Espiando tu iPhone… ¡gracias a Apple!

apple-unloyal-150x150¿Eres usuario de un iPhone o de un iPad? ¿cómo te sientes si te cuentan que tienen una puerta trasera por la que puede entrar alguien a espiar y copiar todos tus contenidos? Correos electrónicos, fotografías, mensajes de texto, citas del calendario… todo. Sin que haga falta ningún PIN ni clave para entrar, simplemente vía WiFi.

Pues esto lo han contado en la última conferencia de HOPE X (Hackers On Planet Earth) en Nueva York, la semana pasada. Jonathan Zdziarski, experto en seguridad del sistema operativo iOS de Apple, ha revelado la existencia de una puerta trasera en ese sistema operativo. En su exposición “Identificando puertas traseras, puntos de ataque y mecanismos de seguimiento en dispositivos iOS” demostró que existen funciones que pueden ser aprovechadas por cualquiera para extraer datos sin que tengan necesidad de un PIN o una clave.

Estos servicios del sistema operativo no están documentados para los desarrolladores. Tampoco se ha avisa de su existencia a los usuarios, que no pueden deshabilitarlos, con lo que quedan totalmente indefensos ante este tipo de ataques.

Las preguntas que hizo Zdziarski a Apple al terminar su ponencia fueron las siguientes:

¿Por qué hay un “sniffer” de paquetes de información que se ejecuta en 600 millones de dispositivos iOS?

¿Por qué hay servicios no documentados que pueden saltarse el cifrado de la copia de seguridad del usuario para hacer volcados masivos de datos desde el teléfono?

¿por qué la mayoría de mis datos queda sin cifrar ni con el PIN ni con clave, favoreciendo la invasión de mi privacidad?

¿por qué no hay un mecanismo para revisar los dispositivos con los que está emparejado mi iPhone, para que pueda borrar los que no me pertenecen?

Tres días más tarde de que Zdziarski lo revelaraApple publicó y documentó tres de lo servicios, que según la compañía sirven para propósitos de diagnóstico. La empresa no ha respondido a las preguntas concretas. Tras esta publicación, Zdziarski sigue manteniendo que al menos uno de los servicios constituye una puerta trasera. Por mucho que Apple diga que sirven para “diagnóstico”, está claro que los datos que almacena el usuario poco o nada tienen que ver con ello, y que no hacen falta para realizar diagnósticos técnicos.

En este vídeo que el experto ha colgado en YouTube hace una demostración práctica de sus afirmaciones:

Algunos han querido ver en este incidente una clara evidencia de que Apple colabora con la NSA y con otros servicios de inteligencia. Zdziarski no cree que estos servicios sirvan para eso, pero sí que tiene claro que sirven para extraer más información de la que es necesaria para realizar diagnósticos sobre los dispositivos o los problemas que puedan tener.

La noticia, aquí en Reuters y aquí en Ars Technica.

Apple había avisado, no es para tanto… ¿o sí?

Este miércoles pasado Peter Warden y Alasdair Allan anunciaron en la conferencia Where 2.0 que Apple recogía datos de localización de los iPhone/iPpad sin que los usuarios tuvieran conocimiento de ello. Su intervención está disponible aquí. El revuelo ha sido tremendo, y Apple sigue sin dar señales de vida para explicarlo.

Cualquier iPhone o iPad 3G con el sistema operativo iOS4, lanzado en junio de 2010, almacena datos de localización en un fichero ((Library/Caches/locationd/consolidated.db) que se puede encontrar en los dispositivos y en cualquier PC/Mac con el que sincronicen porque se copian en éstos. El fichero almacena latitud y longitud, y además la hora en la que se recoge esa información. Si antes esos datos estaban sólo en manos de las operadoras de telecomunicaciones, ahora resulta que tras esta acción de Apple, están guardados en los dispositivos móviles y los ordenadores de los usuarios, y además sin proteger de ningún modo.

No está claro para qué se utiliza esta información, pero tal y como cuentan en F-Secure, es bastante más que probable que Apple esté fabricando su propia base de datos global de localización, una vez que ha prescindido de los caros servicios de Skyhook. Ahora, igual que Google aprovechó para intentar construir su propia base de datos con sus coches mientras elaboraba el Google Street View, Apple aprovecha a sus usuarios, que son más y por supuesto más baratos que poner un coche en circulación.

Nuestros iPad/iPhone envían dos veces al día a Apple la información de localización que generan. Así viene indicado en la carta de contestación que Apple envió al Congresista Ed Markey cuando preguntó en junio de 2010 sobre la política de privacidad y servicios de localización de la empresa. Ayer mismo Markey volvió a preguntar, “¿se trata de iPhone, o de iTrack?“… Supongo que Apple contestará que ya ha informado a los usuarios de ésto en su “política de privacidad“:

Servicios de localización

Para prestar servicios de localización (Location Based Services – LBS) en relación con productos de Apple, tanto Apple como sus socios y licenciatarios podrán recoger, utilizar y compartir datos precisos sobre localizaciones, incluyendo la localización geográfica a tiempo real de suordenador o dispositivo Apple. Dichos datos de localización son recogidos anónimamente de forma que no puedan utilizarse para identificarle personalmente y son utilizados por Apple y sus socios y licenciatarios para suministrar y mejorar sus productos y servicios de localización. Por ejemplo, podremos compartir su localización geográfica con proveedores de aplicaciones cuando usted acepte participar en los servicios de localización.

Apple no considera los datos de localización como datos de carácter personal, y dice recogerlos “anónimamente”. Pero ya me contarán cómo, porque cada dispositivo tiene un identificador único que a su vez está asociado con un usuario registrado. En España esto sería considerado medio más que razonable por el que identificar sin esfuerzo a una persona física. En Estados Unidos se están preparando las primeras acciones legales por considerar esta práctica como desleal con el consumidor, no tardaremos en verlas.

Este “incidente”, por llamarlo de alguna manera, es más que un indicio de la carrera que ya han emprendido las grandes tecnológicas para prestar servicios de publicidad utilizando la geolocalización. Es lógico y normal que los gigantes Google y Apple están intentando construir estas bases de datos, les hace falta un buen mapa de antenas y de redes Wi-Fi para poder afinar. ¿Podemos imaginarnos la construcción de semejante mapa con la normativa española de protección de datos? Una vez más, desventaja competitiva europea/española, o invasión de la vida privada por la tecnología, tomémoslo como queramos.

Por cierto, para quien no quiera sorprenderse con lo que queda por venir, recomiendo la lectura del libro “Everyware: the dawning age of ubiquitous computing”, de Adam Greenfield. Escrito en 2006, ya preludiaba lo que se ha dado en llamar “el Internet de los objetos”.