Revisión de las
mejoras presentadas por Apple en la actualización del documento que detalla las
medidas de seguridad de iOS 7 (parte II)
AirDrop es una
característica cómoda para intercambiar archivos entre usuarios cuyos
terminales estén cerca físicamente. Se apoya en BTLE (Bluetooth Low-Energy) y
en la creación de una conexión de pares sobre WiFi.
Cuando un usuario habilita AirDrop se crea una
identidad en RSA de 2048 bits que es almacenada en el dispositivo. Igualmente,
se crea un hash a partir del correo electrónico y número de teléfono del Apple
ID del usuario. Cuando un usuario quiere compartir un archivo a través de
AirDrop su dispositivo emite una señal sobre BTLE que es respondida por
dispositivos con AirDrop activado emitiendo una versión acortada de su propio
hash.
El emisor original compara estos hash con los
hashes de sus contactos en la agenda y crea una conexión WiFi para preparar el
envío. Es importante señalar que si tenemos activado AirDrop revisemos que modo
de compartición tenemos establecido ya que existe un modo en el cual podemos
compartir con todo el mundo.
Destacar que la comunicación se establece
entre pares a través de la antena WiFi de los dispositivos, independientemente
de si están conectados a un punto de acceso. La comunicación una vez
emparejados por el protocolo Bonjour se efectúa de manera cifrada por TLS.
Servicios de Internet
- Se incluye un nuevo apartado en el que se describen las medidas de seguridad implementadas para los servicios de Internet iMessages, FaceTime, Siri e iCloud.
- iMessages funciona sobre una implementación de clave pública en la que son generadas dos pares de llaves cuando el usuario inicia sesión en la aplicación, una clave RSA de 1280 bits y otra, ECDSA de 256 bits para firma. Las llaves privadas son almacenadas en el anillo local del sistema mientras que las públicas son subidas a los servidores de directorio de Apple donde son asociadas al número de teléfono o correo electrónico del usuario. El intercambio de mensajes se efectúa de manera cifrada usando AES-128 como CTR, los mensajes se envían firmados con la clave privada del usuario.
- FaceTime utiliza el mismo esquema de iMessages solo que se usa SIP para que los clientes puedan autenticarse mutuamente y establecer una conexión directa entre los dispositivos. En el inicio de la sesión comparten una clave privada para cifrar todas las comunicaciones, se usa un cifrado AES-256 sobre el protocolo de streaming SRTP.
- Sobre Siri, Apple admite que envía información del tipo lista de canciones, artistas y listas de reproducción, lista de recordatorios y clase de relación entre los contactos de la agenda y el usuario. La comunicación se establece sobre HTTPS. Cuando el usuario inicia Siri el dispositivo envía el nombre y apellido del usuario junto su localización geográfica para activar los servicios de localización de tiendas, previsión meteorológica, etc. Apple indica que dicha información es descartada después de 10 minutos, no obstante no explica si esa información "descartada" es borrada o es reutilizada internamente.
- Sobre los mensajes de voz del usuario, Apple almacena dichos mensajes (la voz del usuario) durante 6 meses para, según Apple, mejorar el reconocimiento de la voz del usuario.
- iCloud, el servicio de nube de Apple es descrito con bastante detalle. iCloud solo sincroniza los datos del terminal cuando éste está bloqueado, conectado a corriente y existe una conexión WiFi activa. Los datos viajan cifrados y son almacenados en dicha forma en los servidores del servicio.
- El resto de mejoras incluyen pequeñas adiciones o actualizaciones sobre el documento anterior. Se trata de un documento que los usuarios preocupados por la seguridad van a agradecer en parte por la escasa información que la compañía suele ofrecer en ciertas cuestiones. Más allá del usuario, el documento parece estar diseñado para la evaluación de la integración del sistema en ambientes corporativos, lugar que todavía no tiene un claro ganador.
- Apple actualiza el informe sobre seguridad en iOS (I) http://unaaldia.hispasec.com/2014/03/apple-actualiza-el-informe-sobre.html
- iOS Security February 2014 http://images.apple.com/iphone/business/docs/iOS_Security_Feb14.pdf
- una-al-dia (07/06/2012) Apple explica la seguridad de iOS http://unaaldia.hispasec.com/2012/06/apple-explica-la-seguridad-de-ios.html
