apple paradise papers

Hay apuestas que salen mal, y esta, aunque no buscada, a Apple le ha salido fatal. La compañía multinacional le ha pagado a un experto en informática 100.000 dólares tras descubrir una falla crítica en su sistema que ponía en claro peligro la seguridad del usuario que se encontrara utilizando el dispositivo en concreto, dejando a las claras que no resultaba seguro.

Bhavuk Jain, un informático indio descubrió una vulnerabilidad del sistema en el código de autorización para el inicio de sesión con un dispositivo Apple, que permitía a cualquier atacante con ciertos conocimientos, acceder al terminal y utilizar esos datos para abrirse camino en otras plataformas donde el usuario atacado tuviera otras cuentas que gestionase desde el dispositivo vulnerado.

Apple cuenta con una clave tipo JSON Web Token o JWT para la generación e claves de acceso de usuarios a sus productos desde el ‘Inicio de sesión’, en la que se guardan datos privados y confidenciales con los que se puede comprobara la identidad del sujeto que intenta acceder. Jain ha podido constatar que Apple no comprobaba si quién pedía esa clave era el usuario real o no.

Bhavuk Jain, un informático indio, descubrió una vulnerabilidad del sistema de Apple en el código de autorización para el inicio de sesión

Hay que recordar que el JSON Web Token se mantiene hoy en día como un estándar libre o abierto propuesto en origen por IETF para la creación de tokens que permitieran accesos y la propagación de identidades para acceder a distintas fuentes con todo los privilegios oportunos, y que son lógicos en cada caso cuando se autentica la identidad del usuario.

Por su parte un token es un soporte físico de seguridad que permite el acceso a recursos que suelen estar restringidos, y se suele utilizar como complemento a las tradicionales claves y puede decirse que cumple la misma función que una llave electrónica, en términos puramente de operatividad y funcionalidad.

El hacker que estuviera intentando entrar sólo tenía que falsificarla JSON Web Token, vincular un ID cualquiera al su correo electrónico y acceder ilegalmente, sin mayor problema al dispositivo de la víctima atacada, que quedaría totalmente fuera e indefensa ante tal práctica, que tampoco conlleva un gran conocimiento de informática ni encriptación.

Bhavuk Jain informó a Apple en abril de 2020 de su descubrimiento, y la compañía ha querido agradecérselo dándole cien mil dólares de recompensa por su interesante aportación, que beneficia a muchos usuarios. No obstante, la compañía ha realizado una profunda investigación e informan que aunque la vulnerabilidad existía, no se han reportado otros errores similares por ninguna cuenta hasta la fecha.

La seguridad es clave para el futuro de las tecnologías en relación a su confianza y credibilidad por parte de los consumidores, ya que si las compañías no logran transmitir un mensaje de tranquilidad y mantenimiento de la privacidad de los usuarios, el avance puramente de elementos tecnológicos, no lograría conquistar por sí solo a los usuarios de cara a medio largo plazo.

>