TGTGInsightinteligencia telegramLIVE / telegram public index
← TeleNews
SimilaresVer original
TeleNews avatar

TGINSIGHT POST

Post #4166

@TeleNewsTech

TeleNews

Vistas861Número de vistas
Publicado8 ene08/01/2025, 13:42
Contenido del post

Contenido

📱 Gestor de Contraseñas en iOS Hace poco el usuario @mysk_co, del cual ya he publicado sobre él en otro momento, reveló algo interesante que sucede con una aplicación de iOS que supuestamente debería ser lo más segura y privada posible, me refiero al gestor de contraseñas nativo. Aquí la publicación: Varios usuarios compartieron un documento de Apple donde Apple afirma que los íconos se descargan mediante dos relés separados. Gracias por tus comentarios. Si bien el método de Apple parece seguro, tiene sus salvedades. Primero, una aplicación de administración de contraseñas no debería realizar más de 130 llamadas a diferentes dominios. Vimos que un error involuntario provocó que estas llamadas se enviaran en texto sin formato a través de HTTP (CVE-2024-54492). La regla general es que los desarrolladores deberían reducir la superficie de ataque. En segundo lugar, existen diferentes enfoques para descargar íconos de sitios web y cada enfoque tiene sus pros y sus contras. Debería ponerse a disposición de los usuarios preocupados por la privacidad una opción para desactivar esta función. En lo que respecta al enfoque de Apple, el diseño está un poco exagerado. Las observaciones muestran que la aplicación Contraseñas realiza una llamada inicial a un sitio web utilizando la IP real del dispositivo, pero con un agente de usuario genérico. Esto se muestra en los registros del servidor web en la primera captura de pantalla. Luego, la aplicación comienza a usar los relés -como se describe en el documento de Apple- para descargar el ícono usando una IP de relé, pero con un agente de usuario insinuando claramente que la llamada la realiza la aplicación Contraseñas. Aquí está el problema con este enfoque: ¿qué sucede si hay una VPN activa? Bueno, el mecanismo de retransmisión se desactiva y el icono se descarga utilizando la IP de VPN como se muestra en la segunda captura de pantalla. ¿Es esto un problema? Tal vez. (No quiero dar pistas sobre nuestra próxima aplicación centrada en la privacidad 😉). La conclusión: una opción para desactivar la descarga de iconos haría felices a todos los usuarios. Esto no es un problema crítico, pero es algo que no debería ocurrir si de un administrador de contraseñas se trata. Mi recomendación es simple, optar por alternativas de código abierto, seguras y multiplataformas para evitar cualquier tipo de anomalía como Bitwarden, Keepass o Proton Pass. #seguridad@telenewstech