La (in)seguridad en Apple

En las últimas semanas la seguridad en el sistema operativo de Apple ha presentado un par de noticias interesantes como para conocer.

En primer lugar, en el desarrollo del reconocido evento sobre seguridad Black Hat 2010, el investigador Jeremiah Grossman presentó una vulnerabilidad para los navegadores Internet Explorer (versiones 6 y 7) y Safari (versiones 4 y 5), que consiste en explotar la funcionalidad de auto completar en los navegadores, permitiendo a través del ataque realizar pruebas de fuerza bruta hasta encontrar datos que la propia aplicación devuelva completas, y así sería posible robar datos como usuarios y claves de acceso. Microsoft declaró respecto al incidente que están analizando la vulnerabilidad, pero que vale destacar que “Internet Explorer 8 no es vulnerable“. Mientras tanto, Grossman se mostró un tanto enojado por la respuesta de Apple ante el reporte de la vulnerabilidad, ya que declaró enojado por la actitud de las empresas ante su reporte, y manifestó que nunca “hubiera hecho esto público si Apple se lo hubiera tomado con seriedad necesaria“.

Por otro lado el lanzamiento del iPhone 4 ya puso a los usuarios en búsqueda de realizar lo que se conoce en el mundo Apple como Jailbreak: la posibilidad de instalar en el dispositivo aplicaciones de terceros. Aunque ese procedimiento ya existe para otras versiones del dispositivo, para esta versión apareció, llamativamente, un procedimiento extremadamente sencillo, conocido como Jailbreakme, por el cual es posible habilitar esta funcionalidad en el nuevo iPhone, sólo visitando un sitio web desde el dispositivo. Mientras la noticia se propagó como una gran novedad para los usuarios de esta nueva versión del smartphone, es muy correcta la observación de Marino Amartino de que se trata simplemente de un exploit de seguridad del cual nadie habla. Como bien indica en su post, esto no deja de ser un problema de seguridad, se trata de un “bug que derrota completamente la arquitectura de seguridad del sistema operativo y permite acceso remoto capaz de modificar las entrañas mismas del sistema operativo”.

Este tipo de incidentes sufridos por Mac no son distintos a los sufridos ya por otros sistemas operativos, pero permiten una única conclusión: el mito de “Sistemas Operativos seguros vs. inseguros” va desapareciendo, a pesar de haber estado presente durante tantos años (¿se acuerdan el de “navegadores seguros vs. inseguros“?). Todos los sistemas operativos requieren seguridad,  y cada usuario decidirá en función de las amenazas existentes para la plataforma, la criticidad del sistema y la información que allí aloje; cuáles serán las medidas e implementar. Pero la idea de “sistema operativo seguro” sólo genera una falsa sensación de seguridad cuyo único perjudicado es el propio usuario y su seguridad.

Sebastián Bortnik
Analista de Seguridad

Autor , ESET

Síguenos