En su comunicado Apple asegura que los sistemas de seguridad de “punto a punto” de iOS son muy superiores a los de sus competidores.
En un acto poco habitual, Apple ha respondido directamente al documento publicado por Google sobre la seguridad de iOS, cuánto tiempo duraron los ataques y cuánta gente fue alcanzada por esos fallos de seguridad.
En resumen, el comunicado de Apple viene a decir que Google ha sido tremendamente parcial en sus afirmaciones y que caracteriza la situación no sólo para mostrarla mucho peor de lo que fue, sino para que parezca que sólo afectó a los dispositivos con iOS (cuando en realidad los tres sistemas operativos, iOS, Android y Windows Mobile, estaban igual de expuestos.
Este es el comunicado oficial de Apple. Lo traducimos para mayor comodidad y debajo ponemos el original en inglés.
La semana pasada, Google publicó un informe en su blog sobre vulnerabilidades que Apple corrigió para todos los usuarios de iOS en Febrero. Nos ha llegado la preocupación de algunos usuarios por algunas afirmaciones [realizadas por Google] y queremos asegurarnos de que todos nuestros clientes conocen los hechos.
Primero, el sofisticado ataque tenía un enfoque muy limitado, no un objetivo generalizados de iPhones “en masse” como se describe. El ataque afectó a menos de una docena de páginas web que se centraban en contenidos relacionados con la comunidad Uighur. Sin importar la escala del ataque, nos tomamos la seguridad y la protección de todos los usuarios extremadamente en serio.
El artículo de Google, publicado seis meses después de que se aplicaran los parches correspondientes en iOS, crea la falsa impresión de una “explotación masiva” para “monitorizar las actividades privadas de poblaciones completas en tiempo real”, creando miedo entre todos los usuarios de iPhone de que sus dispositivos hubieran resultado afectados. Ese caso nunca se dio.
Segundo, todas las evidencias indican que estos ataques de páginas web sólo estuvieron operativas durante un breve periodo de tiempo, apenas dos meses, no “dos años” como implica Google. Corregimos esas brechas en Febrero -trabajando muy rápido para resolver el problema en sólo diez días desde que conocimos la situación. Cuando Google nos contactó, ya estábamos en el proceso de corregir los fallos.
La seguridad es un viaje sin final y nuestros clientes pueden tener la seguridad de que estamos trabajando para ellos. La seguridad de iOS no tiene rival porque asumimos la responsabilidad de principio a fin en nuestro hardware y nuestro software. Nuestros equipos de seguridad de producto en todo el mundo están continuamente mejorando para introducir nuevas protecciones y corregir fallos tan pronto como se descubren. Nunca abandonaremos nuestro incansable trabajo para mantener seguros a nuestros clientes.
Last week, Google published a blog about vulnerabilities that Apple fixed for iOS users in February. We’ve heard from customers who were concerned by some of the claims, and we want to make sure all of our customers have the facts.
First, the sophisticated attack was narrowly focused, not a broad-based exploit of iPhones “en masse” as described. The attack affected fewer than a dozen websites that focus on content related to the Uighur community. Regardless of the scale of the attack, we take the safety and security of all users extremely seriously.
Google’s post, issued six months after iOS patches were released, creates the false impression of “mass exploitation” to “monitor the private activities of entire populations in real time,” stoking fear among all iPhone users that their devices had been compromised. This was never the case.
Second, all evidence indicates that these website attacks were only operational for a brief period, roughly two months, not “two years” as Google implies. We fixed the vulnerabilities in question in February — working extremely quickly to resolve the issue just 10 days after we learned about it. When Google approached us, we were already in the process of fixing the exploited bugs.
Security is a never-ending journey and our customers can be confident we are working for them. iOS security is unmatched because we take end-to-end responsibility for the security of our hardware and software. Our product security teams around the world are constantly iterating to introduce new protections and patch vulnerabilities as soon as they’re found. We will never stop our tireless work to keep our users safe.
Toda la nota de Apple destila una enorme decepción porque Google haya elegido jugar sucio, buscando titulares y haciendo uso del tremendismo para crear una falsa sensación de inseguridad entre los usuarios de iPhone, sin mencionar en ningún momento que el propio sistema operativo de Google, Android, que utilizan la mayoría de los terminales de todo el mundo, también eran susceptibles de recibir el mismo ataque si visitaban esas páginas web.
Google, a preguntas de The Verge, envió una respuesta que, en mejor estilo corporativo, en vez de responder a las acusaciones de Apple desvía el tiro para hablar de la importancia del vapor de agua en las nubes.
Nuevamente os traducimos el comunicado de Google y luego os ponemos el original en inglés.
Project Zero public investigaciones técnicas diseñadas para avanzar en la comprensión de las vulnerabilidades de seguridad, que permiten mejores estrategias de defensa. Respaldamos nuestra profunda investigación que se escribió para centrarse en los aspectos técnicos de esas vulnerabilidades. Seguiremos trabajando con Apple y otras empresas para seguir manteniendo a la gente a salvo en internet.
Project Zero posts technical research that is designed to advance the understanding of security vulnerabilities, which leads to better defensive strategies. We stand by our in-depth research which was written to focus on the technical aspects of these vulnerabilities. We will continue to work with Apple and other leading companies to help keep people safe online.
Nota: Los uighures
Los uigures, uygures o uighures son un grupo étnico que vive en las regiones del noroeste de la República Popular China, principalmente en la Región Autónoma Uigur de Sinkiang. También se encuentran miembros de este pueblo en Uzbekistán, Kazajistán y Kirguistán.
