miércoles, agosto 03, 2016

Los certificados digitales que usa Apple en su CDN son de peor calidad

Estos días hemos estado desplegando nuevos plugins en nuestro servicio de pentesting persistente Faast, y para probarlos decidí revisar algunas partes de la CDN (Content Delivery Network) que utiliza Apple. Le hemos reportado varios pequeños fallos de seguridad estos días en Apple.com, así que para no insistir sobre los mismos servicios, miré la CDN.

Figura 1: Los certificados digitales que usa Apple en su CDN son de peor calidad

Revisando las alertas en Faast, aparecieron algunas que tenían que ver con los algoritmos criptográficos en los certificados digitales que están en uso en los servidores de la CDN, y quise hacer una comprobación manual para ver si era cierto o no. Como podéis ver, aparecen certificados que abre la posibilidad de ataques como Lucky13 o Bart Mitzvah.

Figura 2: Alerta en Faast sobre el certificado usado en un servidor de la CDN de Apple

Para comprobarlo me fui a la web original de AppleID a ver qué aspecto tenía el certificado digital allí a primera vista. Como podéis ver, en la web no aparece ninguna alerta de seguridad en el navegador Google Chrome.

Figura 3: Web de AppleID sin ninguna alerta de seguridad por el certificado digital

Si hacemos el SSL Test de Qualys sobre los certificados digitales de este sitio web, el resultado es una calidad A-, debido a ausencia de Forward Secrecy y el uso de SHA1.

Figura 4: Certificado digital para AppleID.Apple.com de calidad A-

Si vamos a la web de la CDN para AppleID, podemos ver que a priori el certificado es de más o menos la misma calidad a primera vista, ya que no se obtiene ninguna alerta de seguridad.

Figura 5: Web de AppleID en la CDN de Apple sin alerta de seguridad

Sin embargo, si hacemos de nuevo el test SSL de Qualys podemos encontrarnos con que el resultado es de B, debido a que mantiene el uso de RC4, o lo que es lo mismo, es vulnerable a diferentes ataques como el citado Bart Mitzvah.

Figura 6: El certificado soporta RC4 y recibe una calidad de tipo B

Es solo una curiosidad con la criptografía, pero parecería lógico que la calidad de los certificados que se utilizan en las webs debiera ser exactamente la misma a la de los certificados de la CDN. Hay que decir, eso sí, que no pasan por la CDN exactamente los mismos datos por lo que tal vez por eso no le han dado tanta  importancia. De cualquier modo, es una característica de seguridad que conviene tener presente por si pudiera afectar a algún escenario de ataque.

Saludos Malignos!

No hay comentarios:

Publicar un comentario