactos sin pasar por iCloud.

Con ésta actualización nuevamente regresa la vulneridad SSL. ¿Complicado verdad?

Es algo así como si en Apple, Craig Federighi no conoce el código fuente de las aplicaciones que tienen y cuando toca una actualización olvida los parches anteriores.

O eso, o es intencionado porque está científicamente demostrado que es imposible que una compañía tropiece en la misma piedra 234.000 veces consecutivas.

En Applesana | Vuelven a hackear Apple, iCloud deja de funcionar Encontrar mi iPhone

mac-os-x icloud iphone-5s itunes seguridad-apple
Mapa web | Política de cookies. | Aviso Legal y Política de Privacidad. | Contactar. | Sponsors: /blog/itunes-no-cifra-contrasenas-y-permite-activar-iphones-sin-pasar-por-icloud.html

Country:US