Un fallo en el "software" de Apple para dispositivos móviles
permitió a los piratas informáticos interceptar correos electrónicos y otras
comunicaciones que debían estar cifradas, dijo el viernes la compañía, y los
expertos dijeron que los computadores Mac habían estado incluso más expuestos.
Si los piratas tuvieron acceso a una red de usuarios de teléfonos, como
al compartir el mismo servicio WiFi inseguro ofertado por un restaurante,
pudieron ver o alterar intercambios entre usuarios y páginas seguras como Gmail
o Facebook. Los gobiernos con acceso a portadores de datos de
telecomunicaciones pudieron hacer lo mismo.
"Es tan malo como se puede imaginar, es todo lo que puedo
decir", dijo el profesor de criptografía de la universidad John Hopkins,
Matthew Green.
Apple no dijo cuándo o cómo descubrió el fallo en la manera en la que
iOS gestiona las sesiones, en lo que es conocido como la capa de Sockets segura
(SSL por sus siglas en inglés) o la capa de seguridad de transporte, ni como se
había explotado el fallo.
Pero una declaración en su página de asistencia decía: el software
"falló al validar la autenticidad de la conexión".
Apple lanzó parches para el software y una actualización para la actual
versión de iOS para el iPhone 4, y después para la quinta generación de los
iPod touch y el iPad 2.
Sin el arreglo, un pirata informático puede hacerse pasar por otro en
una página protegida y encontrarse en medio de datos de correo electrónico o
financieros que van entre el usuario y la página real, dijo Green.
Después de analizar el parche, varios investigadores de seguridad
dijeron que los mismos fallos existían en las versiones actuales de Mac OSX,
que funciona en los portátiles y computadores de escritorio de Apple. No hay
parches disponibles para ese sistema operativo por el momento, aunque se espera
que aparezca uno pronto.
Puesto que los espías y los piratas también estarán estudiando el
parche, podrían desarrollar programas para aprovecharse del fallo dentro de
días o incluso horas.
El asunto es un "auténtico coladero en la puesta en práctica del
SSL de Apple", dijo Dmitri Alperovich, jefe de la oficina de tecnología en
la empresa de seguridad CrowdStrike. Adam Langley, un veterano ingeniero de
Google, estuvo de acuerdo con CrowdStrike en que el OS X estaba en riesgo.
Apple no respondió a la petición de comentarios. El fallo parece estar
en la manera en la que los protocolos se pusieron en práctica, un lapso
embarazoso para una empresa de la altura y destreza de Apple.
La compañía se enfrentó recientemente a la filtración de documentos de
inteligencia que decían que las autoridades tenían un 100 por cien de éxito al
entrar en iPhones.
La noticia del viernes sugiere que los piratas pudieron haber tenido un
gran éxito si conocían el fallo.
Fuente: Reuters