211service.com
Apple abre el código del iPhone en lo que podría ser una estrategia inteligente o un error de seguridad
Un segundo artículo sobre esta historia incluye información adicional de Apple.
Cuando Apple anunció una nueva versión de su sistema operativo móvil en San Francisco la semana pasada, los ejecutivos se jactaron de características como un Siri más inteligente y un copiado y pegado mejorado. Y, como de costumbre, anunciaron que los desarrolladores de software podrían descargar una versión preliminar del software antes de su lanzamiento en otoño.
Algunos expertos en seguridad que inspeccionaron esa nueva versión de iOS se llevaron una gran sorpresa.
Descubrieron que Apple no había oscurecido el funcionamiento del corazón de su sistema operativo mediante el cifrado, como lo había hecho la compañía antes. Piezas cruciales del código destinado a impulsar millones de iPhones y iPads quedaron al descubierto para que todos las vieran. Eso ayudaría a cualquiera que busque debilidades de seguridad en el software insignia de Apple.

Tim Cook en la conferencia de desarrolladores de Apple en San Francisco la semana pasada.
Los expertos en seguridad dicen que la famosa empresa reservada puede haber adoptado una estrategia nueva y audaz destinada a alentar a más personas a informar errores en su software, o puede haber cometido un error vergonzoso. Apple se negó a comentar por qué no siguió su procedimiento habitual.
(Nota del editor: Apple más tarde hizo un comentario, consulte 'Apple ahora dice que tenía la intención de abrir el código del iPhone').
La seguridad del software de Apple ha estado bajo escrutinio adicional desde que el FBI intentó, sin éxito, obligar a la empresa a ayudar a penetrar un dispositivo utilizado por el perpetrador del tiroteo masivo del año pasado en San Bernardino, California (ver ¿Qué pasa si Apple se equivoca?). Apple ha señalado que fortalecerá las funciones de seguridad y privacidad.
El corazón de un sistema operativo es un componente conocido como kernel, que controla la forma en que los programas pueden usar el hardware de un dispositivo y refuerza la seguridad. Apple ha encriptado previamente el kernel en las versiones de iOS, ocultando su funcionamiento exacto y obligando a los investigadores a encontrar formas de evitarlo o atravesarlo. Pero el kernel no quedó ofuscado en la versión preliminar de iOS 10 lanzada a los desarrolladores la semana pasada para los dispositivos Apple más recientes.
Eso no significa que la seguridad de iOS 10 esté comprometida. Pero buscar fallas en esta versión del sistema operativo será mucho más fácil, dice Jonathan Levin, autor de un libro en profundidad sobre el funcionamiento interno de iOS. Reduce considerablemente la complejidad de la ingeniería inversa, dice.
Los beneficios expuestos públicamente por primera vez incluyen una medida de seguridad diseñada para proteger el kernel de ser modificado, dice el investigador de seguridad. Mateo Solnik . Ahora que es público, la gente podrá estudiarlo [y] potencialmente encontrar formas de evitarlo, dice.
Algunas personas que encuentran errores de software se los comunican a las empresas para que puedan repararlos, pero también se pueden usar para crear malware o desarrollar jailbreaks, que son modificaciones no aprobadas por Apple.
No está claro por qué Apple ha abierto repentinamente su código. Una hipótesis en la comunidad de seguridad es que, como dice Levin, alguien dentro de la empresa cometió un error real. Pero él y Solnik dicen que hay razones para pensar que pudo haber sido intencional. Animar a más personas a estudiar minuciosamente el código podría dar lugar a que se revelen más errores a Apple para que pueda corregirlos.
Jonathan Zdziarski , otro experto en seguridad de iOS, favorece esa hipótesis, porque olvidar accidentalmente cifrar el kernel sería un error elemental. Esto habría sido un descuido increíblemente flagrante, como olvidar poner puertas en un ascensor, dice.
Abrir su código tendría sentido a la luz del reciente enfrentamiento de Apple con el FBI, señala Zdziarski. Originalmente, la agencia quería que Apple ayudara a penetrar el iPhone de San Bernardino, pero abandonó ese plan después de encontrar a un tercero que podría ingresar al dispositivo. Fue la evidencia más reciente de un comercio en expansión que vende vulnerabilidades de software a las fuerzas del orden (ver La creciente industria que ayuda a los gobiernos a hackear terroristas, criminales y opositores políticos). Abrir iOS para que cualquiera lo examine podría debilitar ese mercado al dificultar que ciertos grupos acumulen el conocimiento de las vulnerabilidades, dice Zdziarski.
Apple incluso ha sido acusada de alentar efectivamente ese mercado porque no ha sido tan amigable con los avisos de seguridad desde fuera de la empresa como lo han hecho rivales como Google y Microsoft. A diferencia de esas empresas, Apple no ofrece pagos en efectivo de recompensas por errores a las personas que revelan fallas que han encontrado en sus productos, por ejemplo. Sin embargo, si Apple intentara volverse más acogedor con la ayuda externa, el simple lanzamiento de un programa de recompensas por errores podría haber sido menos riesgoso que declarar repentinamente la temporada abierta en el kernel de iOS. Esto es una apuesta, dice Zdziarski. Pero puedo ver la posible razón por la que Apple puede haber decidido hacer esta apuesta.