Apple elimina SSL 3.0 de su servicio de notificaciones en respuesta al bug POODLE

Ricardo Cambre
9 9 22
Noticias » Internet
Apple ha comunicado a desarrolladores el fin del soporte para SSL 3.0 en el sistema de notificaciones push (APNs) para iOS y OS X. Esta medida llega como respuesta al reciente descubrimiento de POODLE, un bug crítico en el veterano estándar de cifrado que posibilita ataques man-in-the-middle para acceder a datos personales.

El próximo miércoles 29 de octubre, la firma de Cupertino eliminará la compatibilidad con SSL 3.0 del servidor que provee las APNs. A partir de esa fecha, las aplicaciones compatibles con esta función solo podrán hacer uso del estándar TLS, el sucesor de SSL que no sufre la misma vulnerabilidad.

"Los proveedores que únicamente utilicen SSL 3.0 deberán dar soporte a TLS tan pronto como sea posible para asegurar que el servicio de notificaciones push de Apple continúa funcionando como de costumbre", reza el comunicado para desarrolladores. "Los proveedores que den soporte tanto a TLS como a SSL 3.0 no se verán afectados y no requerirán ningún cambio".

Para que los desarrolladores puedan realizar pruebas de compatibilidad fácilmente, Apple ya ha desactivado SSL 3.0 en el entorno de desarrollo de su interfaz de comunicación para proveedores. Esto permitirá comprobar el correcto envío de notificaciones con la nueva configuración del servicio antes del cambio definitivo.

Con esta precaución, Apple se suma a la creciente lista de reacciones al descubrimiento de POODLE. Twitter ha sido una de las primeras empresas en mover ficha con la desactivación del protocolo vulnerable en todas sus versiones, mientras que Mozilla planea hacerlo en la próxima versión de Firefox, de momento en beta.
22 comentarios
  1. Buena respuesta por parte de Apple
  2. (imagen)

    No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

    Y sobre los ataques del hombre entre medio, a menos que sea un sistema importante de mantener la privacidad, no es necesario. Por ejemplo, el otrolado.net no usa encriptacion y por lo tanto esta "expuesto" a estos ataques.
  3. Magallanes escribió:No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

    Y sobre los ataques del hombre entre medio, a menos que sea un sistema importante de mantener la privacidad, no es necesario. Por ejemplo, el otrolado.net no usa encriptacion y por lo tanto esta "expuesto" a estos ataques.


    Mejor dejarlo y que se puedan acceder a datos personales no?
    Apple da unos días para actualizar las aplicaciones que utilicen SSL 3.0 por lo que quien se quede "fuera del mercado" es porque quiere.
  4. Magallanes escribió:(imagen)

    No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

    Y sobre los ataques del hombre entre medio, a menos que sea un sistema importante de mantener la privacidad, no es necesario. Por ejemplo, el otrolado.net no usa encriptacion y por lo tanto esta "expuesto" a estos ataques.


    es que el otrolado deberia usar ssl igual que todo el mundo deberiamos utilizar https, yo llevo mas de dos años usando una llave otp yubico con varios factores de auth
  5. Suq'ata escribió:Buena respuesta por parte de Apple


    WTF?

    Lo suyo sería que solucionaran el problema corrigiendo el bug en vez de quitarlo y dejar en bragas a un monton de gente, digo yo vamos... Es como si Google te hace desinstalar el Chrome porque han encontrado un bug, coño pues que lo arreglen!
  6. erikoptero escribió:
    Suq'ata escribió:Buena respuesta por parte de Apple


    WTF?

    Lo suyo sería que solucionaran el problema corrigiendo el bug en vez de quitarlo y dejar en bragas a un monton de gente, digo yo vamos... Es como si Google te hace desinstalar el Chrome porque han encontrado un bug, coño pues que lo arreglen!


    Para qué va a arreglar Apple un bug de un protocolo obsoleto, aparte que dudo que nadie vaya a arreglarlo
  7. erikoptero escribió:
    Suq'ata escribió:Buena respuesta por parte de Apple


    WTF?

    Lo suyo sería que solucionaran el problema corrigiendo el bug en vez de quitarlo y dejar en bragas a un monton de gente, digo yo vamos... Es como si Google te hace desinstalar el Chrome porque han encontrado un bug, coño pues que lo arreglen!


    Vamos a ver, es un fallo del protocolo, no de la implementación de Apple, no se puede arreglar, la única forma de arreglarlo, seria cambiar el protocolo, pero entonces dejaría de ser ese protocolo y por tanto dejaría de funcionar. Lo mas sensato es dejar de dar soporte y hacer que el que lo use migre a protocolos mas seguros.
  8. AkGlo escribió:
    Magallanes escribió:No funciona asi, no puedes quitar un protocolo solo porque se encontro una vulnerabilidad. Los programas que se conectan a servicios que usan SSL 3.0 simplemente van a quedar fuera del mercado.

    Y sobre los ataques del hombre entre medio, a menos que sea un sistema importante de mantener la privacidad, no es necesario. Por ejemplo, el otrolado.net no usa encriptacion y por lo tanto esta "expuesto" a estos ataques.


    Mejor dejarlo y que se puedan acceder a datos personales no?
    Apple da unos días para actualizar las aplicaciones que utilicen SSL 3.0 por lo que quien se quede "fuera del mercado" es porque quiere.


    Solamente si hay un hombre entre medio. En que casos?.

    a) Si alguien intercepta tu comunicacion en una red local si y solo si se usa HUB. Si se usa Switch entonces, no es posible interceptar.
    b) Si alguien intercepta tu comunicacion en una red wifi que use HUB y que sea abierta. Es decir, un wifi abierto.
    c) Si uno se conecta a un proxy peligroso, Esto incluso sirve para atacar TLS

    Que pasa si Apple quita SSL3?.
    Simple, todos los servicios y pagina web que utilicen ese protocolo, los usuarios de Apple no van a poder conectarse.
  9. gente que ha leido apple y no sabe lo que es ssl3 y aun asi critica #estoeselotrolado [facepalm]
  10. Magallanes escribió:Que pasa si Apple quita SSL3?.
    Simple, todos los servicios y pagina web que utilicen ese protocolo, los usuarios de Apple no van a poder conectarse.


    [reojillo]

    Es el servicio de notificaciones... no están quitando SSL3 de Safari, están haciendo que si quieres utilizar el servicio de notificaciones tengas que hacerlo por TLS ya que otorga mayor seguridad. Es algo que afecta a los proveedores no a los usuarios.

    Mas lógico imposible. ¿Es que todo debe convertirse en una crítica a Apple incluso las cosas positivas? ein?
Ver más comentarios »