Uno de los aspectos que diferencia a Apple del resto de marcas es su innovación a la hora de crear productos. La estética y el software, principales distintivos de la marca, forman un conglomerado de fabricación propia que, en algunas ocasiones, no sale como se esperaba.

Los de Cupertino se han empeñado desde el principio en seguir un camino diferente al de sus competidores en materia de software. Pero no solo en el SO de sus dispositivos, si no también en muchas aplicaciones nativas que podemos encontrar en la gran mayoría de dispositivos móviles de Apple.

El problema no es que una empresa produzca sus propios sistemas, si no en que, como viene siendo costumbre en estos casos, invierten mucho dinero en investigación y desarrollo en algo que ya se ha investigado. Este es el problema de iMessage, una aplicación de IOS con la que los usuarios pueden enviar SMS y mensajes instantáneos. A priori puede parecer una muy buena aplicación (sobre todo si está desarrollada por Apple), pero al seguir sus propias líneas de desarrollo y obviar los consejos y estándares de los expertos, se ha convertido en una aplicación muy vulnerable ante los ataques hacking.

Bailando en el borde del volcán

Así es como ha bautizado la empresa Usenix Security  al estudio de seguridad informática realizado a la aplicación iMessage. En el estudio, se explica uno a uno todos los fallos de seguridad encontrados al no seguir los estándares de seguridad que aconsejan los expertos en criptografía.

Una de las vulnerabilidades más importantes que ha cometido Apple es la centralización del servicio de iMessage. Esto significa que todas las comunicaciones que se lleven a cabo desde la aplicación se llevan a un único servidor, por lo que, si este falla, toda la aplicación deja de funcionar. O lo que es más grave, si alguien se hace con el control de ese servidor, será capaz de controlar todas las comunicaciones de los usuarios, sin excepción alguna.

El Forward Secrecy garantiza que, si alguien obtiene tus claves de seguridad de la comunicación en un futuro, no será capaz de descifrar tus comunicaciones ya que las claves van cambiando con el tiempo. Apple ha obviado esta propiedad fundamental de la criptografía, por lo que si un usuario pierde el Iphone, podrían obtener sus claves y pinchar sus comunicaciones sin dificultad alguna.

Apple tampoco ha implementado ningún protocolo criptográfico estándar en su aplicación. Esta idea no es buena ya que no sabes hasta que punto es seguro tu protocolo (los estandarizados ya han sido explotados al máximo para conocer su robustez). Si por el contrario decides no contarle al mundo nada sobre este protocolo, es decir, lo mantienes en secreto, al final acabarán descubriéndolo y explotando algún fallo de seguridad que encuentren.

Al final del escrito, los investigadores recomiendan una serie de modificaciones en los protocolos de iMessage para que todos estos problemas se solucionen a corto plazo. Toda una cortesía por parte de ellos aún sabiendo que, probablemente, Apple hará caso omiso de estas e implantará sus propios parches de seguridad.

 

Comentarios

comentarios