Durante los últimos años hemos vivido un aumento de las prestaciones de los teléfonos móviles, culminando en las dos plataformas, a día de hoy, por excelencia de este mercado, el iPhone de Apple y los fabricantes que han abrazado a Android como sistema operativo. Tenemos más potencia de cálculo en cualquiera de esos teléfonos, con gigas de almacenamiento y algunos con hasta un giga de RAM que lo que era habitual en un PC de sobremesa no hace mucho. Alrededor de las plataformas han empezado a aparecer aplicaciones para dotar de más funcionalidad a los móviles.
Sin embargo, y a pesar del intento de los fabricantes, en especial Apple, por controlar que se ejecuta en las plataformas, los problemas de seguridad han hecho acto de presencia, y se han ido corrigiendo con mayor o menor grado de éxito. Sin embargo, no siempre han aparecido versiones de los sistemas operativos que ejecutan los móviles para todos los sistemas. Los ciclos de desarrollo y soporte de producto (unos cuatro años Apple, el caso que más conozco), ha dejado a todos los usuarios de móviles más antiguos que el 3G sin recibir importantes actualizaciones de seguridad. Esto es aplicable a muchas otras platoformas móviles, porque no suele ser normal que los usuarios actualicen el firmware de los mismos. No está mal recordar que Microsoft tuvo que implementar el Windows Update para que los usuarios de sus sistemas operativos instalaran las correcciones de los programas que iba publicando.
Sin embargo, me voy a centrar en un problema que salió a la luz pública hace unas semanas para darnos cuenta de los problemas que pueden surgir por la falta de actualización de los móviles: Hace unas tres semanas se supo que la autoridad de certificación Comodo había sufrido una intrusión que permitió generar varios certificados fraudulentos. Comodo es una autoridad de certificación que por defecto está incluida en Windows, MacOS X y Firefox, y es más que probable que esté incluida en varias plataformas móviles que usamos. Leyendo sobre en Sophos sobre los certificados fraudulentos, vemos que cualquiera que los tenga, podrá hacerse pasar por las máquinas HTTPS encargadas de gestionar los procesos de accesos a Gmail o Hotmail: Un tercero podría robar nuestras contraseñas sin problemas, puesto que estos certificados fraudulentos están firmados por una autoridad de certificación en la cual la mayoría de los navegadores confían por defecto.
Una vez que se descubrió el problema, empezaron a aparecer parches para todos los sistemas, donde ponían en una lista de negra dichos certificacos, para evitar los fraudes. ¿Para todos los sistemas?. ¿Qué pasa con las plataformas móviles?.
Pues por poner un ejemplo, para el iPhone 3G no hay ningún parche que cierre este boquete de seguridad. En otras plataformas, por ejemplo la multitud de móviles de Nokia que tienen navegador, es complicado saber si existe una actualización para este tipo de cosas. Y lo peor, al menos en la versión 4.2 de iOS que es la que lleva el 3G es que no hay manera de saber si la gestión SSL del mismo utiliza algún tipo de protocolo como OCSP o listas de revocación de certificados para comprobar la validad de los certificados SSL que le muestran lo servidores, llegando el caso de que navengando desde un dispositivo con este problema consigan engañar al sistema y se conecte a un servidor malicioso haciéndose pasar por cualquiera de los sitios legítimos. Y todo tanto por la falta de dilegencia de Apple para parchear estos agujeros como de la falta de información de las plataformas móviles para saber si hay que actualizar los sistemas.
Como colofón, en MacOS X para los que tengáis una versión vieja, se puede configurar el sistema para que consulte a servidores OCSP o listas de revocación para comprobar la validez de los certificados que nos dan los servidores.
Actualización
Tras buscar, he conseguido la lista de certificados raíces de iOS 3.x y la lista de certificados raíces de iOS 4.x, donde podemos ver el certificado raíz de comodo:
C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=COMODO Certification Authority
Subject Name
Country Name : GB
State or Province Name : Greater Manchester
Locality Name : Salford
Organization Name : COMODO CA Limited
Common Name : COMODO Certification Authority
Issuer Name
Country Name : GB
State or Province Name : Greater Manchester
Locality Name : Salford
Organization Name : COMODO CA Limited
Common Name : COMODO Certification Authority
Version : 3
Serial Number : 4E 81 2D 8A 82 65 E0 0B 02 EE 3E 35 02 46 E5 3D
Signature Algorithm
Algorithm : SHA-1 with RSA Encryption
Parameters : none
De este tema hablan también en Update your Apple devices to iOS 4.3, or risk malicious code attacks en Nakedsecurity.
Technorati Tags: seguridad