El científico forense Jonathan Zdziarski causó gran revuelo
al publicar una presentación donde explicaba que Apple ha creado “varios
servicios y mecanismos” que permiten a Apple – y, potencialmente a organismos
gubernamentales o terceros- extraer gran cantidad de datos personales de los
dispositivos iOS. Según el experto, no hay manera de impedir la fuga de datos,
junto con no haber consentimiento expreso otorgado por los usuarios finales.
Zdziarski expuso sus argumentos en una charla denominada “La
identificación de las puertas traseras, puntos de ataque, y los mecanismos de
vigilancia en los dispositivos iOS”, dictada en la conferencia anual de hackers
HOPE X, realizada la semana pasada en Nueva York.
Esta sería la respuesta de Apple, transcrita por Zdziarski
en su blog:
“Hemos diseñado iOS para que sus funciones de diagnóstico no
pongan en peligro la privacidad del usuario y la seguridad; pero que aún así
proporcionen la información necesaria a los departamentos de TI de las
empresas, desarrolladores y Apple para solucionar problemas técnicos. Es
necesario que el usuario haya desbloqueado el dispositivo, y acordado confiar
en otro equipo, antes que éste equipo tenga la capacidad de acceder a estos
datos de diagnóstico limitados. El usuario debe estar de acuerdo en compartir
esta información, y los datos nunca son transferidos sin su consentimiento.
Como hemos dicho antes, Apple nunca ha trabajado con ninguna agencia del
gobierno de cualquier país para crear una puerta trasera en cualquiera de
nuestros productos o servicios”
En este contexto, la última frase parece haber sido
cuidadosamente redactada. Zdziarski no ha dicho que Apple haya trabajado con la
NSA, o cualquier otro organismo, con el fin de crear una puerta trasera. De
acuerdo con su presentación en Nueva York, el experto asegura que la propia
Apple ha creado servicios indocumentados, los cuales pueden ser utilizados por
Apple, y potencialmente por entidades como la NSA, para extraer los datos de
carácter personal. El enfoque es, por lo tanto, distinto, y podría constituir
un intento de Apple por desviar la atención del tema real.
Esta es la respuesta de Zdziarski a Apple:
“El problema es que estos servicios transmiten los datos
(eludiendo el cifrado de la copia de seguridad), independientemente de si el
usuario haya activado o no la función “Enviar datos de diagnóstico a Apple”, o
si el dispositivo está gestionado por una política empresarial interna. Por lo
tanto, si estos servicios fueron diseñados por los fines señalados por Apple,
podría suponerse que sólo funcionarían si el dispositivo está siendo
gestionado/supervisado, o si el usuario ha activado el modo de diagnóstico.
Desafortunadamente, este no es el caso y no hay manera de desactivar estos
mecanismos. Como resultado, todos y cada uno de estos dispositivos tienen estas
características habilitadas y no hay manera de desactivarlas. Tampoco se pide
al usuario consentimiento para enviar este tipo de datos personales fuera del
dispositivo. Esto hace que sea mucho más difícil creer que Apple está realmente
diciendo la verdad”.
El experto continúa señalando: “Apple admite entonces haber
habilitado estas puertas traseras, independientemente de la legitimidad que la
propia Apple les otorga, por servir sus propios objetivos; desafortunadamente,
la situación pone de relieve una grave vulneración de la privacidad del
usuario”.
“Entiendo que cada sistema operativo tiene funciones de
diagnóstico. Sin embargo, en el caso observado estos servicios rompen la
promesa que Apple hace al consumidor, en el sentido que cuando ingresa su
contraseña en una copia de seguridad; los datos sólo abandonarán su dispositivo
en modo cifrado. Asimismo, el consumidor no tiene conocimiento de estos
mecanismos, ni tampoco le son presentados en modo alguno por el dispositivo.
Simplemente no hay manera de justificar la fuga masiva de datos resultante de
estos servicios, y que ocurre sin el consentimiento explícito del usuario”,
agrega Zdziarski.
La conclusión del experto es rotunda: “No me lo creo por un
minuto que estos servicios hayan sido creados exclusivamente con fines de
diagnóstico. Los datos que filtran son de naturaleza extremadamente personal.
No hay notificación al usuario. Una verdadera herramienta de diagnóstico habría
sido diseñada para respetar el usuario, presentando un cuadro de diálogo al
intentar acceder a los datos, así como lo hacen otras aplicaciones. Asimismo,
respetarían el cifrado de seguridad”.
El experto concluye su nota con la siguiente pregunta:
“Dime, ¿cuál es la idea al prometer cifrado al usuario, instalando a la vez una
puerta trasera que lo elude?”
Fuente: diarioti.com
No hay comentarios:
Publicar un comentario