HTTPs para conectar a la App Store (y de los ataques que nos libramos con esta medida)

Muchos usuarios de dispositivos de la manzanita tienen la absurda sensación de estar ante unos sistemas operativos inexpugnables, cuando la realidad es otra bien distinta.

aplestore

Apple aplica un principio muy efectivo en todos sus diseños: Simplicidad. Cuando tu compras un dispositivo iOS o Mac OS, te encuentras ante un entorno ameno para el usuario (algo que deberían aprender la competencia), donde las acciones son por lo general intuitivas y sencillas.

Pero esta estrategia tiene un precio, y es que en muchísimos casos, se deja en el tintero opciones o características que podrían ser necesarias para según qué situación, y que sencillamente no puedes llevarlas a cabo. De ahí que aparezcan vulnerabilidades realmente inquietantes, como el hecho de no poder desactivar la conexión automática a redes wifis a no ser que nos conectemos (lo que hace a todos los dispositivos iOS vulnerables a usurpación de Wifis).

En este caso, la noticia de hoy es buena, y es que por fin Apple ha tomado medidas en una situación que hace tiempo se le escapaba de las manos (hablamos de Julio del 2012), y que no había solucionado hasta ahora.

Desde la próxima actualización, todas las conexiones a la App Store se harán mediante protocolo seguro (Facebook es otra de las empresas que recientemente ha tomado esta medida), siguiendo los pasos de su servicio de música (y compra digital) iTunes.

Con este cambio, se consiguen dos hitos. Por un lado, conseguimos que la App Store pueda ser navegada y se pueda descargar aplicaciones para VPN, que normalmente son evitadas mediante filtros en redes privadas (o redes de gobiernos autoritarios). Esta situación acabará por normalizarse nuevamente, tan pronto los gobiernos de turno firmen con un CA las nuevas solicitudes, que volverán a pasar por el filtro, aprovechándose de un Man in the middle de toda la vida (pero legal, ya que lo hace el gobierno…). Como dato anecdótico, éste tipo de certificados son aceptados directamente por Apple, y no por el usuario (volvemos a hablar sobre Simplicidad), lo que favorece la censura de su propio servicio.

Y por el otro, pone fin a unos cuantos vectores de ataques bastante sencillos de llevar a cabo, ya que los datos personales pasarán a enviarse cifrados (y no en texto plano como la conexión HTTP tradicional). De esta manera, ya no resulta tan directo robar una contraseña (antes sólo bastaba con estar en la misma red wifi, lanzar un listenner y esperar a que el usuario entrase en la App Store para descargarse algo), redirigir la petición de descarga de una app a otra (por ejemplo con malware) o realizar una actualización falsa (y de paso meterle un regalito).

Ahora solo falta que hagan caso a la larga lista de deficiencias en materia de seguridad que tiene el sistema operativo móvil, y que en un futuro no muy lejano podamos hablar de iOS como un SO  inexpugnable.