Apple suele jactarse del nivel de protección de datos y seguridad de sus dispositivos. Si bien la comunidad de la ciberseguridad reconoce los esfuerzos de la firma y su superioridad en cifrado y privacidad respecto a sus contrapartes, la firma no está exenta de fallas de seguridad. Un equipo de investigadores ha reportado el hallazgo de una vulnerabilidad que permite la intercepción de datos personales almacenados en diversos modelos de iPhone o iPad.
Cuando un usuario copia cualquier información, ésta se almacena en el tablero general de Apple (comúnmente conocido como portapapeles). Según el reporte, cualquier aplicación puede acceder a esta información almacenada temporalmente en el portapapeles, por lo que los usuarios se exponen a la filtración de datos confidenciales como ubicación, contraseñas de acceso a perfiles en línea y datos bancarios.
Al parecer, todas las apps del sistema operativo iOS cuentan con acceso ilimitado al tablero general de todo el sistema. Un usuario podría exponer, de forma no intencionada, su información confidencial (como datos de ubicación) a otras apps con sólo copiar una foto tomada con la cámara del dispositivo, gracias a los metadatos de la imagen, mencionan los especialistas en protección de datos.
Para demostrar su hallazgo, los investigadores desarrollaron una app de prueba de concepto llamada KlipboardSpy y un widget de iOS llamado KlipSpyWidget. Esta app de prueba no cuenta con acceso a los datos de ubicación del dispositivo; aun así, los especialistas lograron extraer esta información mediante el método descrito anteriormente.
Los especialistas afirman que el reporte fue enviado a Apple desde enero pasado. Sin embargo, el equipo de protección de datos de la compañía respondió que este error no podía ser considerado como una vulnerabilidad, pues sus sistemas operativos están diseñados para permitir que las aplicaciones accedan al portapapeles solamente cuando las apps están en primer plano.
Al respecto, el Instituto Internacional de Seguridad Cibernética (IICS) considera que Apple no debe permitir que las apps accedan al portapapeles sin restricción alguna, como el consentimiento expreso del usuario. El sistema operativo sólo debería exponer el contenido del portapapeles a una aplicación mediante previa confirmación, pues en ocasiones los usuarios no están al tanto del contenido de esta herramienta.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
