En respuesta a las alegaciones de que la compañía de Cupertino dispone de “puertas traseras” dentro de iOS para acceder y distribuir la información del usuario a agencias gubernamentales, Apple ha publicado un comunicado negando tal actividad explicando específicamente los pasos que se han tomado para proteger la privacidad de los datos de los propietarios de dispositivos con iOS.
Las acusaciones de que Apple dispone de un acceso no autorizado a los contenidos de un dispositivo con iOS fueron hechas por el investigador de seguridad foresense Jonathan Zdziarski durante la celebración del evento Hackers On Planet Earth (HOPE/X). Durante su intervención en el evento Zdziarski expuso que hay una serie de elementos sospechosos introducidos en el diseño de iOS que podrían utilizarse como pasarelas para poder extraer información utilizando herramientas especializadas. Concretamente los servicios citados por Zdziarski fueron “lockdownd,” “pcapd,” y “mobile.file_relay” que supuestamente pueden sobrepasar las medidas de encriptación y pueden ser explotados vía USB, Wi-Fi e incluso posiblemente a través de la propia red de telefonía convencional. Estos procesos no están documentados de forma pública por Apple y el investigador de seguridad ha citado que expresamente no aaprecen tampoco entre las opciones de desarrollo para los proveedores de telefonía.
Zdziarski, con su presentación, indicó de forma específica que no está sugiriendo que haya una gran conspiración puesta en marcha para acceder a los datos de los usuarios, pero que sí hay una serei de servicios que no deberían estar allí y que han sido intencionalmente añadidos por Apple en el firmware del dispositivo además de que pueden sobrepasar la protección por encriptación de los contenidos del mismo. A pesar de tratar de mitigar la importancia de este hecho, el propio investigador indicó que algunas empresas de software forense como Cellebrite y Elcomsoft ya están utilizando estas puertas traseras para extraer información de los dispositivos bajo solicitud de la policía y otras agencias de seguridad gubernamental.
Apple por su parte ha respondido con rapidez a las acusaciones sobre la existencia de estas puertas traseras en un comunicado hecho al Financial Times quemo ha sido publicado en su totalidad por el medio. Según Apple, “hemos diseñado iOS para que sus funciones diagnósticas no comprometan la seguridad y privacidad del usuario pero que si ofrezcan información a los departamentos técnicos de las empresas, desarrolladores y Apple para solucionar problemas técnicos”, añadiendo que “Un usuario debe haber desbloqueado el dispositivo y permitir el acceso a un ordenador de confianza antes de que el ordenador pueda acceder a la limitada cantidad de datos de diagnóstico. EL usuario debe aceptar que esa información de diagnóstico se comparta y los datos nunca son transferidos sin su consentimiento”.
Apple reitera anteriores declaraciones en las que ha dicho que no ha trabajado nunca con ninguna agencia gubernamental para crear ningún tipo de puerta trasera en productos de consumo o servicio añadiendo que algunas de las “vulnerabilidades” presentadas por Zdziarski corresponden al sistema de seguridad de certificados, no desarrollado por Apple, que puede permitir a un hacker utilizar un certificado malicioso para obtener así información. Este problema no solo afecta a Apple, sino también a otras webs y empresas incluyendo a Google o más recientemente, a Microsoft.
Rápida reacción de Apple. Bien hecho.