EDICIóN GENERAL

El juez cita como investigado al denunciante del agujero de seguridad en la 'app' de Metrovalencia

#7 Si la aplicación usa SSL y certificate pinning o la decompila y saca lo que le interés de ahí o la parchea para eliminar el pinning ya que ni instalando una CA propia para hacer un MitM funcionaria con el pinning.
#19 interesante. No caía en la cuenta de que una aplicación puede negarse a aceptar un certificado que no conozca.

El desarrollador de una app tiene más control que el de una web.
#20 son paradigmas diferentes, en el caso de una web el cliente se conecta con un navegador genérico al servicio. Hacer un MitM de SSL a un navegador hoy en día también está más complicado, si no tiene la CA te va a soltar error y ya si el usuario se lo salta se lo merece.

Las apps son clientes que hace un dev para un servicio, por lo que puede hacer pinning y evitar cualquier otro certificado dando igual que sean de una CA reconocida incluso. Aquí entran problemas como que al actualizar el cert tienen que actualizar la aplicación o reutilizar la misma clave pública y tal.

Las cosas han ido cambiando poco a poco. No digo que sea infalible frente a investigadores o personas mal intencionadas ya que teniendo el control de donde se ejecuta ya está, pero al menos el usuario está más seguro que antes frente ataques externos si tiene media neurona.

menéame