El tema de la privacidad es algo que preocupa a todos los consumidores de tecnología, más aún en los tiempos que corren donde nuestros móviles son prácticamente pequeños ordenadores con contraseñas, historial de navegación y datos personales. Ahora, un desarrollador suizo ha demostrado con una aplicación llamada SpyPhone la exposición de nuestros datos en los iPhones / iPod touch.
En realidad el problema se limita al acceso que las aplicaciones tienen del núcleo del dispositivo: Apple, mediante una SDK facilita a los desarrolladores el acceso a funcionalidades como el autocompletado, información de geolocalización, acceso a imágenes... Sin embargo, esto puede ser un problema si se creara una aplicación que utilizase estos datos para enviarlos fuera del dispositivo.
Seriot (el desarrollador en cuestión) ha demostrado con SpyPhone como cualquier aplicación instalada en el iPhone o iPod touch tiene acceso a passwords, agenda, información de cuentas de correo, imágenes, historial de navegación, YouTube, historial de marcación en teclado (utilizado para el "autocompletar")... Y que mediante un proceso sencillo se podría enviar esta información a "otro lado".
El desarrollador confirma que ésto se puede lograr incluso sin que el iPhone esté con el jailbreak hecho, aunque eso sí, hay que "instalar manualmente" esta aplicación. Aplicación que, por supuesto, no ha sido (ni será) aprobada por la App Store. El caso es que aún así, Seriot comenta que sería posible implementar este código "oculto" entre otras funcionalidades de la aplicación.
Y aquí es cuando Apple debería demostrar que el control de validación de aplicaciones sirve para algo más que para censurar aquellas que no son políticamente correctas: Lo que tendría hacer la compañía (según mi opinión), es indagar en el código fuente y auditar cada una de las aplicaciones verificando que se no compromete la seguridad de los usuarios.
De cualquier forma, el problema que comenta Seriot ha sido mostrado en un iPhone, pero... ¿Hasta que punto otras plataformas (Android, Windows Mobile...) no pueden verse "afectadas" por estos modernos sistemas de desarrollo de aplicaciones, que las compañías ofrecen facilitando el acceso a estas herramientas con información "confidencial"? Para tranquilizar a la gente, decir que no existen pruebas de que hoy en día ninguna aplicación esté utilizando este sistema para "robarnos" información confidencial. Con la cantidad de usuarios que hay de la App Store, el tráfico de estos datos hubiera sido descubierto tarde o temprano.
Por la "parte que nos toca", esperamos que se tomen cartas en el asunto y se implemente algún sistema que impida que cierta información "salga" del teléfono. Seriot desde luego se lo pone fácil: Ha elaborado un informe sobre la seguridad en los iPhones muy completo y ha puesto el código fuente de SpyPhone en Internet. Tu turno, Apple.
Vía | Taranfx
Ver 16 comentarios
16 comentarios
Pedro Aznar
@pabloroca, @Fernando, @mgr, la App Store también tiene algoritmos de validación automática para todas y cada una de las aplicaciones que quieren salir en la App Store. Después de una primera fase de comprobaciones automáticas donde se verifican los procesos internos a los que accede la App, se realizan comprobaciones de seguridad (que obviamente no se hacen públicas para que no se pueda alterar artificialmente el resultado), y después las aplicaciones mínimamente sospechosas se pasan a inspección "manual" por un empleado de Apple (un técnico). Ese técnico, en mi opinión, es quien debería auditar a mayor profundidad y en un contexto más amplio la aplicación, no sólo el carácter de ésta.
Pero sí, creo que todos coincidimos con que el problema es algo común a los nuevos sistemas operativos. Falta de madurez en un producto tan nuevo? Quizás, pero seguro que mejoran la seguridad pronto.
Pedro Aznar
@macgab, allá voy:
1.- Personalmente, sobre toda esta noticia, pienso que Apple es ahora mismo igual de segura que Android, WebOS, Windows Mobile o cualquier otra plataforma de desarrollo con acceso a APIs. Ningún SDK cierra el acceso a ciertos datos. Creo que si alguna aplicación "escondiera" código de éste tipo, sería detectada de inmediato, sino por Apple, por alguno de los millones de usuarios de iPhones del mundo. Y eso contando que pase el sistema de validación automático y la revisión técnica del personal de Apple.
La verdad, esta noticia había que publicarla porque todos tenemos que conocerla. Pero hoy no somos más inseguros que ayer, sólo que conviene estar al día de estas cosas y si sirven para que Apple mejore la seguridad en un futuro, adelante. Así, que quede entre tu y yo: No estoy preocupado lo más mínimo por ésto, aunque sí atento. Cualquier movimiento en una dirección u otra lo tendréis en Applesfera lo más rápidamente posible.
2.- No. La estabilidad y seguridad de Mac OS X está más que probada aunque pese a muchos agoreros que llevan diciendo años y años que cada vez esto es más inseguro. Yo sigo utilizando Mac OS X sin ningún tipo de protección, como lo hacía en mi viejo PowerMac G3, y nunca jamás he tenido ningún problema.
Disfruta! Estamos "en este lado" para eso (aunque eso no quita que tengamos que estar informados y atentos, pero nunca, nunca, asustados).
Un saludo!
allfreedo
Revisar el codigo fuente de TODAS (en este caso hay que ponerlo en mayusculas) las aplicaciones que se han hecho para el iphone es sencillamente imposible. El unico consuelo que queda es que si alguna aplicacion llevase un codigo malicioso:
1º En cuanto se supiera se podria eliminar de todos los terminales.
2º El desarrollador esta "fichado", se puede cazar sin mucha dificultad.
3º Seria algo que correria como la polvora, como todas las noticias que tienen que ver con apple (especialmente si son malas, esten o no confirmadas).
Fast Furious
Yo creo que hoy en dia nuestros datos es facilísimo que los tengan terceros... pero cuando salen noticias así da miedo... lo que podrán hacer con sistemas operativos de pc's...
Fernando
En los terminales Android si que hay control. Las aplicaciones antes de ser subidas al market pasan por unas máquinas virtuales que las prueban. Si no, cualquiera podría subir una aplicación que te lo borre todo o cualquier cosa imaginable.
iSuriv
para Zydeco
Cuando te instalar cualquier aplicación desde el market, la aplicación se valida para que sea descargada cuando las APIs de control están registradas, sino no se admite y no se sube. Es posible burlarlo, como todo.
Cuando el usuario se descarga la aplicación, hace dos pasos previos (sino son de pago, si fueran tendría otros pasos):
1- Información del producto y preview de la aplicación --- botón instalar. 2- En este paso, te enseña que la aplicación accede a determinados servicios del terminal, contactos, geolocalización....y aceptar
Aquí interviene el usuario
Si se lee bien, acepta todo, bien. Pero tiene que añadir algo que nos pasa a todos o muchas veces nos pasa, pasamos de leer y damos directamente aceptar.
Me encontrado con aplicaciones, que accedían a funcionalidades del teléfono que no se correspondían con la funcionalidad del programa, consecuencia.
No me lo instalado, y lo he puesto en conocimiento, con lo que esa aplicación borrada del market.
Que esa misma aplicación vuelva aparecer en otro mercado, fuera del market, por supuesto, pero los avisos de advertencia no los puedes quitar, porque cuando lo compilas se añaden. Y el terminal te muestra las APIs que usan para acceder.
Así que Android, valida dentro del market y fuera y el usuario final a veces es el responsable.
----------------------------
Pero todas las plataformas tienen puntos débiles, y cualquier manera de esconder el código para obtener datos es peligroso. simplemente la gente que lo hace o empresa que lo hace son las que tenían que quitar.
Qué publique el código me parece fenomenal, simplemente para que Apple detecte esté código y lo intercepte, pero también Apple se pone las pilas en formas de validarlo.
Incluso Apple espía a sus clientes, instalando robots o informaciones que salen del terminal... cómo ya se detecto alguna vez atrás.
El problema no es una persona sino una empresa como usa esos datos...
Markos
Para eso se supone que apple examina las apps que entran en la app store, para que no ocurran cosas así, pero igualmente, deberían tener mas seguridad...
mgr
Android este tema lo soluciona muy fácilmente, antes de instalar una aplicación te muestra las funciones que puede controlar la app y la información a la que puede tener acceso. Y eso no lo dice el desarrollador, lo detecta el market, así que no se puede falsear. Por tanto si ves algo a lo que esa aplicación no quieres que acceda, no la instalas y listo.
macgab
La verdad, todavia, no soy usuario de un iphone pero que salga este tipo de noticias, cuando menos me causa inquietud...
Alguien me podria decir: 1.- Si, Pedro, segun lo que dices la seguridad en el dispositivo puede/debe llegar pronto...como de pronto?? Es esta seguridad real, u otra aplicacion desconocida puede llegar a hacer lo que hace esta? Apple se va a dignar a proporcionarnos ese sentimiento de seguridad y confianza que se adquieren al usar su OS, en su iphone?? 2.- Me pase a mac, gracias a leeros y a mi novia...debido a ese cambio me he olvidado de los virus, malware etc...y no los echo de menos...!!! creeis que esto, puede llegar en forma de alguna aplicacion u otro archivo cualquiera a llegar a afectar a los macs??
3.- Gracias por vuestro tiempo, es un lujo leeros.
Saludos, Gabmac
macgab
Pedro, Gracias!! :)
La verdad es que no son horas para andar por aquí, lo se, pero que sepas que tu contestación me ha ayudado, como siempre hacéis, a entender un poco mas y mejor este mundo tan tranquilo (fuera pantallazos azules), apacible (no hay sustos de ventanas que se abren inesperadamente), y seguro, sobre todo, SEGURO, algo para mi y creo q para todos nosotros, indispensable!
Gracias Pedro por tu tiempo. Sin duda... mi próxima adquisición tendrá que ser un 3GS!! A ver si he sido bueno y los Reyes...xDDD
Saludos, y gracias otra vez :)
macgab
Por cierto! Tienes razon, este "otro lado" no me ha traido mas que satisfacciones, y (he de decirlo, sin ser un fanboy!) no me podria haber gastado mejor mi dinero. :))))
Saludos, y buenas noches a todos, que disfruteis del puente!!
Zydeco
Ya suponía que no era cierto cuando lo leí, pero después de probarlo y leer el código fuente, puedo confirmar que no tiene acceso a ninguna contraseña, y el "historial de marcación del teclado" es tan sólo una lita de palabras, no un registro de lo que se ha escrito. Por otra parte, tampoco vendría mal algún tipo de control parecido a Android, sobre los datos a los que pueden acceder las aplicaciones.