¿Qué es más inseguro: el iPhone o Apple?
Para quienes hayan estado ocultos en una cueva o desconectados de la red, aclararé que la actualización más reciente de software para el iPhone tiende a desactivar los teléfonos que hayan sido modificados para saltarse el bloqueo del SIM (a fin de permitir el uso de otras redes móviles) o bien para instalar aplicaciones de terceros. En algunos casos, Apple se ha negado a reparar el software de esos teléfonos convertidos en pisapapeles, obligando al usuario a comprar uno nuevo.
He leído informaciones contradictorias sobre cuál es el grado de hackeo que hace que el iPhone quede desactivado. Hay quien afirma que la actualización sólo desactiva el teléfono si se ha desbloqueado el SIM. En los teléfonos que mantienen el bloqueo del SIM pero contienen aplicaciones de terceros, se dice que la actualización "simplemente" borra dichas aplicaciones sin desactivar el teléfono. Pero los usuarios del iPhone temen que si hacen con él cualquier cosa no autorizada, aunque sea instalar una aplicación, ello pueda producir la desactivación. Apple parece estar alimentando deliberadamente tales temores.
Esta situación ha frenado (al menos por ahora) el rápido crecimiento de las aplicaciones de terceros que los desarrolladores más entusiastas habían empezado a crear para el iPhone. Aunque Apple no respalda ni fomenta la creación de aplicaciones nativas para el iPhone, los programadores se habían apresurado a encontrar maneras de acceder a la versión modificada de Mac OS X que contiene el iPhone, y estaban muy entretenidos produciendo una serie de complementos tan prácticos como interesantes.
La rapidez de aparición de aplicaciones para el iPhone era asombrosa. Generalmente se tardan seis meses en conseguir que los desarrolladores adquieran práctica con un dispositivo nuevo, y eso es cuando las cosas van bien. En cambio, sólo tres meses después de la salida del iPhone al mercado, ya existía un montón de aplicaciones interesantes, y hasta David Pogue había creado un vídeo que recoge algunas.
La mayoría de las empresas de tecnología darían cualquier cosa por disponer de esa publicidad y de una banda de gente externa creando software nuevo para sus productos. Todas las empresas de la Web 2.0 están creando interfases para atraer desarrolladores, empresas como Adobe, Microsoft y Google están compitiendo agresivamente en la creación de APIs para el desarrollo web, e incluso Apple invierte grandes sumas en el fomento de la creación de software para el Mac.
El asalto a los iPhones hackeados ha despertado una reacción airada en la red, empezando por los entusiastas (miren este vídeo) y extendiéndose en la prensa generalista. El ejemplo más reciente, que me ha recomendado Chris Dunphy (un usuario enfadado del iPhone), es éste de BusinessWeek:
"¿Acaso no fue la misma Apple creada en un garaje por dos tipos con la habilidad de transformar ideas interesantes en objetos reales? ¿Por qué castigar a la gente que intenta crear algo interesante, amenazándoles con la perspectiva de un teléfono que deja de funcionar? ... La empresa que presume de ser el proveedor de tecnología preferido por la gente creativa con grandes ideas insiste en que poseer sus productos implica aceptar una ortodoxia definida, en la que sólo hay una forma aceptable de hacer las cosas. A mí eso no me parece propio de la Apple que yo conozco. Por eso no voy a comprar el iPhone. Y hasta que Apple no se comprometa a cambiar esta política tan ridícula, creo que ustedes tampoco deberían hacerlo".
Soy incapaz de recordar cuándo fue la última vez que alguien inició una campaña activa contra cualquier tipo de producto desde las páginas de BusinessWeek.
¿Por qué se expone Apple a todas esas críticas?
Lo más raro de todo este culebrón es que no está nada claro por qué Apple se somete a ello. Tras pensar en ello, me gustaría contarles lo que opino.
Lo primero que creo que hay que hacer es separar los asuntos del bloqueo del SIM y las aplicaciones. Se trata de dos cuestiones de negocio y técnicas muy distintas, y Apple podría tener razones completamente distintas para actuar en cada una.
¿Por qué defender el bloqueo del SIM?
Muchos teléfonos móviles, especialmente en los EE.UU., están bloqueados para el uso exclusivo en una red determinada. Todos los teléfonos CDMA fuera de China lo están (porque carecen de tarjeta SIM), al igual que muchos teléfonos GSM en los EE.UU. Generalmente, la excusa que se da para ello es que la operadora ha subvencionado el coste del teléfono, y necesita recuperar la subvención mediante el consumo de sus servicios. Pero las operadoras también logran recuperarlo duras penalizaciones económicas a quienes cambian de compañía antes de que venza el compromiso de permanencia, de modo que la industria no ha insistido mucho en la defensa del bloqueo del SIM. En la red se pueden encontrar los códigos para desbloquear muchos teléfonos, y se dice que includo hay operadoras que desbloquean tu teléfono si les llamas y les dices que vas a viajar al extranjero.
Apple es el primer fabricante de terminales telefónicos que he visto defender tan agresivamente el bloqueo del SIM, y no estoy seguro del motivo. La explicación más frecuente que circula por la web es que Apple recibe una parte de los ingresos de la factura mensual de los usuarios del iPhone, de modo que pierde mucho dinero cada vez que un iPhone se pasa a otra red. También se especula que si se pueden usar los iPhones en países donde no se comercializan, a Apple le costará más sacarles un buen dinero a las operadoras locales que se apunten a comercializar el teléfono.
Esta última explicación no me parece muy convincente: la mayoría de los usuarios quieren un teléfono que funcione en su idioma, así que la versión del iPhone en inglés no le va a quitar el mercado al iPhone legítimo en Francia. Además, los iPhones que se pasan a redes no autorizadas pierden algunas de sus funciones más atractivas, como el buzón de voz visual. Si Apple fuera a vender los iPhones a 99 euros en algunos mercados y a 699 euros en otros, se podría pensar en la amenaza de un mercado gris, pero las diferencias de precio no van a ser tan grandes ni mucho menos. Sumando el problema del idioma, la pérdida de funciones y las pocas posibilidades de un arbitraje en el precio, no parece que Apple tenga muchos motivos para someterse voluntariamente a los insultos que está recibiendo.
En cambio, la oportunidad de ingresos ya es otro asunto. Pongamos que Apple recibiera un 20% de la facturación móvil de un iPhone autorizado. Eso vendría a suponer una media de unos 100 Euros anuales de beneficio neto por usuario. La cifra es del mismo orden que el margen total que Apple gana con cada iPhone propiamente dicho, pero en el caso de la facturación se repetiría cada año. No tengo ni idea de si Apple estará recibiendo realmente un 20%, pero en algunas de las operaciones del iPhone en Europa se han rumoreado cifras de ese orden. Aunque la parte de Apple fuera sólo del 10%, el volumen sería una proporción enorme del beneficio total de Apple con el iPhone, tanto que no sería extraño que la defendieran con uñas y dientes, incluso a riesgo de que la gente se moleste.
¿Por qué rechazar las aplicaciones de terceros?
Ésta es más difícil de entender, porque no comprendo qué gana Apple con ello. La existencia de aplicaciones para el iPhone hace que éste sea más popular, y también mantiene ocupados a unos desarrolladores que de otro modo podrían dedicarse a los productos de la competencia. Lo primero que pensé al saber que Apple no permitiría aplicaciones para el iPhone fue que era una cuestión de control para Steve Jobs: tras asistir a la deserción de muchos desarrolladores de Mac que se pasaron a Windows, no quiere volver a quedar a merced de un tercero.
Muchos comentaristas en la red han dado por supuesto que es la obsesión por el control lo que impulsa el comportamiento de Apple con el iPhone. Hay otros que especulan con que Apple tiene previsto ofrecer una tienda de aplicaciones de terceros, a través de la cual se quedará con un amplio margen de las ventas de dichas aplicaciones aprobadas por Apple. No tengo idea de cuál podría ser ese margen, por lo que cuesta decir cuánto podría valer para Apple. Pero me parece que si sus planes fueran en ese sentido, habrían abierto la tienda en cuestión al mismo tiempo que lanzaban el teléfono al mercado. Por lo tanto, si bien creo que podrían crear una tienda (es algo bastante evidente), no creo que ello lo explique todo. Me cuesta aceptar que se sometan a unas críticas tan feroces sólo para defender esa hipotética tienda.
Más bien comienzo a sospechar que tienen un motivo más profundo, que prefieren no discutir en público porque la mera mención de su existencia podría afectar a las ventas del iPhone. Es mejor que te critique la gente que te consideran malo, que admitir que tu dispositivo tiene un defecto grave, y me temo que tal vez la estructura de seguridad del iPhone es un defecto grave.
Cuando se anunció el iPhone, Steve Jobs dijo que no permitirían aplicaciones de terceros porque podrían tumbar la red telefónica. En aquel momento me sonó a charlatanería, porque en la mayoría de los teléfonos avanzados resulta muy difícil hacer algo que sea realmente malo para la red. Las aplicaciones y el teléfono funcionan sobre procesadores separados, y dadas las limitaciones de los sistemas operativos para teléfonos avanzados, costaría mucho causar un daño atroz a la red.
Pero el iPhone contiene en su interior un SO mucho más potente, derivado de Unix. Los informes publicados en la red por algunos hackers que han jugado con las tripas del iPhone no son nada tranquilizadores. Véase el ejemplo siguiente:
El acceso a la red EDGE es terriblemente lento, pero funciona... he hecho unos cuantos intentos de detectar otros hosts del espacio de direcciones privadas, con la esperanza de encontrar otros dispositivos EDGE, pero lo que he encontrado en su lugar han sido unos cuantos enrutadores, conmutadores y servidores desperdigados.
O sea, que el hacker pretendía introducirse en otros teléfonos a través de la red de AT&T, pero no lo consiguió. Ello es bueno desde el punto de vista del usuario medio. Pero cabe preguntarse qué son esos "enrutadores, conmutadores y servidores desperdigados". Dudo que AT&T despliegue conmutadores y servidores en su red sólo porque sí, así que no sabemos si son muy importantes para el funcionamiento de la red ni lo seguros que están. Estoy convencido de que no fueron instalados pensando en la posibilidad de que los hackers se dedicasen a hacerles cosquillas desde un iPhone.
Si conocen ustedes los detalles técnicos de EDGE y tienen alguna idea sobre este tema, les ruego que me escriban un comentario. Tal vez esté exagerando los riesgos, pero mi reacción personal es que si yo trabajase en una operadora y leyera lo anterior, se me pondría de punta el poco pelo que me queda.
Otra cita interesante:
- Todos los procesos funcionan como root. MobileSafari, MobileMail y hasta la Calculadora, todos se ejecutan con plenos privilegios de root. Cualquier defecto de seguridad en cualqueir aplicación del iPhone puede comprometer totalmente el sistema. Un rootkit adquiere un significado completamente nuevo cuando el atacante puede acceder a la cámara, el micrófono, el listín de contactos y el hardware del teléfono. Si se combina esto con un acceso permanente a Internet a través de EGDE, se obtiene el dispositivo espía perfecto.
Está bastante claro. Ya existen programas de terceros que transforman un teléfono avanzado en dispositivo espía, pero es preciso contar con acceso físico al terminal para poder instalarlos. La diferencia con el iPhone, según este informe, está en que una vez descubierto el agujero de seguridad, se podría instalar ese tipo de programa espía a distancia, a través de la conexión inalámbrica.
Todo ello ha dado lugar a un artículo en Computerworld según el cual los virus y otro software malicioso podrían propagarse directamente de un iPhone a otro sin que los usuarios lleguen a enterarse. Yo no me preocuparía aún por eso, ya que no existe en ninguna posición geográfica una masa crítica de iPhones suficiente para que se vayan infectando unos a otros. Pero sí que podría ser interesante la próxima vez que se reúna una cantidad significativa de usuarios de iPhone. ¿Alguien está pensando en el próximo MacWorld, tal vez?
Para mí, lo más preocupante del informe es la parte que se refiere a los privilegios de root. No soy experto en Unix, así que he consultado a alguien que sí lo es, y me ha confirmado que las aplicaciones con privilegios de root en Unix pueden hacer prácticamente de todo. Unix está diseñado para dar poder a los programadores, y se da por supuesto que cualquiera que disponga de acceso root sabrá lo que hace y será de confianza. (En esta columna de eWeek hay otro comentario en el mismo sentido).
Existen maneras de impedir que las aplicaciones de terceros dispongan de acceso root, pero es preocupante (y esto es una mera especulación mía) la posibilidad de que Apple haya desactivado dichas protecciones con el fin de rebajar los requisitos de memoria del iPhone y hacer que funcione más rápido. En tal caso, asegura mi amigo, volver a aplicar dichas protecciones podría ser un proyecto bastante complicado para Apple. No es que sea imposible, pero sí exigiría mucho tiempo y trabajo.
A lo largo de mis años en el sector, he investigado mucho sobre los usuarios de tecnología. Una de las cosas que he aprendido es qie los problemas de seguridad son una excelente manera de mantener a la gente alejada de un dispositivo tecnológico. Por poco inseguro que parezca algo, mucha gente lo evitará. Por lo que voy leyendo en la red, existen muchas pruebas de que el iPhone está estructurado actualmente como dispositivo realmente inseguro, en cuanto cualquier aplicación de terceros no controlada se introduce en él. Además, evitar la carga de programas de terceros en nuestro propio iPhone no nos protege necesariamente, porque el software malicioso podría proppagarse de un terminal a otro.
¿Qué haría yo si trabajase en Apple y me encontrase en esta situación? Pues para empezar, no querría reconocer la vulnerabilidad, porque con eso ya bastaría para asustar a los clientes. A continuación, haría todo lo que estuviera en mi mano para bloquear cualquier desarrollo de aplicaciones nativas de terceros. Aplastarlo, hundirlo por completo. Y estaría dispuesto a recibir montones de críticas por ello, ya que la alternativa, reconocer el problema de seguridad, daría lugar a todavía más mala prensa.
Permítanme aclarar algo: yo no digo que sepa que esto es lo que está pasando en Apple, pues no lo sé. Y tampoco pretendo propagar rumores malignos (que ya están circulando). También debo resaltar que algunos informes sobre la seguridad del iPhone han sido mucho menos alarmistas (por ejemplo, el de Symantec a principios de julio). Pero son anteriores a la aparición de los últimos informes.
Me parece que tenemos que preguntarnos si Apple ha estropeado la seguridad del iPhone creyendo que la gente no intentaría añadirle aplicaciones. Es fácil que hayan supuesto algo así; en el fondo han habido relativamente pocos intentos de añadir aplicaciones al iPod. Pero la publicidad del iPhone, y Apple presumiendo de que contiene OS X, han hecho de él un objetivo irresistible para el hackeo.
Si Apple tiene realmente un problema de seguridad en el iPhone, dudo que logren mantenerlo oculto. La experiencia demuestra que lo mejor en este tipo de situaciones es confesar el problema, tragarte el orgullo y resolverlo lo antes posible. De ese modo, al menos conservas tu reputación de honradez. Si el iPhone es realmente vulnerable, Apple se arriesga a acabar en la peor posición posible: dañar su reputación de honestidad, irritar a un montón de tecnófilos y que la gente siga creyendo que el iPhone no es seguro.
Será interesante ver cómo Apple aborda el asunto durante las próximas semanas.
Gracias a John Hering de Flexilis por recomendarme el artículo de Computerworld.
©2007 Michael Mace
Publicado en Mobile Opportunity y reproducido con permiso del autor.Fuente: http://www.canalpda.com/2007/10/28/4656-es+mas+inseguro+iphone+o+apple
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!