Apple detendría la próxima semana el soporte de un protocolo de cifrado para contener una severa vulnerabilidad, sostuvo la compañía el miércoles. El soporte para SSL 3.0 cesará el 29 de octubre, afirmó.
“Los proveedores que usan solo SSL 3.0 necesitarán soportar TLS tan pronto como sea posible para asegurar que el servicio Apple Push Notification continúe funcionando como se espera”, de acuerdo a una nota para desarrolladores. “Los proveedores que soportan tanto TLS y SSL 3.0 no se verán afectado y no requerirán de cambios”.
Los investigadores de Google revelaron la semana pasada que habían encontrado una falla en SSL (Secure Sockets Layer) versión 3.0, que fue lanzada hace más de 15 años. SSL ha sido reemplazado por TLS (Transport Layer Security), pero las versiones antiguas aún siguen siendo utilizadas en algunos servidores en Internet y son soportadas por los navegadores web.
Los investigadores encontraron que era posible usar un ataque de ‘hombre en el medio’ -al que se le llama “POODLE”- para modificar la conexión SSL/TLS a la versión -menos segura- 3.0, en donde la falla podía permitir a un atacante robar las cookiesde autenticación de una persona. El atacante y la víctima deben encontrarse en la misma red, lo cual establece un riesgo para las personas que usan Wi-Fi públicas.
Apple afirmó que ya había deshabilitado SSL 3.0 en la interfaz Provider Communication en su ambiente de desarrollo, lo cual permitirá a los desarrolladores evaluar y asegurarse que las notificaciones seguirán llegando a sus aplicaciones.
Muchas compañías han dejado de soportar SSL 3.0 debido a la falla, uno de cada tres encontró que afecta a una amplia gama de productos en Internet, incluyendo la vulnerabilidad “Shellshock” y “Heartbleed” en OpenSSL.
Jeremy Kirk, IDG News Service