El cifrado de las comunicaciones es algo básico cuando hablamos de transacciones en servicios tan usados hoy en día como puedan ser las tiendas online. Entre estas tiendas online, destacamos las de aplicaciones que utilizan la mayoría de dispositivos móviles actuales. Es precisamente por la utilización de forma masiva de este tipo de tiendas de aplicaciones que no entendemos cómo la App Store de Apple ha estado tanto tiempo sin cifrar las comunicaciones de sus usuarios.
Fue curiosamente un investigador de Google, Elie Bursztein, el que avisó en julio de 2012 a Apple de este fallo de implementación al usar HTTP mientras los usuarios utilizan la App Store para realizar sus compras. Esto significaría que cualquiera que estuviese conectado a la misma red que el usuario podría ver los datos enviados a la tienda de Apple, ya que estos se transmitían en texto plano.
Obviamente, esto suponía un peligro, ya que los datos de la cuenta de iTunes (usuario y contraseña) estaban al alcance de cualquiera que se pusiera a espiar las comunicaciones en una Wi-Fi pública, por ejemplo. Además de este riesgo, existen otros quizás no tan conocidos pero que desde Hispasec se encargan de recordarnos.
Entre estos ataques se encuentra la posibilidad de cambiar la aplicación seleccionada del usuario por otra a la elección del atacante o generar una actualización falsa. Estos ataques tendrían como finalidad instalar una aplicación maliciosa que permitiría, entre otras cosas, que un atacante instalase una puerta trasera en nuestro dispositivo para acceder a él cuando lo desease.
Además, también se podría evitar que se instalase una aplicación sustituyendo su identificador por el de una aplicación ya instalada o mostrar las aplicaciones que se encuentran instaladas en el dispositivo para buscar agujeros de seguridad que aprovechar en ellas.
Por todo eso, Apple ha terminado por empezar a usar HTTPS, una medida que soluciona todos los problemas que hemos comentado anteriormente. Esta es una buena noticia para los millones de usuarios que compran aplicaciones en la App Store, entre otras cosas porque ellos no tendrán que cambiar nada en sus dispositivos, pero sin olvidar que elegir una contraseña segura que solo utilicemos en ese servicio es también una medida importante de seguridad.