“Tu ordenador no es tuyo”: Apple es acusada de violar nuestra privacidad, pero otros análisis y la propia Apple lo niegan
Este fin de semana los usuarios de ordenadores de Apple experimentaron problemas con la actualización a macOS 11.0 Big Sur, la última versión de este sistema operativo que por fin está disponible. Ciertas aplicaciones no respondían y no se ejecutaban si estos ordenadores estaban conectados a internet.
Eso hizo que un experto en ciberseguridad detectara algo singular gracias a esas caídas: Apple, que siempre ha presumido de respetar la privacidad de los usuarios, estaba según él recolectando un buen conjunto de datos de sus sesiones en sus Mac. ¿Para qué lo hace? La polémica está servida, pero análisis adicionales de otros expertos lo niegan y Apple también ha aclarado la situación.
La acusación: Apple espía a sus usuarios
Jeffrey Paul, investigador de ciberseguridad, publicaba un análisis en el que explicaba cómo esos problemas con macOS estaban muy extendidos y comentados entre la comunidad de usuarios, y reveló que “resulta que en la actual versión de macOS, el sistema operativo le manda a Apple un hash (identificador único) de todos y cada uno los programas que ejecutas cuando los ejecutas“.
Los datos recolectados son la fecha, hora, modelo de ordenador, proveedor de servicios de internet, ciudad, estado y hash de aplicación. Según este investigador, eso significa que “Apple sabe cuándo estás en casa, cuándo estás en el trabajo. Qué aplicaciones abres y con qué frecuencia”. En realidad Apple lleva haciendo algo similar desde macOS Catalina, publicado en octubre de 2019, y algunos aseguran que de hecho recolecta estos datos desde la versión anterior, Mojave, que apareció en septiembre de 2018.
El problema no solo era ese. Esa información está desprotegida, así que cualquiera que analice el tráfico de red puede extraer también esa información, y Paul indicaba además que Apple forma parte del programa de espionaje PRISM de los Estados Unidos desde 2012, y eso permite que esa información recolectada acabe siendo analizada por las agencias de inteligencia estadounidenses.
Hasta ahora los usuarios de Apple podían evitar esa recolección de datos con una aplicación llamada Little Snitch, pero las nuevas APIs de macOS Big Sur impiden que Little Snitch haga su función. De hecho la nueva herramienta o “demonio de sistema”, trustd, se salta incluso las VPNs que puedan usar los usuarios: no hay forma de impedir que esa información recolectada acabe donde Apple quiere que acabe.
Esos nuevos ordenadores de Apple, destacaba, ya no son “tuyos” aunque los compres, porque solo pueden ejecutar macOS y no dejan instalar de forma nativa otro sistema operativo. “Son las primeras máquinas de propósito general de la historia en las que tendrás que hacer una elección exclusiva: o tienes una máquina rápida y eficiente, o tienes una privada. Tu ordenador ahora sirve a un amo remoto”.
Este investigador de seguridad compara la situación de los nuevos y futuros Mac basados en los chips M1 de Apple (y sus versiones posteriores) con la que se vive en los dispositivos iOS. “En otros sistemas ARM de Apple (iPad, iPhone, Apple TV, Watch) está criptográficamente prohibido deshabilitar partes del sistema operativo“, y puede que ocurra lo mismo en estos nuevos Mac, algo que podremos saber en los próximos días o semanas.
Paul sospecha que la explicación más simple para este tipo de recolección de datos es que “forma parte de los esfuerzos de Apple para evitar el malware y garantizar la seguridad de la plataforma en macOS”. El problema es que este tipo de tráfico, llamado OCSP (Online Certificate Status Protocol) no está cifrado y lo hace perfecto para ser vigilado por agencias de inteligencia. “El efecto colateral es que esto funciona como telemetría, sin importar cuál es o era el objetivo original de OCSP“.
Igual no es para tanto
Un segundo análisis de otro experto en ciberseguridad, Jacopo Jannone, trataba de ver las cosas con otra perspectiva. Como él explicaba, OCSP es un sistema que evalúa la validez de un certificado y que se usa en la conocida aplicación Gatekeeper que trata de mantener los Mac seguros. Este proceso, llamado notaría o notarización, es ya un viejo conocido del funcionamiento de macOS a la hora de garantizar la seguridad de nuestro sistema.
Esa medida de seguridad es importante a la hora de evitar que software malicioso pueda ser ejecutado en los Mac. Mediante OCSP se comprueba si el identificador de desarrollador del certificado ha sido revocado si por ejemplo el software se ha visto comprometido o si un certificado de desarrollador se ha usado para “firmar” aplicaciones maliciosas.
El funcionamiento del sistema es relativamente sencillo: cada vez que ejecutamos una aplicación, esta comprueba si el certificado que asegura que es una aplicación legítima y segura es válido. Para ello debe conectarse a los servidores de Apple, y aquó Jannone explicaba que el hecho de que esa petición se realice a través de texto plano HTTP sin cifrar es una buena decisión, porque evita complejidad en el proceso y también posibles bucles infinitos.
Además de eso, en ese análisis trataba de analizar si realmente se podían identificar las aplicaciones que ejecutábamos con este sistema. Al analizar un ejemplo con la popular aplicación Wireshark para análisis de tráfico de red, lanzó una instancia de Firefox y comprobó qué información se pasaba al servidor OCSP de Apple.
Esos datos eran un comando GET con una cadena de 80 bytes que al ser descifrada mostraba su contenido. Como indicaba este investigador, “está claro que el servicio trustd en macOS no envía un hash de las aplicaciones que lanzas. En lugar de eso, simplemente envía información sobre cierto certificado, como esperaríamos si tenemos en cuenta lo que hace OCSP de forma nativa“. Aún así, apuntaba este investigador, sería posible crear tablas que asocian cada una de estas cadenas con la aplicación correspondiente.
Al tratar de comprobar esa posibilidad, se dio cuenta de que macOS envía “cierta información opaca sobre el certificado de desarrollador de algunas aplicaciones”, pero eso no supone que Apple esté espiando a los usuarios. Para este investigador “macOS no envía a Apple un hash de tus aplicaciones cada vez que las ejecutas”, aunque “podría transmitir cierta información opaca sobre el certificado de desarrollador de las aplicaciones que ejecutas”.
Otros análisis parecen coincidir con esa evaluación del sistema de validación de aplicaciones o notarización que Apple realiza en macOS, e indican que “gestionar la confianza de las aplicaciones es difícil, pero Apple lo hace bien“.
Apple aclara las dudas
Apple ha querido responder a estas críticas y ha publicado un documento en su sitio web de soporte indicando que “macOS incluye una tecnología llamada Gatekeeper, que se ha diseñado para garantizar que en tu Mac solo se ejecute software de confianza” y que nunca ha vinculado la consulta de certificados con datos que pudieran identificar al usuario.
De hecho para evitar aún más las polémicas ha anunciado algunos cambios a este sistema. Uno de los más importantes es el hecho de que ha dejado de recolectar la dirección IP de los equipos que se conectan con el servidor OCSP, y como comentan nuestros compañeros de Applesfera, habrá otras modificaciones en el funcionamiento de este servicio:
- Un nuevos sistema de cifrado para las consultas con el servidor OCSP.
- Mejores protecciones para que los servidores estén siempre operativos.
- Una actualización para poder desactivar todas estas protecciones.
Esto último quiere decir que los usuarios podrán si así lo desean desactivar esas comprobaciones bajo su propia responsabilidad, lo que debería hacer desaparecer las suspicacias. Jeffrey Paul no ha hecho comentarios de momento sobre esos análisis que contradicen esas acusaciones y tampoco sobre las explicaciones de Apple.
–
La noticia
“Tu ordenador no es tuyo”: Apple es acusada de violar nuestra privacidad, pero otros análisis y la propia Apple lo niegan
fue publicada originalmente en
Xataka
por
Javier Pastor
.