Te dije ayer que Apple introducirá nuevas medidas de seguridad en iOS después El Congreso americano exigió explicacionesy sobre cómo las aplicaciones acceden a los datos de la agenda de contactos de nuestros iPhone. Bueno, el problema de la libreta de contactos es pequeño porque los desarrolladores de la aplicación puede acceder casi cualquier cosa desde nuestros terminales sin que lo sepamos. Prácticamente las aplicaciones pueden grabar conversaciones, hacer fotografías/películas y pueden acceder a casi cualquier tipo de datos desde nuestro iDevice sin que lo sepamos a menos que tengamos el terminal en la mano y detectemos la grabación de una fotografía con flash, por ejemplo. El problema es que Apple da a los desarrolladores acceso a estas funciones a través de su SDK y las aplicaciones pueden transmitir los datos registrados a los servidores de los desarrolladores sin que nadie más lo sepa.
- Las aplicaciones sólo pueden espiar y absorber su información cuando están abiertas. Simplemente instalar una aplicación no permite que esto suceda.
- Obviamente, la mayoría de los desarrolladores nunca considerarían hacer algo como esto, y la mayoría de las empresas tampoco intentarían hacerlo, porque correr la voz los destruiría inmediatamente. Sin embargo, hay muchos desarrolladores por ahí y es trivial acceder a la plataforma de desarrollo de Apple.
- Aplicaciones como Path fueron eliminadas porque transmitía datos a través de SSL, pero otorgarle un certificado SSL falso (Ed. Gracias comentarista) en realidad permitió al desarrollador observar los datos a medida que se transmiten. Sin embargo, si los datos se cifran sin SSL, los expertos en seguridad y Apple no pueden ver realmente qué se está transfiriendo de forma segura, por lo que es más difícil descubrir aplicaciones desagradables.
- Esto no es específicamente un problema de iOS. Cualquier aplicación de escritorio puede absorber datos y enviarlos a un servidor en algún lugar lejano (incluido el correo electrónico). Android maneja esto de manera un poco diferente: si una aplicación quiere acceder a los contactos, solicita permiso durante la instalación. La mayoría de la gente no se fija en esto, pero la responsabilidad de aprobar el acceso recae en el usuario. Entonces, esa es protección sólo de nombre.
Aunque hay grandes agujeros de seguridad en iOS, todavía hay algunos aspectos buenos porque las aplicaciones no pueden hacer absolutamente nada a menos que estén abiertas, no sólo en segundo plano y no sólo en Springboard. No se sabe cuántas aplicaciones de la App Store registran y envían datos a los servidores de los desarrolladores sin que lo sepamos, pero se necesitan grandes escándalos para que Apple restrinja el acceso. Desde mi punto de vista, deberíamos tener la oportunidad de decidir si queremos darle a una aplicación la posibilidad de acceder a ciertos datos de nuestros terminales y que nos pida permiso para que cualquier tipo de datos de los terminales sean enviados a los servidores del desarrolladores de aplicaciones.
La mayoría de los desarrolladores utilizan métodos no cifrados para enviar datos a sus propios servidores y de esta manera las aplicaciones "piratas" pueden descubrirse muy fácilmente. Quienes cifran sus datos antes de enviarlos a los servidores protegen la información y ni nosotros ni Apple podemos saber qué se transmite a menos que los desarrolladores proporcionen información adicional. Básicamente, estas son aplicaciones realmente peligrosas porque la información que envían no se puede monitorear ni verificar.
