Conclusiones clave
- Las vulnerabilidades recientemente reveladas en la aplicación de búsqueda de dispositivos de Apple podrían revelar su ubicación e identidad.
- La aplicación utiliza una red de colaboración de millones de dispositivos para localizar dispositivos "perdidos" y desconectados mediante Bluetooth.
- Los piratas informáticos podrían obtener acceso no autorizado a su historial de ubicación durante los últimos siete días y correlacionarlo con su identidad.
El sistema de rastreo de ubicación que te ayuda a encontrar dispositivos Apple también podría exponer tu identidad, dicen los investigadores.
Offline Finding le permite ubicar dispositivos Apple incluso si no están conectados a Internet. Apple ha dicho que la aplicación protege la privacidad del usuario, pero las fallas de seguridad informadas en el software muestran que el anonimato es difícil de encontrar en Internet. Según un artículo reciente publicado por investigadores de la Universidad Técnica de Darmstadt en Alemania, los piratas informáticos podrían obtener acceso no autorizado a su historial de ubicación durante los últimos siete días y correlacionarlo con su identidad.
"Lo que esto realmente nos muestra es que nunca nada es 100% seguro, e incluso después de los parches de Apple, los atacantes eventualmente encontrarán nuevas vulnerabilidades para explotar", dijo Jason Glassberg, cofundador de la firma de seguridad cibernética Casaba Security, en una entrevista por correo electrónico. "El problema más grande aquí es que nunca se puede garantizar la privacidad del usuario, y las personas deben cambiar su mentalidad de la idea de ser 'privados' a la realidad de simplemente ser 'menos explotados'".
Buscar e identificar
El equipo de Darmstadt descubrió que "el diseño general logra los objetivos específicos de privacidad de Apple", pero descubrieron dos vulnerabilidades "que parecen estar fuera del modelo de amenazas de Apple" y que podrían tener graves consecuencias.
El mayor problema aquí es que nunca se puede garantizar la privacidad del usuario.
Sin embargo, los expertos dicen que no hay que preocuparse demasiado por estos defectos.
"Aunque se encontraron dos fallas de seguridad en la función de búsqueda fuera de línea de Apple, ninguna de ellas fue particularmente grave y no se han reportado incidentes de explotación de estas vulnerabilidades en la naturaleza", Paul Bischoff, experto en privacidad de Comparitech, dijo en una entrevista por correo electrónico. "Apple ya ha reparado la más grave de las dos vulnerabilidades, por lo que los propietarios de iPhone deben actualizar sus dispositivos lo antes posible".
Una falla en la aplicación permitiría a Apple rastrear las ubicaciones de los usuarios, lo que iría en contra de su política de privacidad, dijo Bischoff. "Dicho esto, no hay evidencia que sugiera que Apple aprovechó esta vulnerabilidad, y los investigadores no dijeron que un atacante externo podría explotarla".
Otro error permitió a un atacante acceder al historial de ubicaciones almacenado en un iPhone, aunque primero necesitaban infectar un iPhone con malware. Si bien Apple pudo haber solucionado este problema, las fallas en la aplicación "Find My" destacan cómo los datos de ubicación pueden revelar dónde vive y trabaja alguien.
"Por ejemplo, si un usuario tiene una aplicación móvil específica para su automóvil, una transmisión de GPS podría identificar las tendencias de ese usuario cuando sale de la oficina que podría exponerlo a un robo de automóvil", Mark Pittman, director ejecutivo de Blyncsy, una empresa de inteligencia de datos y movimiento, dijo en una entrevista por correo electrónico. "Del mismo modo, si un usuario comparte el GPS desde una aplicación de citas, un depredador podría utilizarlo para rastrear y potencialmente agredir a un usuario".
Cómo protegerse
Supongamos que le preocupa que su identidad quede expuesta. En ese caso, puede optar por no participar en la red "Find My" en la configuración de la aplicación Find My iPhone, señaló el experto en seguridad cibernética Chris Hazelton, director de soluciones de seguridad de Lookout, en una entrevista por correo electrónico.
"Si quieren estar doblemente seguros, los usuarios pueden desactivar Bluetooth, que se usa para conectarse a dispositivos perdidos", dijo Hazelton. "Si bien es difícil evitar que se rastree su ubicación en general, una buena práctica es no permitir que ninguna aplicación rastree su ubicación de forma continua".
La decisión de optar por el servicio "Find My" depende del usuario, dijo Hazelton. Necesitan decidir si los beneficios del servicio de ubicación superan los riesgos de compartir su ubicación.
"Para servicios como Find My iPhone", agregó, "la mayoría de los usuarios que han perdido su dispositivo probablemente dirán que sí".
