En medio del estira y afloja entre la Oficina Federal de Investigación (FBI) y Apple sobre el concepto de encripción del iPhone, los investigadores de la Universidad Johns Hopkins publicaron un reporte acerca de una vulnerabilidad que irónicamente echa por tierra las técnicas de encripción del gigante tecnológico. La institución localizada en Baltimore compartió los detalles de una falla presente en los sistemas operativos iOS y OSX que transmite mensajes a través de la aplicación de mensajería instantánea, iMessage – lo cual podría permitir que un atacante inhabilite la encripción de fotos, videos y mensajes enviados.
Matthew D. Green, profesor de ciencias de la computación y quien encabeza al equipo de investigadores, aseguró que la falla podría haber estado presente desde el año pasado, lo que demuestra que el proceso de encripción divulgado por la compañía en una guía de seguridad era débil.
Después de varios meses de observación, el equipo de Green montó un ataque de prueba de concepto que desafío a la encripción de fotos y videos enviados a través de la aplicación antes mencionada. Varios intentos de ataque después, los estudiantes lograron afectar a los dispositivos que tenían versiones obsoletas del sistema operativo.
Fue posible interceptar los archivos mediante la creación de software que se hacía pasar por un servidor de Apple. La transmisión encriptada a la que se interceptó contenía un enlace a una foto que se había almacenado en el servidor de iCloud junto con una clave de 64 dígitos utilizada para desencriptarla. También se informó que una versión modificada del ataque podía funcionar en versiones más recientes del sistema operativo. Mediante el uso de esta clave, los investigadores pudieron tener acceso a una foto del servidor de Apple. El resultado de este ataque de prueba es una advertencia de que un criminal cibernético podría hacer esto fácilmente sin que el usuario se entere.
El reporte también demuestra que la explotación podría utilizarse para desencriptar los mensajes que se quedaron sin enviar por iMessage, pero que permanece en los servidores de iCloud durante 30 días.
Sin embargo, en el contexto de la reciente fricción entre Apple y el FBI, los investigadores destacaron que el descubrimiento de la vulnerabilidad de ninguna manera ayuda a éste último a tener acceso al dispositivo en cuestión involucrado en el tiroteo de San Bernardino. Tal como Green dijo en una declaración: “Incluso Apple, con todas sus capacidades – y que tiene excelentes criptógrafos – no pudo resolverla. Es por ello que me asusta que estemos teniendo esta conversación sobre agregar backdoors a la encripción cuando si siquiera podemos hacer bien la encripción básica”.
Se le notificó a Apple sobre esta vulnerabilidad después de que el equipo de investigación la descubriera. En una declaración, la compañía aseguró, “Apple se esfuerza en hacer a su software más seguro con cada nueva versión. Le agradecemos al equipo de investigadores que haya identificado esta vulnerabilidad y nos lo notificara para poder resolverla. La seguridad requiere de una dedicación constante y estamos agradecidos de tener una comunidad de desarrolladores y de investigadores que nos ayuden a estar a la vanguardia”.
Respecto a la notificación, Apple dijo que el problema de seguridad se ha “corregido parcialmente” el otoño pasado con la liberación de iOS 9. Se ha urgido a los usuarios a mantener sus dispositivos actualizados – desde teléfonos hasta laptops – con las mejoras a la seguridad que se incluyen en iOS 9.3.
Leave a Reply