Global Preloader
Vulnerabilidad
(08/Apr/2017) Error en la Apple Music para Android expone datos de usuarios

Error en la Apple Music para Android expone datos de usuarios

Una actualización publicada esta semana por Apple para la aplicación Apple Music para Android aborda un problema de validación de certificados que puede explotarse para interceptar datos potencialmente confidenciales.

Además de un nuevo diseño y nuevas características, la versión 2.0 de Apple Music para Android, que según Google Play tiene entre 10 y 50 millones de instalaciones, corrige una vulnerabilidad que puede permitir a un atacante MitM (hombre en el medio) Obtener información del usuario.

La vulnerabilidad, rastreada como CVE-2017-2387, fue reportada a Apple por David Coomber de Info-Sec.CA en agosto de 2016. En ese momento, el investigador determinó que el fallo había afectado a Apple Music 1.2.1 y versiones anteriores de la aplicación de Android.

En un comunicado publicado esta semana, Coomber dijo que pidió a Apple una actualización de estado en enero, y la compañía dijo que todavía estaba trabajando para solucionar el problema de la seguridad.

El problema, según el investigador, era que la aplicación no validaba los certificados SSL recibidos al conectarse a los servidores de inicio de sesión y de pago.

"Un atacante que puede realizar un ataque de hombre en el medio puede presentar falsos certificados SSL que la aplicación aceptará en silencio", explicó Coomber en su informe. "La información sensible podría ser capturada por un atacante sin el conocimiento del usuario."

Vale la pena señalar que este parece ser el primer aviso de seguridad publicado por Apple para la aplicación de música. La aplicación de Android fue introducida en noviembre de 2015.