Medio millón de usuarios expuestos por la falta de cifrado en apps móviles
Las 16 empresas han comenzado a añadir cifrado a sus aplicaciones móviles, después de descubrir fallos en la encriptación de información en tránsito de tarjetas de pago, lo que ha dejado expuestos a riesgos a sus propietarios.
Las aplicaciones no estaban utilizando el protocolo de cifrado SSL/TLS (Secure Sockets Layer/Transport Layer Security), que permite codificar los datos que se envían por Internet, según asegura Wandera, un proveedor de seguridad móvil y cloud.
Según PCWorld.com, cinco de las 16 empresas identificadas por Wandera ya han arreglado sus problemas. Es el caso de easyJet, Chiltern Railways, San Diego Zoo, CN Tower y Aer Lingus, que una vez advertidas por la firma lo han solucionado. Se estima que en conjunto dan servicio a 500.000 usuarios al día.
Wandera detectó los problemas mientras analizaba los flujos de tráfico de los clientes que utilizan su app de seguridad móvil y su tecnología de gateway.
El protocolo SSL/TLS se considera una práctica estándar para protegerse contra las brechas de seguridad cuando se transmite información como credenciales de registro, información personal o datos de tarjetas de crédito, y este tipo de conexiones cifradas se reconocen en la URL del navegador por el icono del candado y las letras “https”.
De no adoptarse, cualquier usuario que entre en la misma red, por ejemplo, a través de un hotspot Wi-Fi público, puede acceder al tráfico y ver la información sin problema.
Las aplicaciones móviles a menudo realizan múltiples conexiones a servicios de backend, y todas ellas deben ser tratadas con la misma protección, según los expertos.
