Cada iPhone, iPad y iPod Touch (cada dispositivo iOS) contiene una clave única que lo identifica (Unique Device IDentifier). La semana pasada un experto en seguridad ponía al descubierto que esta clave única (cuyas siglas son UDID) podría conducir hasta la identidad de su propietario -hasta los datos personales del mismo-, según leíamos ayer mismo en Mac4Ever.
Como si no fuera suficiente con todo el revuelo mediático que ha provocado recientemente el tema del envío de datos no autorizados de la localización -tema que resuelve la última actualización publicada de iOS (4.3.3)- Aldo Cortesi, un programador y especialista en seguridad de redes, publicaba hace escasos días un fallo en el UDID de cada uno de estos dispositivos.
Si bien sabemos que este UDID no está vinculado a la identidad real de una persona, Cortesi pone de manifiesto que algunas aplicaciones pueden vincular el identificador de perfil del dueño del teléfono a su cuenta de Facebook.
En declaraciones a Wired.com ha asegurado entre otras cosas que “(…) Es como una cookie permanente e irrastreable que no se puede cambiar y de la que el usuario no es consciente.”
Quizá lo más serio de todo esto es precisamente el hecho de que esta clave no se puede cambiar. Es cierto que el UDID por sí mismo no expone datos personales, pero puede llegar a vincular ese identificador único a otra información acerca del usuario del teléfono (a otra app en la que sí tenemos datos reales publicados)
La empresa de Cupertino aún no ha salido del todo de las crecientes preocupaciones acerca de la privacidad de su iPhone, y desgraciadamente parece estar tropezando con la misma piedra. Consideremos por ejemplo el caso de OpenFeint, que cuenta con unos 75 millones de usuarios registrados a través de sus diferentes aplicaciones (en su mayoría juegos). Son muchos los usuarios que tienen instalada alguna aplicación de esta firma, y el hecho de que una red tan grande como OpenFeint haya logrado vincular UDIDs a las cuentas de Facebook significa que es probable que haya otras aplicaciones capaces de hacerlo también.
OpenFeint ha logrado subsanar el error -ahora cuando nos loginamos a través de nuestra cuenta de Facebook no se envían datos como la fotografía vinculada a nuestro perfil, nuestras coordenadas GPS, etcétera-, pero el problema todavía subyace -de acuerdo a las palabras de Cortesi- en la idea misma de los UDIDs de Apple. El diseñar una API que expone estas claves de esta manera puede permitir que existan multitud de bases de datos enlazando UDIDs a datos personales de los propietarios de estos dispositivos, aunque no es lo que Apple recomienda en su documentación para desarrolladores:
> “For user security and privacy, you must not publicly associate a device’s unique identifier with a user account.”
Por el momento Apple no se ha pronunciado oficialmente a este respecto. Aunque sí lo ha hecho Charlie Miller, investigador especializado en el hacking de smartphones, quién no da gran importancia al hecho en sí, pero a la vez nos invita a una reflexión muy interesante: en esta época del “siempre conectados” (always-connected) … ¿hasta qué punto hemos de sacrificar nuestra privacidad en aras de nuevas y mejoradas funcionalidades en las aplicaciones que usamos?
He lanzado el guante. Estaré encantado de leer vuestras opiniones.
Enlace | Wired.com Más información | Aldo Cortesi