Proseguimos revisando las mejoras presentadas por Apple en la actualización del documento que detalla las medidas de seguridad de iOS 7.
AirDrop
 |
| AirDrop |
AirDrop es una característica
cómoda para intercambiar archivos entre usuarios cuyos terminales estén cerca
físicamente. Se apoya en BTLE (Bluetooth Low-Energy) y en la creación de una
conexión de pares sobre WiFi.
Cuando un usuario habilita
AirDrop se crea una identidad en RSA de 2048 bits que es almacenada en el
dispositivo. Igualmente, se crea un hash a partir del correo electrónico y número
de teléfono del Apple ID del usuario. Cuando un usuario quiere compartir un
archivo a través de AirDrop su dispositivo emite una señal sobre BTLE que es
respondida por dispositivos con AirDrop activado emitiendo una versión acortada
de su propio hash.
El emisor original compara estos
hash con los hashes de sus contactos en la agenda y crea una conexión WiFi para
preparar el envío. Es importante señalar que si tenemos activado AirDrop revisemos que modo de compartición tenemos
establecido ya que existe un modo en el cual podemos compartir con todo el
mundo.
Destacar que la comunicación se
establece entre pares a través de la antena WiFi de los dispositivos,
independientemente de si están conectados a un punto de acceso. La comunicación
una vez emparejados por el protocolo Bonjour se efectúa de manera cifrada por
TLS.
Servicios de Internet
Se incluye un nuevo apartado en
el que se describen las medidas de seguridad
implementadas para los servicios de Internet iMessages, FaceTime, Siri e iCloud.
iMessages funciona sobre una implementación de clave pública en la
que son generadas dos pares de llaves cuando el usuario inicia sesión en la
aplicación, una clave RSA de 1280 bits y otra, ECDSA de 256 bits para firma.
Las llaves privadas son almacenadas en el anillo local del sistema mientras que
las públicas son subidas a los servidores de directorio de Apple donde son
asociadas al número de teléfono o correo electrónico del usuario. El
intercambio de mensajes se efectúa de manera cifrada usando AES-128 como CTR,
los mensajes se envían firmados con la clave privada del usuario.
FaceTime utiliza el mismo esquema de iMessages solo que se usa SIP para
que los clientes puedan autenticarse mutuamente y establecer una conexión
directa entre los dispositivos. En el inicio de la sesión comparten una clave
privada para cifrar todas las comunicaciones, se usa un cifrado AES-256 sobre
el protocolo de streaming SRTP.
 |
| Siri |
Sobre Siri, Apple admite que
envía información del tipo lista de canciones, artistas y listas de reproducción,
lista de recordatorios y clase de relación entre los contactos de la agenda y
el usuario. La comunicación se establece sobre HTTPS. Cuando el usuario inicia Siri el dispositivo envía el nombre y apellido
del usuario junto su localización geográfica para activar los servicios de
localización de tiendas, previsión meteorológica, etc. Apple indica que
dicha información es descartada después de 10 minutos, no obstante no explica
si esa información "descartada"
es borrada o es reutilizada internamente.
Sobre los mensajes de voz del usuario, Apple almacena dichos mensajes (la
voz del usuario) durante 6 meses para, según Apple, mejorar el reconocimiento
de la voz del usuario.
iCloud, el servicio de nube de
Apple es descrito con bastante detalle. iCloud solo sincroniza los datos del
terminal cuando éste está bloqueado, conectado a corriente y existe una
conexión WiFi activa. Los datos viajan cifrados y son almacenados en dicha
forma en los servidores del servicio.
El resto de mejoras incluyen
pequeñas adiciones o actualizaciones sobre el
documento anterior. Se trata de un
documento que los usuarios preocupados por la seguridad van a agradecer en
parte por la escasa información que la
compañía suele ofrecer en ciertas cuestiones. Más allá del usuario, el
documento parece estar diseñado para la evaluación de la integración del
sistema en ambientes corporativos, lugar que todavía no tiene un claro ganador.
Más información:
Apple actualiza el informe sobre
seguridad en iOS (I)
iOS Security
February 2014
una-al-dia (07/06/2012) Apple
explica la seguridad de iOS
David García
No hay comentarios:
Publicar un comentario