No hace mucho, Apple tuvo que sacar la versión iOS 4.3.2 e iOS 4.2.7 para añadir una blacklist de certificados digitales falsos robados a Comodo, y ayer mismo nos quejábamos de que esperamos que suceda lo mismo con los certificados falsos creados con cuentas de DigiNotar.
Por otro lado, Apple tuvo que volver a actualizar iOS a la versión 4.3.5 debido a un fallo de validación de BasicsConstraints que permitía realizar ataques man in the middle a conexiones Http-s a dispositivos con iOS, algo que propició la aparición de una nueva versión de la herramienta SSLSniff para atacar a los dispositivos vulnerables.
Por otro lado, Apple tuvo que volver a actualizar iOS a la versión 4.3.5 debido a un fallo de validación de BasicsConstraints que permitía realizar ataques man in the middle a conexiones Http-s a dispositivos con iOS, algo que propició la aparición de una nueva versión de la herramienta SSLSniff para atacar a los dispositivos vulnerables.
A día de hoy, mientas que Apple no actualice el sistema operativo iOS con la blacklist de los certificados digitales de DigiNotar,
navegar en una conexión Http-s desde cualquier dispotivo con iOS, es
decir, iPhone, iPad o iPod Touch, exige una revisión exhaustiva de los
certificados digitales.
Las entidades de certificación de confianza las decide Apple
Mirando todas las opciones de tu terminal llegarás a la conclusión de que no puedes acceder a la lista de entidades de certificación en que confía tu dispositivo. Esta lista de entidades está disponible en la web de Apple para iOS 3.x e iOS 4.x. Sin embargo, lo peor no es que no puedas acceder a ellas, sino que no puedes revocar la confianza en una de ellas en concreto, por lo que debes someterte al criterio de Apple y aceptar la confianza de todas en las que él concede. Esta situación, hace que, a día de hoy no se pueda revocar la confianza a DigiNotar, por ejemplo.
Lo único que se puede ver es la lista de entidades a nivel de usuario en las que sí se confían, y es a ellas, y solo a ellas, a las que puedes quitar la confianza, pero a las que vienen por defecto en el sistema no hay posibilidad.
Apple Safari en Mac OS X
Las entidades de certificación de confianza las decide Apple
Mirando todas las opciones de tu terminal llegarás a la conclusión de que no puedes acceder a la lista de entidades de certificación en que confía tu dispositivo. Esta lista de entidades está disponible en la web de Apple para iOS 3.x e iOS 4.x. Sin embargo, lo peor no es que no puedas acceder a ellas, sino que no puedes revocar la confianza en una de ellas en concreto, por lo que debes someterte al criterio de Apple y aceptar la confianza de todas en las que él concede. Esta situación, hace que, a día de hoy no se pueda revocar la confianza a DigiNotar, por ejemplo.
Lo único que se puede ver es la lista de entidades a nivel de usuario en las que sí se confían, y es a ellas, y solo a ellas, a las que puedes quitar la confianza, pero a las que vienen por defecto en el sistema no hay posibilidad.
Apple Safari en Mac OS X
En el caso de Mac OS X, usando Apple Safari, se puede acceder a las
opciones del certificado digital haciendo clic en la parte derecha de la
barra de direcciones o sobre el icóno del candado que aparece en la
esquina superior derecha, donde aparece la información del nombre de
dominio del certificado.
 |
| Figura 1: Revisión de un certificado digital en Mac OS X con Apple Safari |
Como se puede ver, Paypal tiene un certificado con
validación extendida, es decir, que ha sufrido una revisión manual de
todo el proceso de generación del mismo, y como tal aparece reflejado en
la información. Sin embargo... ¿se puede hacer esta revisión en iPad - y
en iPhone e iPod Touch por consiguiente -? Estos son los resultados
obtenidos.
Apple Safari en iPad: No se puede ver la informaicón del certificado
Apple Safari en iPad: No se puede ver la informaicón del certificado
Conexión a una página web con certificado de validación extendida:
En la imagen siguente se puede ver como, en la conexión a Paypal, que
tiene un certificado de validación extendida, desde Apple Safari, solo
aparece un pequeño icóno de un candadito en la barra de título y las
letras en verde (¡fíjate bien!).
 |
| Figura 2: Certificado de validación extendida en Apple Safari para iPad |
El color de la fuente se ve con dificultad y hace falta prestar mucha atención. Sería conveniente buscar alguna manera de resaltar más esa característica.
Conexión a un página web con un certificado sin validación extendida: Para hacer esta prueba nos conectamos a https://aeat.es,
que no tiene un certificado de validación extendida, y lo que se
obtiene es exactamente el mismo icono, pero la fuente es de color negro.
 |
| Figura 3: Certificado digital sin validación extendida |
Conexión a un página con contenido HTTPs y HTTP: Para hacer esta prueba nos conectamos a https://www.apple.com, que no tiene un certificado de validación extendida, y tiene contenido mixto HTTP en la página principal, tal y como se puede ver en la siguiente imagen.
 |
| Figura 4: Petición https a un servidor con contenido mixto |
Lo único que sucece es que desaparece ese pequeño iconito de la barra de
título, y listo. Para los usuarios, que han puesto HTTP-S pueden pensar
que su conexión es totalmente segura, ya que no hay alerta de contenido
mixmo.
 |
| Figura 5: Desaparece el candadito |
En sistemas iOS, hemos probado Diigo Browser, el navegador al estilo Chrome que permite cambiar el USER-Agent de navegación en iOS,
y el resultado ha sido peor, ya que no diferencia ninguna situación y
toma el protocolo HTTP-s como eso, como solo un protolo de acceso, no
dando ninguna alerta ante contenido mixto o certificados de validación
extendida.
 |
| Figura 6: validacion extendida sin ninguna alerta |
 |
| Figura 7: Contenido mixto. Tampoco hay alerta |
Imposible la revisión manual de certificados digitales
Sin embargo, lo peor de todo que nos hemos topado en Apple Safari para iPad o Diigo Browser para iPad es que, en ningún momento hemos sido capaces de ver la información del certificado digital para poder hacer una revisión manual y ver por quién estaba firmado.
Creemos que primar el diseño y la estética sobre la seguridad es un
problema, como también se vio con las barras de título en Safari que se
podían hacer desaparecer y hacían las delicias de los phishers en iPhone e iPad, más cuando la situación actual ha dejado claro que los ciberdelincuentes aprovechan cualquier resquicio para sacar provecho.
0 comentarios:
Publicar un comentario