Cómo admitir App Transport Security (ATS) en sus aplicaciones iOS AHORA

¿Hacer ejercicio con más frecuencia? ¿Comer alimentos más saludables? ¿Ahorrar más dinero? ¿A qué esfuerzos de superación personal te has comprometido en 2017? Por el bien de su organización y sus clientes, agregue una resolución más a su lista: aumentar la seguridad de sus aplicaciones de iOS al admitir App Transport Security (ATS) para crear una experiencia de cliente más segura y, por lo tanto, de mayor calidad.

¿Qué es la seguridad de transporte de aplicaciones (ATS)?

App Transport Security (ATS) es una función de iOS que obliga a las aplicaciones móviles a conectarse a servidores back-end mediante HTTPS, en lugar de HTTP, para cifrar los datos en tránsito. ATS impone un nivel mínimo de seguridad para las comunicaciones entre una aplicación móvil y los servicios web que respaldan su funcionalidad. Los kits de desarrollo de software (SDK) para iOS 9.0 o posterior habilitan ATS de forma predeterminada, pero los desarrolladores pueden optar por no configurar una aplicación. NSAllowsArbitraryLoads clave para True.

Desafortunadamente, un análisis de las aplicaciones iOS gratuitas más populares en la App Store sugiere que la mayoría de los desarrolladores deshabilitan ATS. Muchos desarrolladores optan por no participar según las instrucciones de su proveedor de biblioteca de anuncios y no se dan cuenta de las consecuencias de hacerlo.

En agosto, el director de investigación de NowSecure, David Weinstein, descubrió que el 80 por ciento de las 50 mejores aplicaciones gratuitas de iOS en la App Store habían desactivado ATS.

Esta semana, David amplió el tamaño de su muestra y evaluó 201 de las aplicaciones iOS gratuitas más populares. Encontró que no se ha hecho ningún progreso en los últimos cinco meses (ver abajo para detalles del análisis de David). En otras palabras, muchas aplicaciones de iOS pueden estar transmitiendo datos confidenciales de manera insegura.

¿Cuándo es la fecha límite para implementar ATS?

En su Conferencia Mundial de Desarrolladores (WWDC) en junio, Apple anunció un requisito que se aplicará a fines de 2016: las aplicaciones enviadas a la App Store deben ser compatibles con ATS. Sin embargo, justo antes de Navidad, Apple pospuso la fecha límite. En este momento, no está claro por cuánto tiempo Apple planea suspender el requisito. Pero no se demore. Tome medidas ahora para admitir ATS en sus aplicaciones de iOS.

¿Cuántas aplicaciones de iOS actualmente admiten ATS?

Un análisis actualizado de 201 de las aplicaciones iOS gratuitas más descargadas en la App Store muestra que el 80 por ciento no es compatible con ATS (nuevamente, indicado por un NSAllowsArbitraryLoads clave establecida en True). Si bien es una muestra limitada, sugiere que los desarrolladores de iOS no están prestando atención a la llamada de Apple.

¿Cuántas aplicaciones de iOS son compatibles con App Transport Security (ATS)?

¿Hay alguna buena razón para deshabilitar ATS?

Las comunicaciones sin cifrar entre una aplicación de iOS y los servidores back-end exponen datos confidenciales. Los datos de la aplicación sin protección violan la privacidad de sus usuarios y aumentan el riesgo de un incidente de seguridad. La falta de protección de los usuarios puede dañar su marca, inhibir la adopción por parte de los usuarios, aumentar la rotación y amenazar las fuentes de ingresos.

Los desarrolladores pueden pregunta a Apple por las excepciones a la regla con justificación. MoPub, un proveedor de alojamiento de anuncios móviles propiedad de Twitter, afirma que una posible justificación es «cargar contenido web de una variedad de fuentes (para anuncios)».

Habilitar ATS no es necesariamente fácil. Dependiendo de la cantidad de dominios o bibliotecas de terceros que una aplicación necesita para funcionar, configurar los servidores para comunicarse con una aplicación móvil a través de HTTPS puede sumar mucho esfuerzo.

Es por eso que AHORA es el momento de comenzar a habilitar ATS globalmente en su cartera de aplicaciones de iOS. Los CISO, los desarrolladores, los propietarios de productos y los profesionales de seguridad que aún no han implementado ATS deben planificar y poner en marcha su transición. Habilitar ATS protege a su organización y a sus clientes y evita problemas de última hora cuando Apple establece una nueva fecha límite para la aplicación de ATS.

Cómo implementar el soporte ATS

Deberá trabajar con varios equipos en su organización para implementar ATS a nivel mundial. Así que empieza la conversación ahora. Como mínimo, deberá involucrar a los equipos de red, web, administración de productos y seguridad (y potencialmente a sus proveedores de servicios).

Puede comenzar haciendo un inventario de las llamadas de back-end realizadas por sus aplicaciones iOS (las pruebas de seguridad de aplicaciones móviles pueden ayudar a encontrarlas), para que pueda lograr lo siguiente:

  • Identifique cada servicio en el que se basa la aplicación
  • Comprender dónde se encuentran esos servicios
  • Determinar las personas responsables de los hosts (necesitará trabajar con ellos para configurar los servidores adecuadamente)

Puede encontrar más detalles técnicos sobre cómo habilitar ATS en el «Implementar seguridad de transporte de aplicaciones (ATS)” entrada de nuestras mejores prácticas de desarrollo móvil seguro. También puede hacer referencia a la documentación de Apple sobre el tema en su guías para desarrolladores y código de muestra.

Conclusión

A pesar del retraso indefinido de Apple de la fecha límite de aplicación de ATS, no espere. Le debe a su organización y a sus clientes proteger los datos confidenciales que se transmiten entre sus aplicaciones de iOS y los servicios de back-end. Es posible que tenga mucho trabajo por delante y debería comenzar a evitar una carrera estresante y llena de pánico cuando Apple emita una nueva fecha límite (que, por el bien de la seguridad móvil, deberían hacer).

Deja un comentario