Si hace unos días Apple mostraba su preocupación por la recogida de datos personales implícita por parte de algunas aplicaciones, ahora salta a la palestra por vulnerar, supuestamente, la privacidad de sus usuarios. Teniendo en cuenta que preservar la intimidad es fundamental para la compañía, se trata de una situación cuanto menos irónica. Y es que tras su gran evento “One More Thing” y el lanzamiento oficial de MacOS Big Sur, los usuarios han experimentado algunos problemas relacionados con la privacidad y seguridad que ponen en duda de la filosofía expresada por la marca.
Por un lado, las aplicaciones en el nuevo sistema operativo evitan los Firewalls y las VPN (Red Privada Virtual), lo que podría poner en riesgo tanto la seguridad de sus clientes como su información personal; por otro, entra en juego Gatekeeper, característica encargada de verificar los certificados de las aplicaciones de Apple, que es sospechosa de enviar datos de los usuarios a la empresa de Cupertino.
Las aplicaciones evitan los Firewalls y VPN
Al parecer, las aplicaciones de MacOS Big Sur eluden el Firewall y las VPN, lo que podría derivar en problemas de seguridad y privacidad para los usuarios. Esto ya fue descubierto por el usuario de Twitter @mxswd en la beta del sistema operativo y se esperaba que fuera resuelto al lanzar la versión definitiva. Sin embargo, no ha sido así y el potencial peligro persiste.
Posteriormente, esta información fue corroborada por Patrick Wardle, experto en seguridad, que añadió que, en las anteriores versiones de MacOS, los usuarios tenían la posibilidad de configurar un Firewall o VPN por medio de una extensión Kernel para facilitar el acceso seguro a las aplicaciones; no obstante, esto ya no es posible con MacOS Big Sur.
This is true 😭
Previously, a comprehensive macOS firewall could be implemented via a Network Kernel Extension (kext)
Apple deprecated kexts, giving us Network Extensions….but apparently (many of) their apps / daemons bypass this filtering mechanism.
Are we ok with this!? https://t.co/rYkDnuOgLJ
— patrick wardle (@patrickwardle) October 20, 2020
El principal problema que esto supone es que se podría aprovechar esta vulnerabilidad para enviar información privada delicada de los usuarios a un servidor remoto. Es difícil de creer que Apple no fuera consciente de esta cuestión al lanzar su software, sobre todo cuando ya se hizo patente en la beta, así que solo cabe preguntarse el porqué de esta falla de seguridad.
Los especialistas plantean dos opciones. La primera de ellas dice que, al ignorarse la VPN, es más difícil que los usuarios finjan estar en otros países, por lo que, de este modo, la empresa podría evitar engaños y ser más estrictos en lo referente a las licencias. La segunda opción asegura que Apple quiere mantener los datos y el tráfico de sus aplicaciones fuera de los servidores VPN.
¿Gatekeeper envía información privada?
En contraposición a lo antes mencionado, hay una característica que, en este caso, si entra en juego al intentar abrir una aplicación: Gatekeeper. Se trata de una característica de seguridad, ya presente desde 2012, encargada de determinar la validez del software de terceros y de bloquear cualquier malware y amenaza potencial. Y es que, al parecer, algunas aplicaciones no se ejecutan porque Gatekeeper no puede verificar correctamente los certificados correspondientes.
Para algunos esto implicaría una vulneración de la privacidad de los usuarios ya que, en el caso de que una aplicación sea bloqueada, Gatekeeper podría enviar datos de nuestra actividad a la compañía.
Tras el revuelo generado, Apple ha asegurado que no hay ninguna invasión de la privacidad y que no tiene la intención de espiar a los usuarios, como bien han expresado en un comunicado oficial: “Gatekeeper realiza comprobaciones en línea para verificar si una aplicación contiene malware conocido y si el certificado de firma del desarrollador está revocado. Nunca hemos combinado los datos de estos controles con información sobre los usuarios de Apple o sus dispositivos. No utilizamos los datos de estas comprobaciones para saber qué usuarios individuales están lanzando o ejecutando en sus dispositivos”.
Además, continúan afirmando que sus dispositivos son ahora más seguros que nunca ya que han dejado de registrar direcciones IP en sus servidores desde la semana pasada y se asegurarán de que todas las direcciones IP recopiladas se eliminen de los registros.
Por último, informan sobre nuevos cambios que se llevarán a cabo con el fin de mejorar la seguridad de los usuarios:
- Un nuevo protocolo encriptado para verificaciones de revocación de certificados de ID de desarrollador
- Fuertes protecciones contra fallas del servidor
- Una nueva preferencia para que los usuarios desactiven estas protecciones de seguridad.
