#50 Según el texto del artículo "ya que el usuario ha podido instalar en su teléfono móvil el certificado del atacante así que todas las comunicaciones quedarían expuestas".
Sobre #21, no dice que no haya añadido estos certificados autofirmados manualmente a través de los ajustes de iOS, sólo "que se están fiando de un CA que no es el suyo".
#49#47#31 Según dice el autor del post ( #21 ) no es necesario añadir ninguna CA ni modificar nada en el teléfono, ya que la aplicación acepta certificados autofirmados sin mostrar siquiera un mensaje de warning.
#40 Para que eso funcionase, también necesitaría añadir una CA propia a tu teléfono, y no sólo "compremetería" la aplicación del BBVA, sino todo el tráfico de tu navegador, el correo y muchas otras aplicaciones (facebook, twitter, etc)... Que no es una vulnerabilidad "exclusiva" de la aplicación, si no de todo el dispositivo.
No voy a negar que utilizando su propio almacén de CAs de confianza mejoraría bastante la seguridad (el SSL Pinning es una exageración con muy poca visión de futuro), pero confiar en el almacén de CA del teléfono no es una vulnerabilidad en sí ni mala seguridad, como mucho un exceso de confianza.
A ver, no seamos alarmistas. Si en el navegador de tu PC te meten una CA de un "hacker" estás igual de jodido o peor.
Y sobre lo de cifrar con AES los datos... ya van cifrados así! El SSL usa AES desde hace años como principal algoritmo. Cifrar de nuevo los datos sólo traslada el problema a cómo almacenas esa segunda contraseña para el AES adicional y cómo se gestiona en caso de reinstalar la aplicación.
Y en cuanto a meterse con los programadores (#10 : Malos programadores detrás de la plataforma) me parece absurdo y de mal gusto: el programador debe ajustarse a las especificaciones que le piden. Muy posiblemente hubiese dos (o más) equipos, uno para la App móvil y otro para el servidor y se decidiese comunicar ambos de una manera concreta (xml + https o cualquier otra variante).
No echemos las culpas del diseño a un programador...
#10 Malos programadores? o malos gestores de proyecto/arquitectos/analistas funcionales/analistas técnicos?
En un proyecto un programador hace lo que le manda el analista ni más ni menos. El programador es un albañil del software que hace lo que se le manda (y cobra como tal). No puedes acusar al albañil de poner una puerta de casa que no es suficientemente segura si el que le da las órdenes le dijo que pusiera esa puerta.
La responsabilidad tiene que estar en el diseño, no en el que lo aplica (si lo ha aplicado tal y como se le pidió)
#10 El problema es la degradación de la industria, a los buenos profesionales en vez de subirles el sueldo los ascienden a puestos de gestión y son reemplazados por recién llegados que cobran 800 euros sin experiencia alguna. El BBVA funcionará como muchos bancos con grandes consultoras que tienen esta forma de trabajar, no pueden tener a programadores muy buenos de iOS porque no los pagan. Yo creo que por ahí van los tiros. #23 No había leído tu comentario, en Everis habrán empezado con iOS hace nada y no habrán fichado a un crack sino a 4 mileuristas y habrán recolocado a alguien de Java.
he buscado un poco por google qué consultora se había hecho cargo de la aplicación y me he encontrado con Everis... esa cárnica de la que todos hablan mal (aunque todavía no he oído hablar a nadie bien de su cárnica), podéis buscar por google las opiniones de sus trabajadores.
Los trabajadores del sector TIC lo han dicho muchas veces.. si pagas con cacahuetes en condiciones lamentables contratarás monos a los que les importa un pimiento el resultado final, esto es un ejemplo.
#16 Que la app no chequee que el cert. está expedido por una AC válida es lo mas grave de todo. Y no lo mencionas en el post, sino cosas como el pinning y que van cosas en claro, en lugar de esto que si que es importante.
#7 No va en claro. Se envía por HTTPS. Él lo está viendo porque ha configurado un proxy en el móvil que lo envía a un tunel HTTPs que falsea los certificados (SSL MITM).
#0 No daba error de certificado?? No me creo que esté tan mal como para no quejarse de eso. Eso si que sería grave.
El SSL Pinning está bien, pero es difícil de desplegar (tiene que mantenerse un certificado firmado por una Autoridad certificadora concreta en el tiempo en ese servicio.) A la hora de programarlo parece buena idea, pero cuando el servicio lleva ¿años? y el certificado caduca, nadie se acuerda o no queda nadie y se lía petarda.
No creo que la aplicación esté tan mal (todas las apps bancarias son de este estilo), y mas bien creo que es lo que dice #11 seguramente se tengan que integrar con un demonio escrito en COBOL allá por el precámbrico por eso mandan datos esos datos, aunque ya puestos no estaría mal que los cifrasen.
#10 No creo que sea cuestion de malos programadores, yo soy programador y a mi como a cualquiera que tenga medio dedo de frente le saltan las alarmas viendo algo asi, no es de recibo que nadie alli , informatico o no, pase por encima un golpe asi contra tu propia seguridad. No tiene ningun sentido. No se me ocurre otra cosa que sea algun tipo de compatibilidad con algun sistema del pleistoceno o algo similar. Sino es para colgarlos.
#7 Pues si lo que pudiera ver en streaming fuera por ejemplo Netflix, Hulu, etc, estaría muy bien (bueno, puedo hacerlo pero montando un lío con una VPN, ver esto:
Lo que evidentemente es una gilipollez es que por restricciones regionales sólo pueda ver a través de internet lo que ya puedo ver vía antena. Para eso que se ahorren todo el esfuerzo.
#59 ann_pe 
