El científico forense Jonathan Zdziarski causó gran revuelo al publicar una presentación donde explicaba que Apple ha creado “varios servicios y mecanismos” que permiten a Apple – y, potencialmente a organismos gubernamentales o terceros- extraer gran cantidad de datos personales de los dispositivos iOS. Según el experto, no hay manera de impedir la fuga de datos, junto con no haber consentimiento expreso otorgado por los usuarios finales.
Zdziarski expuso sus argumentos en una charla denominada “La identificación de las puertas traseras, puntos de ataque, y los mecanismos de vigilancia en los dispositivos iOS”, dictada en la conferencia anual de hackers HOPE X, realizada la semana pasada en Nueva York.
Esta sería la respuesta de Apple, transcrita por Zdziarski en su blog:
“Hemos diseñado iOS para que sus funciones de diagnóstico no pongan en peligro la privacidad del usuario y la seguridad; pero que aún así proporcionen la información necesaria a los departamentos de TI de las empresas, desarrolladores y Apple para solucionar problemas técnicos. Es necesario que el usuario haya desbloqueado el dispositivo, y acordado confiar en otro equipo, antes que éste equipo tenga la capacidad de acceder a estos datos de diagnóstico limitados. El usuario debe estar de acuerdo en compartir esta información, y los datos nunca son transferidos sin su consentimiento. Como hemos dicho antes, Apple nunca ha trabajado con ninguna agencia del gobierno de cualquier país para crear una puerta trasera en cualquiera de nuestros productos o servicios”
En este contexto, la última frase parece haber sido cuidadosamente redactada. Zdziarski no ha dicho que Apple haya trabajado con la NSA, o cualquier otro organismo, con el fin de crear una puerta trasera. De acuerdo con su presentación en Nueva York, el experto asegura que la propia Apple ha creado servicios indocumentados, los cuales pueden ser utilizados por Apple, y potencialmente por entidades como la NSA, para extraer los datos de carácter personal. El enfoque es, por lo tanto, distinto, y podría constituir un intento de Apple por desviar la atención del tema real.
Esta es la respuesta de Zdziarski a Apple:
“El problema es que estos servicios transmiten los datos (eludiendo el cifrado de la copia de seguridad), independientemente de si el usuario haya activado o no la función “Enviar datos de diagnóstico a Apple”, o si el dispositivo está gestionado por una política empresarial interna. Por lo tanto, si estos servicios fueron diseñados por los fines señalados por Apple, podría suponerse que sólo funcionarían si el dispositivo está siendo gestionado/supervisado, o si el usuario ha activado el modo de diagnóstico. Desafortunadamente, este no es el caso y no hay manera de desactivar estos mecanismos. Como resultado, todos y cada uno de estos dispositivos tienen estas características habilitadas y no hay manera de desactivarlas. Tampoco se pide al usuario consentimiento para enviar este tipo de datos personales fuera del dispositivo. Esto hace que sea mucho más difícil creer que Apple está realmente diciendo la verdad”.
El experto continúa señalando: “Apple admite entonces haber habilitado estas puertas traseras, independientemente de la legitimidad que la propia Apple les otorga, por servir sus propios objetivos; desafortunadamente, la situación pone de relieve una grave vulneración de la privacidad del usuario”.
“Entiendo que cada sistema operativo tiene funciones de diagnóstico. Sin embargo, en el caso observado estos servicios rompen la promesa que Apple hace al consumidor, en el sentido que cuando ingresa su contraseña en una copia de seguridad; los datos sólo abandonarán su dispositivo en modo cifrado. Asimismo, el consumidor no tiene conocimiento de estos mecanismos, ni tampoco le son presentados en modo alguno por el dispositivo. Simplemente no hay manera de justificar la fuga masiva de datos resultante de estos servicios, y que ocurre sin el consentimiento explícito del usuario”, agrega Zdziarski.
La conclusión del experto es rotunda: “No me lo creo por un minuto que estos servicios hayan sido creados exclusivamente con fines de diagnóstico. Los datos que filtran son de naturaleza extremadamente personal. No hay notificación al usuario. Una verdadera herramienta de diagnóstico habría sido diseñada para respetar el usuario, presentando un cuadro de diálogo al intentar acceder a los datos, así como lo hacen otras aplicaciones. Asimismo, respetarían el cifrado de seguridad”.
El experto concluye su nota con la siguiente pregunta: “Dime, ¿cuál es la idea al prometer cifrado al usuario, instalando a la vez una puerta trasera que lo elude?”
—
Fotografía: Pio3 © Shutterstock.com