Un fallo en el "software" de
Apple para dispositivos móviles permitió a los piratas informáticos interceptar
correos electrónicos y otras comunicaciones que debían estar encriptadas, dijo
el viernes la compañía, y los expertos dijeron que los ordenadores Mac había
estado incluso más expuestos.
Si los piratas tuvieron acceso a una red de
usuarios de teléfonos, como al compartir el mismo servicio WiFi inseguro
ofertado por un restaurante, pudieron ver o alterar intercambios entre usuarios
y páginas seguras como Gmail o Facebook. Los gobiernos con acceso a portadores
de datos de telecomunicaciones pudieron hacer lo mismo.
"Es tan malo como se puede imaginar,
es todo lo que puedo decir", dijo el profesor de criptografía de la
universidad John Hopkins, Matthew Green.
Apple no dijo cuándo o cómo descubrió el
fallo en la manera en la que iOS gestiona las sesiones, en lo que es conocido
como la capa de Sockets segura (SSL por sus siglas en inglés) o la capa de
seguridad de transporte, ni como se había explotado el fallo.
Pero una declaración en su página de
asistencia decía: el software "falló al validar la autenticidad de la
conexión".[http://support.apple.com/kb/HT6147]
Apple lanzó parches para el software y una
actualización para la actual versión de iOS para el iPhone 4, y después para la
quinta generación de los iPod touch y el iPad 2.
Sin el arreglo, un pirata informático puede
hacerse pasar por otro en una página protegida y encontrarse en medio de datos
de correo electrónico o financieros que van entre el usuario y la página real,
dijo Green.
Después de analizar el parche, varios
investigadores de seguridad dijeron que los mismos fallos existían en las
versiones actuales de Mac OSX, que funciona en los portátiles y ordenadores de
mesa de Apple. No hay parches disponibles para ese sistema operativo por el
momento, aunque se espera que aparezca uno pronto.
Puesto que los espías y los piratas también
estarán estudiando el parche, podrían desarrollar programas para aprovecharse
del fallo dentro de días o incluso horas.
El asunto es un "auténtico coladero en
la puesta en práctica del SSL de Apple", dijo Dmitri Alperovich, jefe de
la oficina de tecnología en la empresa de seguridad CrowdStrike. Adam Langley,
un veterano ingeniero de Google, estuvo de acuerdo con CrowdStrike en que el OS
X estaba en riesgo.
Apple no respondió a la petición de
comentarios. El fallo parece estar en la manera en la que los protocolos se
pusieron en práctica, un lapso embarazoso para una empresa de la altura y
destreza de Apple.
La compañía se enfrentó recientemente a la
filtración de documentos de inteligencia que decían que las autoridades tenían
un 100 por cien de éxito al entrar en iPhones.
La noticia del viernes sugiere que los
piratas pudieron haber tenido un gran éxito si conocían el fallo.
Fallo En La Seguridad De Apple Permite Romper La Encriptación Para Moviles