Espiando tu iPhone… ¡gracias a Apple!

apple-unloyal-150x150¿Eres usuario de un iPhone o de un iPad? ¿cómo te sientes si te cuentan que tienen una puerta trasera por la que puede entrar alguien a espiar y copiar todos tus contenidos? Correos electrónicos, fotografías, mensajes de texto, citas del calendario… todo. Sin que haga falta ningún PIN ni clave para entrar, simplemente vía WiFi.

Pues esto lo han contado en la última conferencia de HOPE X (Hackers On Planet Earth) en Nueva York, la semana pasada. Jonathan Zdziarski, experto en seguridad del sistema operativo iOS de Apple, ha revelado la existencia de una puerta trasera en ese sistema operativo. En su exposición “Identificando puertas traseras, puntos de ataque y mecanismos de seguimiento en dispositivos iOS” demostró que existen funciones que pueden ser aprovechadas por cualquiera para extraer datos sin que tengan necesidad de un PIN o una clave.

Estos servicios del sistema operativo no están documentados para los desarrolladores. Tampoco se ha avisa de su existencia a los usuarios, que no pueden deshabilitarlos, con lo que quedan totalmente indefensos ante este tipo de ataques.

Las preguntas que hizo Zdziarski a Apple al terminar su ponencia fueron las siguientes:

¿Por qué hay un “sniffer” de paquetes de información que se ejecuta en 600 millones de dispositivos iOS?

¿Por qué hay servicios no documentados que pueden saltarse el cifrado de la copia de seguridad del usuario para hacer volcados masivos de datos desde el teléfono?

¿por qué la mayoría de mis datos queda sin cifrar ni con el PIN ni con clave, favoreciendo la invasión de mi privacidad?

¿por qué no hay un mecanismo para revisar los dispositivos con los que está emparejado mi iPhone, para que pueda borrar los que no me pertenecen?

Tres días más tarde de que Zdziarski lo revelaraApple publicó y documentó tres de lo servicios, que según la compañía sirven para propósitos de diagnóstico. La empresa no ha respondido a las preguntas concretas. Tras esta publicación, Zdziarski sigue manteniendo que al menos uno de los servicios constituye una puerta trasera. Por mucho que Apple diga que sirven para “diagnóstico”, está claro que los datos que almacena el usuario poco o nada tienen que ver con ello, y que no hacen falta para realizar diagnósticos técnicos.

En este vídeo que el experto ha colgado en YouTube hace una demostración práctica de sus afirmaciones:

Algunos han querido ver en este incidente una clara evidencia de que Apple colabora con la NSA y con otros servicios de inteligencia. Zdziarski no cree que estos servicios sirvan para eso, pero sí que tiene claro que sirven para extraer más información de la que es necesaria para realizar diagnósticos sobre los dispositivos o los problemas que puedan tener.

La noticia, aquí en Reuters y aquí en Ars Technica.

Sé dónde vive tu gato

¿Qué información guarda una fotografía digital? ¿qué podemos llegar a conocer con ella? Mucho más de lo que podamos imaginar, porque cada fotografía está marcada con una información propia. Esos datos forman parte de su composición (metadatos), y están guardados en formato EXIF (EXchangeable Image File). Entre otros podemos encontrar el tipo de cámara con la que se hizo, la fecha, el tiempo de exposición… y hasta las coordenadas en las que se tomó.

El último experimento de Owen Mundy, programador y diseñador, es una demostración práctica sobre las implicaciones que tiene la fotografía digital en la privacidad. Ha creado la página web “Se dónde vive tu gato”, que ha escogido 1 millón de fotos de gatos que son públicas en Internet, y las ha colocado en un mapa utilizando la información sobre posicionamiento que ofrecen sus metadatos.

Cats

Ha utilizado las diferentes APIs que facilitan las webs de fotografías más populares, y un programa informático que corre en un “superordenador” de laFlorida Estate University. El acceso a las fotografías de Flickr, Twitpic,Instagram y otros servicios no le ha sido complicado, puesto que ha buscado fotografías con la etiqueta “gato”.

Igual que se ha hecho el experimento con gatos, puede hacerse con cualquier otro objeto, o personas en concreto. Y ojo, que la localización tiene una precisión estimada de 7,8 metros. Hay que pensarse muy bien qué información compartimos en Internet. El seguimiento de las personas y sus actividades está al alcance de cualquiera. Ya sabemos que se puede hacer con las fotos de gatos… lección aprendida.

Amazon y la privacidad en Kindle Fire

Silk

Todos los días voy al trabajo en metro, y cada vez veo más gente que utiliza libros electrónicos. También pasa en las cafeterías, paradas de bus y en general en cualquier lugar que se preste a hacer esperas. Estos cachivaches van comiéndole terreno poco a poco al libro tradicional, al que se le augura incluso una pronta extinción. Ya se ha debatido sobre lo que van a sufrir los autores por la piratería, sobre el IVA que se les aplica, sobre la conveniencia de que su precio sea menor que el de los libros de papel… Pero ahora pienso que hay que añadir un debate no poco interesante: ¿qué pasa con la  privacidad de los usuarios de esos lectores?

Amazon lanzó en septiembre su nuevo modelo de lector, el Kindle Fire. Más aproximado a un iPad que a un lector de los que ya conocemos, lleva incorporado un navegador que se llama Silk que sirve para visitar páginas web en Internet, igual que permiten Explorer, Firefox o Chrome. Pero este navegador tiene una peculiaridad: Amazon enruta todo el tráfico web del lector a través del Amazon Web Services (AWS), utilizando un protocolo más rápido que el http, el SPDY. Con esto, todas las visitas a páginas web que hagan los usuarios pasarán por la “nube” de Amazon. En las condiciones y términos del navegador Amazon nos avisa de que almacenará las URL de las páginas web que visitemos, y las direcciones IP o MAC durante 30 días. Eso sí, sólo para “cuestiones técnicas”.

¿Cuál es su objetivo? El principal, dar un buen y rápido servicio al usuario apoyándose en sus propios servidores. Y el secundario, por no decir el primordial para la empresa, adquirir información sobre los hábitos de navegación de los propietarios de un Kindle. Pensemos que, en cuestión de 2 años, con unos cuantos millones de navegadores Silk por el mundo, Amazon tendrá una cantidad de información sobre sus usuarios nada desdeñable, y muy, muy aprovechable. Si añadimos también en un futuro algo de geolocalización, ya tendremos algo con casi la misma potencia perfiladora que un iPhone, que hasta de noche está llamando a “su casa”, como el extraterrestre de Spielberg.

En Estados Unidos ya han saltado las voces de alarma. Tanto los técnicos, como los juristas, han puesto el grito en el cielo. Incluso un Senador ha pedido información a la empresa. Y el caso es que algo han empezado a hacer: en California aprobaron a primeros de octubre una ley que protege a los usuarios de lectores de libros electrónicos. Tanto nos quejamos de que la privacidad allí no se protege, pero en este caso quizá nos están dando lecciones.

Me pregunto qué va a ocurrir cuando estos libros ya se vendan en España. El libro con el navegador serán medios situados en España mediante los que Amazon recogerá datos personales, perfiles de navegación. Además, para activar el libro tienes que registrarte, por lo que quedas perfectamente identificado. A buen entendedor…