Jonathan Zdziarski, un informático forense considerado como uno de los mejores expertos en seguridad de iOS, [afirma que hay] varios servicios de "backdoor" que Apple ha incluido en el software [que] facilitan no sólo para Apple, sino también [para] agencias gubernamentales, recopilar información de los usuarios
Jonathan Zdziarski es un informático forense que está considerado como uno de los mejores expertos en seguridad de iOS. Como experto en jailbreak, también tiene una faceta hacker, en la que se le conoce como NerveGas. Su especialización y metodología como forense ha sido validada por el National Institute of Justice (EE.UU.), con quien colabora asiduamente y ha escrito varios libros sobre iPhone, incluyendo; iPhone Forensics, iPhone SDK Application Development, iPhone Open Application Development, y el último publicado, Hacking and Securing iOS Applications.
En la conferencia de este año de Hackers On Planet Earth (HOPE/X) ha centrado su presentación en "Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices" en la esbozó algunos problemas que ha encontrado en iOS. En concreto, varios servicios de "backdoor" que Apple ha incluido en el software. Estos mecanismos de seguridad encubiertos son implementados por Apple, según lo declarado por Zdziarski, facilitando la recogida de datos no sólo para Apple, sino también para las agencias gubernamentales.
Los servicios que Zdziarski ha detectado incluyen: "lockdownd", "mobile.file_relay" y "pcapd" y cada uno de estos mecanismos se puede utilizar para hackear las copias de seguridad cifradas y así adquirir tus datos a través de una conexión WiFi, USB, o incluso, mediante una conexión celular. También señala que no es información de las herramientas de la operadora, o incluso de las herramientas de desarrollo, sino información personal del usuario.
No estoy sugiriendo que exista una conspiración; sin embargo, hay algunos servicios que se ejecutan en iOS que no debería estar allí, que se añaden intencionadamente por Apple como parte del firmware, y que el cifrado de la copia de seguridad, sus datos personales, nunca deberían salir del teléfono. Creo que al menos, esto requiere una explicación por parte de Apple y su divulgación a los cerca de 600 millones de clientes que están ejecutando dispositivos iOS. Al mismo tiempo, no una emergencia de seguridad generalizada, mi nivel de paranoia está ajustado y no me quiero volver loco, simplemente espero que Apple corrija el problema, nada más y nada menos. Quiero que estos servicios de mi teléfono sean privados, ellos no pintan nada entre mis datos.Si quieres un parche inmediato para hacer frente a la situación, Zdziarski esboza algunos pasos clave. En primer lugar, usa un código de acceso complejo en tu dispositivo. Además, sugiere que los usuarios usen la aplicación Apple Configurator para configurar las restricciones en el Mobile Device Management (MDM), permitiendo el emparejamiento del dispositivo, esto elimina los registros de emparejamiento. Es una solución limitada, y sólo protege contra los servicios forenses de terceros, ya que aún deja el dispositivo abierto a las herramientas propias de Apple.
LA RESPUESTA.
En respuesta a las acusaciones de que Apple instala "backdoors" en iOS que podrían ser utilizadas para recopilar y entregar información personal a las agencias gubernamentales, la empresa ha emitido un comunicado negándolo y explicando las medidas adoptadas para garantizar la privacidad de los datos del cliente.
De acuerdo con un comunicado enviado por correo electrónico al periodista del Financial Times, Tim Bradshaw, Apple reafirmó que nunca trabajará con ninguna agencia del gobierno para crear una puerta trasera en ninguno de sus producto o servicio al consumidor.
"Hemos diseñado iOS para que sus funciones de diagnóstico no pongan en peligro la privacidad del usuario ni su seguridad, pero todavía proporciona la información necesaria a los departamentos de TI de las empresas, desarrolladores y Apple para solucionar problemas técnicos. Un usuario debe haber desbloqueado el dispositivo y acordado confiar en otro equipo antes de que la computadora sea capaz de acceder a estos datos de diagnóstico. El usuario debe estar de acuerdo en compartir esta información, los datos nunca se transferirán sin su consentimiento. Como hemos dicho antes, Apple nunca ha trabajado con ninguna agencia del gobierno de ningún país para crear una puerta trasera en cualquiera de nuestros productos de servicios.", sostiene la compañía.
Comentarios del Lector
a nuestro Boletín