No es la primera vez que se habla de
Charlie Miller, un experto en seguridad que ha expuesto en ocasiones los fallos de la plataforma Mac OS X. Esta clase de investigaciones siempre son utilizadas por las empresas afectadas para mejorar y tapar esas vulnerabilidades.
La historia de hoy es por lo menos inquietante pues el investigador creó una aplicación que fue aprobada en el App Store y que pone en evidencia este agujero en el sistema operativo móvil de la manzana.Tal como se puede ver en el vídeo la aplicación es inofensiva aparentemente, pues se ha concebido para consultar los valores de las empresas que cotizan en bolsa, pero esconde un software malicioso con el que se puede acceder vía remota, es decir desde un servidor externo, al contenido personal del iPhone como fotos, correo electrónico, etc, y todo gracias a un problema encontrado en Safari mobile.
Charlie Miller ha explicado a la publicación Forbes que
espera dar todos los detalles de este exploit en una reunión que tendrá lugar en Taiwán en unos días, durante el evento SysCan 2011. Al parecer se debe a la integración tan profunda de Safari en iOS desde la versión 4.3.3, una decisión que se tomó para garantizar un funcionamiento mas rápido del navegador.
Y la situación es bastante delicada, pues cualquier desarrollador podría en teoría utilizar una aplicación normal con propósitos mas oscuros aprovechando esta vulnerabilidad. Quizás ese sea el motivo por el cual Apple ha expulsado a este experto del Developer Program y ha eliminado la aplicación llamada
Instastock, una decisión que ha molestado profundamente a Charlie Miller, quien aseguró en
Twitter:
Charlie Miller escribió:Primero me dan acceso como investigador a los programas de desarrollo, (aunque pagué por el mío) entonces ellos me sacan… por hacer investigación. Enojado.
Aun así bajo mi punto de vista este descubrimiento debería hacerles sentir un poco de vergüenza, pues pone en evidencia que la política de aprobación de aplicaciones en el App Store no está exenta de dudas. ¿Por qué unas veces se pone el acento sobre aspectos que no son tan importantes al remitir una aplicación móvil y otras veces se pasa por alto algo como esto?
En definitiva considero que en Cupertino deberían no solo comprobar el buen funcionamiento de una aplicación sino también su código, para impedir que esconda un programa con malas intenciones como este.
Y es de agradecer el trabajo de expertos como Charlie Miller que obligan a las empresas de tecnología a estar atentos a las seguridad de sus productos. Esperemos que Apple se den cuenta del potencial de este hombre y lo contrate o al menos que pronto libere una actualización de iOS que resuelva este problema, porque si no Charlie va a tener razón:
Charlie Miller escribió:Ese agujero de seguridad básicamente reduce la seguridad de iOS a la de Android.
