La empresa de seguridad Wandera escaneó más de 30.000 aplicaciones de iOS y descubrió que el 67,7% de ellas deshabilita la seguridad de transporte de aplicaciones a propósito.
Seguridad de transporte de aplicaciones
App Transport Security (ATS) requiere que las aplicaciones admitan las mejores prácticas HTTPS o declaren sus limitaciones de seguridad a través de una propiedad en su info.plist. En 2016, Apple anunció que exigiría ATS para todas las aplicaciones de iOS en enero de 2017, pero retrocedió en diciembre de 2016.
Los desarrolladores de aplicaciones pueden tener buenas razones para deshabilitar ATS. Las aplicaciones hablan con publicidad de terceros, estudios de mercado, análisis y servicios de alojamiento de archivos, y estos servicios externos pueden no admitir conexiones HTTPS. Las redes de publicidad como MoPub y Google AdMob recomiendan deshabilitar ATS por completo para garantizar que los anuncios se carguen correctamente.
Wandera dice que la razón por la que las aplicaciones no usan ATS se debe a la publicidad. Los marcos publicitarios a menudo incluyen en su documentación para deshabilitar ATS. Esto evita que iOS bloquee la comunicación de red con los servidores de anuncios si hay un error.
Sin embargo, la empresa de seguridad advierte que, aunque las aplicaciones deshabilitan ATS, eso no significa necesariamente que no estén usando conexiones HTTPS cifradas. Simplemente significa que las protecciones del sistema están deshabilitadas y hay mucho más margen para errores.
Otras lecturas:
[Google Instructs Advertisers on How to Bypass Apple Security]
[iOS Developers Get More Time To Use ATS]
