La versión beta de su próxima versión de iOS presenta el código del núcleo al desnudo para que los desarrolladores puedan buscar fallos, pero no les ofrece una recompensa como Google y Facebook
Cuando Apple anunció la nueva versión de su sistema operativo móvil en San Francisco hace dos semanas, los ejecutivos de la empresa se jactaron de prestaciones como una Siri más lista y una mejorada función de copiar y pegar. Y, como viene siendo habitual, anunciaron que los desarrolladores de software podrán descargarse una versión beta del software antes de su lanzamiento en otoño.
Pero cuando algunos expertos de seguridad que inspeccionaron esa nueva versión de iOS se llevaron una gran sorpresa.
Descubrieron que por primera vez Apple no ha ocultado el funcionamiento básico de su sistema operativo con encriptación como había hecho hasta ahora. Los componentes clave del código para millones de iPhones y iPads se quedaron al desnudo, expuestos a los ojos de todo el mundo. Eso ayudaría a cualquiera que busque vulnerabilidades de seguridad en el software insignia de Apple.
Foto: Tim Cook en la conferencia para desarrolladores de Apple celebrada en San Francisco hace dos semanas. Crédito: Andrew Burton (Getty Images).
Los expertos en seguridad afirman que la herméticamente famosa empresa puede haber adoptado una atrevida estrategia nueva con la intención de animar a más gente a informar de los fallos del software, o tal vez haya cometido un vergonzoso error. Apple rehusó comentar acerca del abandono de su procedimiento habitual, pero a medida que el asunto se ha ido mediatizando, la empresa decidió hacer declaraciones a través de un portavoz que afirmó: "Desencriptar el código nos permite optimizar el sistema operativo sin comprometer la seguridad", aunque se negó a explicar exactamente cómo se podría mejorar el rendimiento de iOS.
La seguridad del software de Apple ha sido aun más comentada desde que el FBI intentó, sin éxito, obligar a la empresa a ayudar a desbloquear un dispositivo utilizado por el autor del tiroteo masivo de San Bernardino (EEUU) el año pasado (ver Las empresas privadas no deben decidir el límite mundial de la encriptación). Apple ha señalado que reforzará la seguridad y las prestaciones de seguridad.
El corazón de los sistemas operativos es un componente conocido como kernel, o núcleo, que controla el uso que podrán hacer los programas del hardware del dispositivo y aplica políticas de seguridad. En sus lanzamientos anteriores de iOS, Apple había encriptado el núcleo, ocultando su funcionamiento exacto y obligando a los investigadores a encontrar maneras de esquivarlo o quebrantarlo. Pero la versión beta de iOS 10 facilitada a desarrolladores y compatible con los últimos dispositivos de Apple muestra el núcleo al desnudo.
Eso no significa que la seguridad de iOS 10 esté comprometida. Pero buscar fallos dentro de esta versión resultará mucho más fácil, según el autor de un libro exhaustivo sobre el funcionamiento de iOS Jonathan Levin. "Reduce considerablemente la complejidad de la ingeniería inversa", afirma.
El botín desvelado públicamente por primera vez incluye una medida de seguridad para impedir que el núcleo sea modificado, explica el investigador de seguridad Mathew Solnik. "Ahora que se ha publicado, la gente podrá estudiarlo [y] encontrar maneras de engañarlo", dice.
Algunas personas que encuentran fallos de software se los comunican a las empresas para que puedan corregirlos, pero también pueden ser utilizados para crear malware o para desarrollar "jailbreaks" (modificaciones del hardware no aprobadas por Apple).
Por qué Apple acaba de abrir su código al mundo aún no está claro. Una hipótesis dentro de la comunidad de la seguridad es que, en las palabras de Levin, alguien de la empresa "ha metido la pata hasta el fondo". Pero tanto Levin como Solnik creen que existen motivos para creer que puede haberse hecho a propósito. Animar a más gente a estudiar el código podría resultar en un mayor número de errores comunicados a Apple para atajarlos. Otro experto en seguridad iOS llamado Jonathan Zdziarski apoya esta teoría, porque olvidarse accidentalmente de encriptar el núcleo representaría un error demasiado básico en su opinión. "Sería un descuido increíblemente evidente, como olvidarse de instalar puertas en un ascensor", sugiere.
Abrir su código tendría sentido en vista del reciente enfrentamiento entre Apple y el FBI, añade Zdziarski. Originalmente, la agencia quería que Apple le ayudara a acceder a los contenidos del iPhone de San Bernardino, pero abandonó la idea cuando un tercero fue capaz de hackear el dispositivo. Fue la última prueba de un negocio al alza que vende vulnerabilidades de software a las agencias de seguridad (ver El gran negocio de hackear para gobiernos). Abrir iOS para que todos lo puedan examinar debilitaría ese mercado al dificultar que determinados grupos acaparen los conocimientos sobre vulnerabilidades, añade Zdziarski.
Apple incluso ha sido acusado de animar a ese mercado porque no ha sido tan receptivo a los avisos de seguridad procedentes de fuera de la empresas como sus rivales Google y Microsoft. A diferencia de esas empresas, Apple no ofrece pagos de "recompensa por errores" a la gente que informa de fallos encontrados en sus productos, por ejemplo. Si se abriera más a la ayuda externa, Apple simplemente podría lanzar un programa de pagos por aviso de errores que sería menos arriesgado que abrir la temporada de caza para el núcleo del iOS de repente. "Es una arriesgada apuesta, pero diviso el posible motivo por el que Apple puede haber decidido hacerla", concluye Zdziarski.