Esta semana Apple nos hizo llegar una actualización para iOS 7 que resolvía un grave problema de seguridad. Básicamente este agujero permitía a un atacante interceptar comunicaciones. Si estos atacantes estaban en nuestra misma red Wi-Fi, pongamos la red inalámbrica de la universidad, podrían interceptar y modificar los paquetes aunque estuvieramos conectados a un sitio protegido como Gmail o Facebook.
Básicamente no se validaba la autenticidad de la conexión. Esto podía permitir al hacker accder a nuestro ordenador inyectando un virus o interceptar datos financieros. Es interesante el enfoque conspiratorio que le han dado algunos al asunto, relacionándolo con el affaire NSA.
Un ejemplo es John Gruber. Comenta que esta vulnerabilidad fue introducida en iOS 6, antes no existía, y todo cuadra: iOS 6 se liberó en septiembre de 2012 y según el famoso Power Point de PRISM Apple “se añadió” al programa en octubre de 2012. Puede ser simplemente circusntancial, o no. El mismo Gruber nos ilumina con cinco niveles de paranoia.
- Nada. La NSA no estaba al caso de la vulnerabilidad
- La NSA lo conocía pero nunca se aprovechó
- La NSA lo conocía y se aprovechó
- La NSA lo implantó a escondidas
- Apple, complice con la NSA, lo añadió
¿Con cual os quedáis? Yo, como Gruber, me quedaría con el punto 3. Es quizás el más realista de todos. Es algo que seguramente nunca sabremos. En todo caso, si ahora esta vulnerabilidad está cerrada, puede significar que hay otras por donde la NSA pueda entrar en nuestros dipositivos.
Cabe destacar que como hemos dicho esta vulnerabilidad se podía aprovechar estando en la misma red, o con la complicidad de los proveedores de internet.
La cuestión es que el agujero sí puede estar tapado en iOS pero no en OS X. Analistas de seguridad han testado la misma vulnerabilidad y sí existe en OS X. La mayoría de analistas se sorprenden de como a Apple se le puede haber escapado tal bug en sus sistemas, algo fundamental en la implantación de SSL.
Esperemos que la vulnerabilidad esté pronto solucionada en todos nuestros sistemas. A nadie le gusta que le puedan espiar sin saberlo. Desde Applesencia os recomendamos máxima precaución con vuestros datos: los hackers, ahora que se conoce la vulnerabilidad, pueden estar trabajando por este agujero. La recomendación simplemente está en evitar redes no seguras o públicas.
Se espera que esta actualización llegué pronto a OS X.