La vulnerabilidad permite a los hackers interceptar tráfico HTTPS, entre una aplicación vulnerable y un servicio web, y tener acceso al tráfico cifrado. Este tipo de ataques, denominados man-in-the-middle, pueden ser lanzados a través de redes inalámbricas inseguras, hackeando los routers o mediante otros métodos.
Según la firma SourceDNA, que rastrea el uso de componentes de terceros en aplicaciones móviles,existen unas 25.000 aplicaciones de iOS que son potencialmente vulnerables, ya que utilizan AFNetworking 2.5.2 o versiones anteriores.
La vulnerabilidad se reparó en la versión 2.5.3 de AFNetworking, lanzada el pasado 20 de abril.
Según PCWorld.com, de este fallo se informó el 27 de marzo, un día después de que otro diferente se abordase con la versión AFNetworking 2.5.2. Esa vulnerabilidad sólo existía en la versión 2.5.1, lanzada el 9 de febrero, y dejaba expuestas a 1.000 de las 100.000 apps que utilizan AFNetworking. La nueva deja vulnerables también a las apps que utilizan versiones más antiguas de la librería, siempre y cuando utilicen AFNetworking para establecer conexiones HTTPS con los servidores web.
SourceDNA ha creado un servicio online, denominado SearchLight, que permite al usuariocomprobar manualmente si una app de iOS puede ser vulnerable.
Fuente: pcworld.es