Apple dice que los investigadores pueden examinar sus funciones de seguridad infantil. Pero está demandando a una startup que hace precisamente eso.

fuga de seguridad del iphone

Sra. tecnología





Cuando Apple anunció nueva tecnología esa voluntad verifique su servicio iCloud de EE. UU. para ver material conocido de abuso sexual infantil , fue recibido con feroces críticas por las preocupaciones de que la característica podría ser objeto de abuso para la amplia vigilancia del gobierno . Ante la resistencia del público, Apple insistió en que su tecnología puede rendir cuentas.

Los investigadores de seguridad pueden introspeccionar constantemente lo que sucede en el software [del teléfono] de Apple, dijo el vicepresidente de Apple, Craig Federighi, en un entrevista con el Wall Street Journal. Entonces, si se hicieron cambios para expandir el alcance de esto de alguna manera, de una manera que nos habíamos comprometido a no hacer, hay verificabilidad, pueden detectar que eso está sucediendo.

Apple está demandando a una empresa que fabrica software para permitir que los investigadores de seguridad hagan exactamente eso.



Apple defiende su nueva tecnología contra el abuso infantil contra preocupaciones de privacidad

La nueva y radical tecnología anti-abuso de Apple provocó críticas y elogios al escanear directamente en iPhones.

En 2019, Apple presentó una demanda contra Corellium, que permite a los investigadores de seguridad probar dispositivos móviles de forma fácil y económica emulando su software en lugar de exigirles que accedan a los dispositivos físicos. El software, que también emula dispositivos Android, se puede utilizar para solucionar esos problemas.

En la demanda, Apple argumentó que Corellium violó sus derechos de autor, permitió la venta de exploits de software utilizados para piratear y no debería existir. La startup respondió diciendo que su uso del código de Apple era un caso protegido clásico de uso justo. El juez se ha puesto del lado de Corellium en gran medida hasta ahora. Parte del caso de dos años fue se resolvió la semana pasada, días después de que se hiciera pública la noticia de la tecnología CSAM de la compañía.



El lunes, Corellium Anunciado una subvención de $ 15,000 para un programa que está promocionando específicamente como una forma de mirar los iPhones bajo un microscopio y responsabilizar a Apple. El martes, Apple presentó una apelación continuando el pleito.

En una entrevista con MIT Technology Review, el director de operaciones de Corellium, Matt Tait, dijo que los comentarios de Federighi no se corresponden con la realidad.

Eso es algo muy barato para que Apple diga, dice. Hay mucho trabajo pesado sucediendo en esa declaración.



iOS está diseñado de una manera que en realidad es muy difícil para las personas inspeccionar los servicios del sistema.

'iOS está diseñado de una manera que en realidad es muy difícil para las personas inspeccionar los servicios del sistema'.

Matt Tait, Corellium

Él no es el único que cuestiona la posición de Apple.



Apple está exagerando la capacidad de un investigador para examinar el sistema en su conjunto, dice David Thiel, director de tecnología del Observatorio de Internet de Stanford. Thiel, el autor de un libro llamado Seguridad de aplicaciones de iOS , tuiteó que la empresa gasta mucho para evitar lo mismo que afirma que es posible.

Requiere un sistema intrincado de exploits de alto valor, binarios de origen dudoso y dispositivos obsoletos, escribió. Apple ha gastado grandes sumas de dinero específicamente para evitar esto y dificultar dicha investigación.

Responsabilidad de la vigilancia

Si desea ver exactamente cómo funciona la nueva tecnología compleja de Apple, no puede simplemente mirar dentro del sistema operativo en el iPhone que acaba de comprar en la tienda. El enfoque de jardín amurallado de la compañía para la seguridad ha ayudado resolver algunos problemas fundamentales , pero también significa que el teléfono está diseñado para mantener alejados a los visitantes, ya sea que los quieran o no.

(Mientras tanto, los teléfonos Android son fundamentalmente diferentes. Si bien los iPhones están bloqueados, todo lo que necesita hacer para desbloquear un Android es conectar un dispositivo USB, instalar herramientas de desarrollo y obtener el acceso raíz de nivel superior).

El enfoque de Apple significa que los investigadores quedan atrapados en una batalla interminable con la empresa para tratar de obtener el nivel de conocimiento que necesitan.

Sin embargo, hay algunas formas posibles en que Apple y los investigadores de seguridad podrían verificar que ningún gobierno está utilizando como armas las nuevas características de seguridad infantil de la compañía.

Apple podría entregar el código para su revisión, aunque esto no es algo que haya dicho que hará. Los investigadores también pueden intentar aplicar ingeniería inversa a la función de forma estática, es decir, sin ejecutar los programas reales en un entorno real.

Sin embargo, de manera realista, ninguno de esos métodos le permite ver el código que se ejecuta en vivo en un iPhone actualizado para ver cómo funciona realmente en la naturaleza. En cambio, todavía confían no solo en que Apple está siendo abierta y honesta, sino también en que ha escrito el código sin errores ni descuidos significativos.

Otra posibilidad sería otorgar acceso al sistema a los miembros del Programa de Dispositivos de Investigación de Seguridad de Apple para verificar las declaraciones de la compañía. Pero ese grupo, argumenta Thiel, está compuesto por investigadores de fuera de Apple, está sujeto a tantas reglas sobre lo que pueden decir o hacer que no necesariamente resuelve el problema de la confianza.

'Apple ha gastado mucho dinero tratando de evitar que las personas puedan hacer jailbreak a los teléfonos'.

David Thiel, Observatorio de Internet de Stanford

Eso realmente deja solo dos opciones. En primer lugar, los piratas informáticos pueden hacer jailbreak a los iPhone antiguos utilizando una vulnerabilidad de día cero. Eso es difícil y costoso, y se puede cerrar con un parche de seguridad.

Apple ha gastado mucho dinero tratando de evitar que las personas puedan hacer jailbreak a los teléfonos, explica Thiel. Han contratado específicamente a personas de la comunidad de jailbreak para dificultar el jailbreak.

Los piratas informáticos están encontrando formas de esconderse dentro del jardín amurallado de Apple

El enfoque de seguridad bloqueado del iPhone se está extendiendo, pero los piratas informáticos avanzados han descubierto que las barreras más altas son excelentes para evitar la captura.

O un investigador puede usar un iPhone virtual que puede desactivar las funciones de seguridad de Apple. En la práctica, eso significa Corellium.

También hay límites para lo que cualquier investigador de seguridad podrá observar, pero si Apple escanea cosas más allá de las fotos que se comparten en iCloud, un investigador podría detectarlo.

Sin embargo, si cualquier cosa que no sea material de abuso infantil llega a las bases de datos, sería invisible para los investigadores. Para abordar esa pregunta, Apple dice que requerirá que dos organizaciones de protección infantil separadas en distintas jurisdicciones tengan la misma imagen de abuso en sus propias bases de datos. Pero ofreció pocos detalles sobre cómo funcionaría, quién administraría las bases de datos, qué jurisdicciones estarían involucradas y cuáles serían las fuentes finales de la base de datos.

Dificultades reales

Thiel señala que el problema que Apple está tratando de resolver es real.

No es una preocupación teórica, dice sobre el material de abuso sexual infantil. No es algo que la gente mencione solo como una excusa para implementar la vigilancia. Es un problema real que está muy extendido y necesita ser abordado. La solución no pasa por deshacerse de este tipo de mecanismos. Es hacerlos lo más impermeables posible a futuros abusos.

Pero, dice Tait de Corellium, Apple está tratando de ser simultáneamente bloqueado y transparente.

Apple está tratando de tener su pastel y comérselo también, dice Tait, ex especialista en seguridad de la información del servicio de inteligencia británico GCHQ.

Con su mano izquierda, dificultan el jailbreak y demandan a empresas como Corellium para evitar que existan. Ahora, con la mano derecha, dicen: 'Oh, construimos este sistema realmente complicado y resulta que algunas personas no confían en que Apple lo haya hecho honestamente, pero está bien porque cualquier investigador de seguridad puede seguir adelante y demostrarlo. ellos mismos.'

Estoy sentado aquí pensando, ¿qué quieres decir con que puedes hacer esto? Has diseñado tu sistema para que ellos no puedan hacerlo. La única razón por la que las personas pueden hacer este tipo de cosas es a pesar de ti, no gracias a ti.

Apple no respondió a una solicitud de comentarios.

esconder