LAS VEGAS — La seguridad incorporada al iPhone ha mejorado dramáticamente en los últimos años, algo estupendo para los fans de Apple, y de un modo paradójico, también es bueno para los hackers o piratas informáticos, pues ha dado lugar a una homogeneidad que les facilita las cosas.
Con la política empresarial "trae tu propio dispositivo" en pleno apogeo, Apple ha logrado exitosamente que susiPhones y iPads lleguen a las compañías Fortune 500, e incluso a muchas agencias gubernamentales, incluyendo la Casa Blanca y la milicia estadounidense. Para realizar esas ventas, Apple tuvo que actualizar su sistema operativo móvil iOS con algunas de las funciones de seguridad más potentes de la industria.
Ese ajuste tuvo una desagradable consecuencia no buscada: Muchos desarrolladores de aplicaciones dejaron de instalar sus propias salvaguardas, confiando en su lugar casi exclusivamente en Apple para garantizar la seguridad de sus aplicaciones.
Así, miles de aplicaciones en la tienda iTunes comparten exactamente las mismas características de seguridad, por lo que una sola vulnerabilidad podría tener un efecto dominó.
"La seguridad es ahora una añadidura secundaria para muchos desarrolladores de aplicaciones", advirtió Jonathan Zdziarski, científico forense de viaForensics, en el marco de la conferencia de ciberseguridad Black Hat que tuvo lugar en Las Vegas este jueves. "Eso significa que si puedes hackear una (aplicación), puedes hackearlas todas".
Apple declinó hacer comentarios al respecto.
El gigante tecnológico hizo su primera aparición oficial en la edición Black Hat de este año con una sesión sobre las características de seguridad de iOS, pero la árida presentación fue poco más que una lectura pública de un documento que Apple emitió recientemente. El presentador Dallas De Atley, jefe del equipo responsable de la plataforma de seguridad de Apple, no aceptó preguntas tras su discurso y rápidamente salió por una puerta lateral.
A pocos metros de distancia, en otro salón, Zdziarski impartía al mismo tiempo su taller "The Dark Art of iOS Application Hacking" (El arte oscuro del hackeo de aplicaciones iOS).
Los escenarios descritos por Zdziarski asustan, pero también parecen poco probables.
Para hackear todas las aplicaciones en tu teléfono, un hacker tendría que
robar tu iPhone, que no es tan difícil, y descubrir y aprovechar una vulnerabilidad de iOS antes de que Apple lo haga. Y eso sí que ha demostrado ser muy difícil. Ya ha sucedido antes, en especial cuando el pirata informáticoCharlie Miller encontró una manera de introducir una aplicación maliciosa en la celosamente custodiada tienda iTunes de Apple. Cuando Miller dio a conocer su proeza, Apple le retiró su licencia de desarrollador.
Con todo, los llamados "zero day exploits" o "ataques de día cero"; en los que se aprovecha la vulnerabilidad en la seguridad una vez expuesta en foros públicos antes de que se publique el parche que la soluciona, han sido extremadamente raros en iOS.
"No se trata de la fábula de Pedro y el lobo", dijo a CNNMoney Zdziarski. "Pero la moraleja es que si no agregas tu propio mecanismo de seguridad a tu aplicación, eres altamente vulnerable".
Para ilustrar, Zdziarski demostró en vivo algunas de las vulnerabilidades que sufren ciertas aplicaciones populares de iOS que no brindan mucha más seguridad aparte de la protección que Apple incorpora por su cuenta.
Un ‘bug' en la aplicación para PayPal, por ejemplo, permite a un hacker colocar un código malicioso en un iPhone robado y obtener toda la información de registro que el usuario introduce. Un ataque así es poco probable, pues el pirata informático necesitaría alrededor de 20 minutos con el iPhone para ejecutarlo antes de entregar el teléfono a su dueño. Pero el punto es que es posible, y no debería serlo. PayPal, que es filial de eBay, dijo que está investigando el tema.
"La seguridad de nuestros usuarios es una prioridad para PayPal", declaró la compañía en un comunicado. "Una de las ventajas de utilizar PayPal en un dispositivo móvil es que la información financiera de un usuario se almacena en la nube y no en su dispositivo. Por lo tanto, incluso si un dispositivo se ve comprometido, la información financiera del usuario es inaccesible".
Un punto vulnerable es que Apple no solicita la confirmación de contraseña cada vez que un usuario vuelve a una aplicación en la que previamente había iniciado sesión. En una demostración, Zdziarski ajustó el código de una aplicación e introdujo "userIsLogged: 1." Ese "1" significa "verdad" en este caso, y la aplicación fue engañada para creer que el usuario había sido debidamente identificado.
El objetivo final de Zdziarski no era exhibir a Apple, PayPal o cualquier otra compañía en particular, explicó. Por el contrario, se trataba simplemente de urgir a los desarrolladores a no ser perezosos cuando se trata de la seguridad de sus aplicaciones para el iPhone.
"Apple tiene una buena seguridad. Simplemente no confíen totalmente en ella", les sugirió.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.