Index

Configuración Insegura de App Transport Security (ATS)

Risk: medium

Descripción

App Transport Security (ATS) aplica las mejores prácticas en las conexiones seguras entre una aplicación y su back-end. ATS evita la divulgación accidental, proporciona un comportamiento predeterminado seguro y es fácil de adoptar; también está activado por defecto en iOS 9 y OS X v10.11. Por lo tanto, debe adoptar ATS lo antes posible, independientemente de si está creando una nueva aplicación o actualizando una existente.

• NSAllowsArbitraryLoads: Si se establece en YES, deshabilita todas las restricciones de ATS para todas las conexiones de red, excepto las conexiones a los dominios que configure individualmente en el diccionario opcional NSExceptionDomains. El valor predeterminado es NO.
• NSAllowsArbitraryLoadsForMedia: Si se establece en YES, deshabilita todas las restricciones de ATS para los medios que su aplicación carga utilizando el framework AV Foundation. Emplee esta clave únicamente para cargar medios ya encriptados, como archivos protegidos por FairPlay o por HLS seguro, que no contengan información personalizada. El valor predeterminado es NO.
• NSAllowsArbitraryLoadsInWebContent: Si se establece en YES, deshabilita todas las restricciones de ATS para las peticiones realizadas desde vistas web. Esto permite que su aplicación utilice un navegador integrado que puede mostrar contenido arbitrario sin deshabilitar ATS para el resto de su aplicación. El valor predeterminado es NO.
• NSExceptionAllowsInsecureHTTPLoads: Si se establece en YES, permite cargas HTTP inseguras para el dominio nombrado, pero no cambia los requisitos de Transport Layer Security (TLS) y no afecta a las cargas HTTPS para el dominio nombrado. El valor predeterminado es NO.
• NSExceptionMinimumTLSVersion: Especifica la versión mínima de TLS para las conexiones de red del dominio nombrado, permitiendo la conexión mediante una versión más antigua y menos segura de Transport Layer Security.

Recomendación

A continuación se muestran las configuraciones recomendadas de ATS:

• NSAllowsArbitraryLoads: Establecer en NO para aplicar las restricciones de ATS, mejorando la seguridad general de la red al limitar las conexiones de red arbitrarias.
• NSAllowsArbitraryLoadsForMedia: Establecer en NO a menos que sea necesario para cargar medios específicamente encriptados, garantizando que solo se permitan conexiones seguras para el contenido multimedia.
• NSAllowsArbitraryLoadsInWebContent: Establecer en NO a menos que sea necesario para una funcionalidad específica, ya que habilitarlo puede comprometer las protecciones de ATS dentro de las vistas web.
• NSExceptionAllowsInsecureHTTPLoads: Establecer en NO para obligar las conexiones HTTPS y mantener estándares de comunicación seguros, minimizando el riesgo de interceptación de datos.
• NSExceptionMinimumTLSVersion: Establecer en la última versión de TLS soportada por su aplicación y la infraestructura del servidor, garantizando estándares de seguridad óptimos y protección contra vulnerabilidades asociadas a versiones antiguas de TLS.

Enlaces

• Preventing Insecure Network Connections
• Announcement of App Transport Security in iOS 9
• Cocoa Keys (Apple Developer)

Estándares

• OWASP_MASVS_L1:
  • MSTG_NETWORK_2
• OWASP_MASVS_L2:
  • MSTG_NETWORK_2
• GDPR:
  • ART_5
  • ART_32
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_6
  • REQ_3_7
  • REQ_4_2
  • REQ_6_2
• OWASP_MASVS_v2_1:
  • MASVS_NETWORK_1
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• CNIL_FOR_EDITORS:
  • EDITORS_4_1_1
• CNIL_FOR_DEVELOPERS:
  • DEVELOPERS_4_1_1
  • DEVELOPERS_4_1_4
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213