Hace unos días, durante su Conferencia Mundial de Desarrolladores, Apple presentó la nueva versión de su sistema operativo: iOS 8. La compañía reveló muchas nuevas características del sistema en diferentes categorías. Por ello, es momento de revisar las posibles implicaciones de seguridad alrededor de dichas mejoras.
Debido a que el iOS 8 aún no ha sido liberado, no está definido exactamente cómo se van a implementar estas funciones y, con base en la información disponible, existe un conjunto de características de seguridad que deben reforzar los niveles de protección de los dispositivos iOS.
Extensiones de aplicaciones iOS, - Más que un teclado de un tercero
Una de las mejoras más discutidas del iOS 8 es su extensión de aplicaciones, que permitirá que las apps de terceros se comuniquen entre sí. Con ello, se pueden enviar y recibir datos desde una aplicación a otra a través de un broker iOS. Esto debilita el concepto de los llamados sandbox, que limitan los recursos a los que una app puede tener acceso y permite crear una amplia gama de nuevas interacciones. Mientras que muchos están atentos sólo a la llegada de los teclados de terceros, podría ser posible también una integración orgánica más profunda de apps de redes sociales o administradores de contraseñas. Debido a las limitaciones en la memoria, se espera que las extensiones sólo corran durante un periodo corto y puedan ser eliminadas después. Las extensiones serán ejecutadas por el system framework en su propio ambiente, esto quiere decir que no correrán dentro del espacio de la aplicación del tercero.
Los desarrolladores de iOS que quieran usar esta característica tendrán que abrir sus apps y prepararlas para recibir comunicación de las extensiones. El proceso del broker de iOS muy probablemente revisará las comunicaciones de las extensiones para asegurarse de que no sean maliciosas. Aunque estas extensiones técnicamente podrían leer datos de otras aplicaciones usando el mismo almacenamiento estándar, interceptar algo del tráfico que pase entre las aplicaciones o generar un keylogger, las probabilidades de que una extensión maliciosa llegue a la App Store de Apple son muy pocas. Las extensiones serán pre-analizadas por Apple, como cualquier otra aplicación, de manera que se espera que las extensiones maliciosas se detengan antes de que lleguen a los propietarios de dispositivos iOS.
Touch ID, más allá de desbloquear la pantalla
Desde su introducción el año pasado, la autenticación con huella digital Touch ID parece haber ayudado a mejorar la seguridad de los dispositivos iOS. De acuerdo con Apple, antes de Touch ID menos de la mitad de los usuarios de iPhone implementaban una contraseña para desbloquear su dispositivo. Ahora, gracias al scanner de huella digital, 83% de ellos la tienen.
En vista de esto, iOS 8 impulsará las habilidades del Touch ID, que podría ayudar a los usuarios a entrar a las aplicaciones de terceros de una forma más segura. Pronto, Touch ID servirá también para tener acceso a las aplicaciones de terceros que estén almacenadas de forma segura en su iOS, lo que significa que no habrá necesidad de poner su contraseña cada vez que entran a una app. Además de brindar protección mejorada - al saber que no deben ingresar su contraseña cada vez que acceden- esta característica puede motivar a los usuarios a generar contraseñas más fuertes y más complejas para sus aplicaciones. Asimismo, los usuarios tendrán que pensar muy bien qué huellas digitales de sus amigos o familiares registrarán en su dispositivo pues con esto ellos tendrán acceso amplio a sus aplicaciones.
Administrando el hogar y la salud, a través del dispositivo móvil
Dos aplicaciones interesantes para las nuevas características del iOS 8 son HealthKit y HomeKit. HealthKit permitirá a las aplicaciones de salud compartir información entre sí, mientras que HomeKit permitirá a los usuarios controlar aparatos electrodomésticos y sistemas de seguridad de su hogar con su dispositivo iOS.
La incorporación de las plataformas HealthKit y HomeKit a la plataforma iOS 8 es un sueño para los desarrolladores de servicios Quantified Self y de dispositivos dentro del Internet de las Cosas. Una integración imperceptible de sus servicios en el smartphone o en su tablet le puede dar a los usuarios un mayor nivel de control de su casa y de su salud. Por supuesto, considerando las políticas de bring your own device en el trabajo, los usuarios deberán asegurarse de que su empleador no pueda tener acceso a su información privada de salud o control del sistema de automatización de su hogar, especialmente cuando esta información puede abrir la puerta de la casa. Otra inquietud en caso de robo o extravío del dispositivo es que quien lo tiene en su poder lo limpie de forma remota; el usuario debe asegurarse de tener un respaldo, en caso de que se queden sin poder entrar a su propia casa.
Los dispositivos móviles serán un objetivo de gran interés para los atacantes, considerando la información cada vez más sensible que contienen, o lo que controlan con estos. Aunado a ello, hay preguntas de privacidad que se tienen que responder, pensemos en esto: tener una pestaña con nuestro historial médico y contactos de emergencia en nuestra pantalla de bloqueo nos podría salvar la vida, ya que un paramédico puede ver qué medicinas tomamos. Pero la misma pestaña puede ser vista por un colega de trabajo curioso si dejamos nuestro teléfono descuidado.
Otras características del iOS 8 que pueden impactar la seguridad
iOS 8 abrirá su centro de notificaciones a widgets y permitirá acceso de voz a Siri sin necesidad de tocar nada. Estos son movimientos anticipados desde hace tiempo pero abren más posibilidades de ataques. Existe el peligro de que personas maliciosas aprovechen estas características en un dispositivo bloqueado para tener acceso a alguna información interna. Por ejemplo, si un usuario de iPhone descuida su teléfono, alguien podría controlar las notificaciones que aparecen en el dispositivo, como por ejemplo las reuniones del día. Bromistas podrían también dejar mensajes de voz ofensivos en los dispositivos.
Además de lo ya mencionado, hay otras mejoras del iOS 8 que podrían tener implicaciones de seguridad:
- VPNs encendidas todo el tiempo. Esta característica podría mejorar enormemente la seguridad cuando un dispositivo iOS está conectado a un hotspot Wi-Fi, ya que los usuarios no necesitan conectarse explícitamente a la VPN para beneficiarse de ella.
- Función anti-rastreo. La introducción de un control aleatorio de acceso a medios (MAC, por sus siglas en inglés) durante la búsqueda de redes Wi-Fi hará más difícil a los atacantes rastrear a los usuarios. Desafortunadamente, aun así será posible ubicar estos dispositivos una vez que estén conectados a la misma red Wi-Fi que un atacante o a través de otros identificadores.
- Air-Drop para compartir archivos de forma espontánea. La principal preocupación sobre este servicio es que un usuario pueda ser engañado y aceptar archivos maliciosos o pueda compartir documentos sensibles de forma no intencionada de la persona equivocada.
- Hotspot simple e instantáneo. iOS 8 permitirá a los usuarios convertir su dispositivo móvil en un hotspot con un solo clic. Sin embargo, esto podría permitir a otras personas fingir emparejarse con este dispositivo y “colgarse” de él.
- Handoff. Esta característica permite a los usuarios empezar a trabajar en un dispositivo iOS y continuar en un segundo dispositivo. No está claro si la información pasará a través de la nube o se enviará directamente al dispositivo. Apple tampoco ha detallado cómo se va a asegurar la información de otras partes que estén tratando de interceptarla.
- Swift. El lenguaje de programación Swift tendrá impacto en la calidad del código que los desarrolladores producen pero tomará mucho tiempo hasta que todos ellos cambien totalmente de lenguaje.
Es motivador ver a Apple hablar de seguridad y proporcionando funciones para mejorar aún más la protección de los dispositivos iOS y su información. Sabremos su efectividad cuando iOS 8 se libere y veamos si los ataques incrementan o disminuyen. Mientras tanto y hasta que estas características estén disponibles, sugerimos a los usuarios de dispositivos móviles, como siempre, que estén atentos cuando instalen aplicaciones o habiliten nuevas funciones.