Durante esta semana se está celebrando la Web Summit 2021 en Lisboa, Portugal. El vicepresidente senior de software de Apple, Craig Federighi, ha acudido a dar una conferencia sobre la seguridad de iOS. Y en ella se ha despachado a gusto contra el sideloading, la posibilidad de descentralizar la distribución de apps en el iPhone.
El side loading como culpable del malware en otras plataformas
La única razón [del reducido número de ataques en iOS] es que el resto de plataformas permiten el sideloading. En el iPhone, el sideloading significaría la descarga de software directa desde el internet abierto o desde una tienda de un tercero, sobrepasando las protecciones de la App Store.
Hemos hablado de los pilares que protegen a los clientes en el iPhone. Con el sideloading, esas protecciones sucesivas se deshacen. No hay revisión humana de apps ni tampoco un único punto de distribución para las apps cargadas vía sideloading. Las compuertas están abiertas para los ataques de malware. Y no somos los únicos que creemos que esto es arriesgado.
En menos de 15 minutos, Craig Federighi ha expuesto las razones de Apple contra el sideloading. Es una argumentación similar a la que vimos el mes pasado en el ataque de Apple contra los riesgos del sideloading, que fueron bastante contundentes. El motivo de esta conferencia es la Digital Markets Act, la legislación presentada en la Unión Europea en diciembre de 2020.
En uno de sus apartados, la Unión Europea quiere obligar a los fabricantes a permitir la descarga e instalación de apps desde otras fuentes distintas a la designada por el propietario de la plataforma. Mientras que Android ya lo permite (generando considerables riesgos según Federighi), iOS permanece centralizado en la App Store. Apple quiere que esto siga siendo así por cuestiones de seguridad.
Y para ello, volvió a dar a conocer varios datos y argumentos de terceros relacionados con esta práctica de distribución de apps. Entre ellos:
- Una empresa detectó 5 millones de ataques a sus clientes en "otra" plataforma móvil en tan solo un mes.
- La Europol asegura que "solo debemos instalar apps de las tiendas oficiales".
- El Departamento de Seguridad Interior de EEUU recomienda que "los usuarios deberían evitar (y las empresas prohibir en sus dispositivos) el sideloading de apps y el uso de tiendas de apps no autorizadas".
Federighi alaba el objetivo de la DMA, que busca promover la competencia y darle a los usuarios más opciones. Pero critica que en el nombre de "dar al usuario más opciones, esta provisión retiraría la elección de un dispositivo más seguro y privado". En otras palabras, se trata de una legislación que provocaría precisamente los peligros de los que dice proteger al ciudadano.
No importa que tú no vayas a usar el sideloading
El vicepresidente senior de software de Apple continúa criticando estas medidas con ejemplos de lo que podría suceder. Entre ellos, está el argumento de que debemos "dejar a la gente que elija el sideloading o no, dejarles juzgar los riesgos y decidir por sí mismos". Así, muestra una app aparentemente oficial que permite rastrear la evolución del COVID.
En realidad, esta app de Android no ayudaba a la gente preocupada por su salud. Sino que era "un vehículo para el malware". No es una buena experiencia para alguien que buscaba protegerse a su familia y a sí mismo.
En otra ocasión menciona cómo los expertos de seguridad han detectado hasta 27 apps de malware que imitaban la Google Play Store oficial de Android. En vez de eso, abrían la puerta a oleadas de adware. Federighi continúa hablando acerca del resto de medidas que protegen nuestra privacidad, medidas que nacen a raíz de la evaluación de cada app y que en las apps de sideloading estarían ausentes.
En resumen, aunque un usuario sea lo suficientemente avispado para detectar todos los fraudes, eso no significa que sus hijos, pareja, padres o abuelos también lo sean. Permitir el sideloading abocaría a una inseguridad enorme en este tipo de usuarios, rompiendo para siempre la confianza en una distribución de apps segura y privada. La próxima vez que vayan a descargar una app, se preguntarían: "¿es una app real o me van a robar los datos?".
Puedes ver la conferencia de Federighi en el siguiente enlace, a partir de las 7 horas 31 minutos.
Ver 51 comentarios