Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

apple

Echo muchas pestes de Apple, pero si hay algo que tengo que reconocer que están haciendo muy bien es apostar por ofrecer unos productos y servicios que son la envidia del sector en cuanto a seguridad y privacidad.

Productos caros de cojones, sí, pero cuyo negocio ataca únicamente a la cartera del cliente, no a sus datos.

Y bajo este prisma, la App Store, con sus deficiencias, es un ejemplo a seguir en esto del sandboxing y los controles de seguridad.

Que como cualquier plataforma abierta a desarrollos de terceros algo de malware siempre se acaba metiendo. Esperar que el sistema sea 100% efecto es utópico. Pero el ser dueños y señores de todo el hardware y todo el software que corre por los terminales les permite un nivel de control que ni Android ni Windows, ni por supuesto Linux puede esperar tener jamás.

Ahora bien, hecha la ley, hecha la trampa, y si el problema en esto de vulnerar la seguridad de un usuario de iPhone/iPad es conseguir que éste instale nuestra app maliciosa, y que por limitaciones del propio ecosistema, esto solo se puede hacer desde la AppStore, los cibercriminales buscan maneras ingeniosas de llegar bypaseándola.

Y no, no hablo de ofuscaciones de código ni nada por el estilo.

Simplemente el cómo el certificado empresarial de Apple está siendo utilizado para distribuir software ilegítimo en iOS (EN) saltándose algunos de sus controles.

Un certificado empresarial tiene como objetivo testear aplicaciones “de manera interna”. El problema es que hasta ahora Apple no estaba controlando que en efecto su uso fuese únicamente interno, y por tanto, pululan por ahí centenares de aplicaciones fraudulentas (no siempre tiene por qué ser malware; hay muchas que ofrecen versiones libres de publicidad de otras aplicaciones ampliamente utilizadas como Spotify o Facebook, y otras muchas con temáticas que están prohibidas en el market, como la pornografía y los juegos de casino) que vienen firmadas con un certificado empresarial.

Y el problema es más grave de lo que parece, ya que junto a sospechosos habituales como TutuApp, Panda Helper, AppValley y TweakBox aparecen otros como el propio Facebook, que al parecer han utilizado su certificado empresarial para ofrecer aplicaciones que recopilaban datos del usuario (EN) haciendo uso de funciones prohibidas por Apple.

Parece que los de Cupertino están por la labor de meter mayores controles a la emisión de certificados empresariales, empezando por un sistema de autenticación en dos pasos obligatorio, y habida cuenta de que algunos desarrolladores a los que les pillan con esta táctica y les bloquean el certificado simplemente se crean otro y replican continuamente sus aplicaciones.

Pero está claro que más allá de este control extra, que en efecto mitigará algo el impacto del uso tergiversado de los certificados empresariales, lo que falta es que Apple se ponga las pilas y encuentre el equilibrio adecuado entre el control que debe pasar cualquier aplicación para ser distribuida en la AppStore, y el control que debería pasar cualquier aplicación interna, que permita a los desarrolladores seguir probándola de manera sencilla sin que ello suponga un vector de ataque al resto de usuarios.

Una tarea nada fácil. Ya te lo puedo asegurar…

________

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

Articulo exclusivo PabloYglesias