Hoy en día, muchas aplicaciones cuentan con un motor de actualizaciones automáticas pensados para permitir a los usuarios tener sus aplicaciones siempre actualizadas a la última versión sin tener que estar pendientes de los lanzamientos de las nuevas versiones y sin tener que descargarlas e instalarlas manualmente. Por desgracia, estas actualizaciones automáticas pueden suponer un riesgo para la seguridad, como ya ha ocurrido en varias ocasiones, por lo que algunas compañías, como Mozilla, han querido auditar el motor de actualizaciones de Firefox, llamado Firefox Update, para saber si efectivamente estas son seguras o pueden poner en riesgo a los usuarios.

La empresa de seguridad alemana X41 D-SEC GMBH ha sido elegida por Mozilla para ser la responsable de auditar la seguridad de toda la plataforma Application Update Service (AUS). Dentro de esta auditoría se encontraban tanto el cliente de los usuarios que comprueba la versión y se encarga de descargar e instalar las últimas versiones cuando el navegador no está actualizado, como todo el backend, todos los servidores de Mozilla que alojan las últimas versiones del navegador y se encargan de que el cliente pueda buscar actualizaciones.

Todos los componentes de Firefox Update son seguros, y así lo demuestra esta auditoría

Los expertos en seguridad de esta firma han analizado línea a línea todo el código de este motor de actualizaciones automáticas y, además, han llevado a cabo diferentes técnicas de penetración y acceso a los servidores, las aplicaciones web y los clientes de actualización.

Según la auditoría, no existen vulnerabilidades críticas en Firefox Update, por lo que los usuarios en ningún momento se han visto seriamente expuestos. Eso sí, la plataforma no era perfecta, pues la compañía sí ha encontrado 3 fallos de seguridad de alta peligrosidad (aunque solo eran accesibles desde consola, desde la red interna de la compañía), 7 de peligrosidad media y 4 de peligrosidad baja. Además, también se han encontrado 21 fallos más que no estaban relacionados directamente con la seguridad, pero que corregirlos ayudará a que funcione mejor toda la plataforma de actualizaciones.

Los fallos críticos que podrían haber supuesto un problema han sido:

• BLRG-PT-18-002: Uso de librerías JavaScript inseguras con vulnerabilidades conocidas.
• BLRG-PT-18-010: Token CSRF no validado.
• BLRG-PT-18-011: Uso de cookies sin etiquetas de seguridad.

Mozilla ya ha corregido algunos de los fallos reportados por esta firma de seguridad (empezando por los fallos de seguridad más graves), y ya está trabajando para solucionar, cuanto antes, todos los demás problemas.

¿Crees que todas las aplicaciones con actualizaciones automáticas deberían pasar auditorías de seguridad?