Cuidado con las fotos privadas que compartes por el iPhone o el iPad. Un grupo de investigadores de la Universidad Johns Hopkins ha descubierto una brecha de seguridad en la aplicación iMessage para iPhone y iPad que podría dejar al descubierto tus fotos y vídeos privados. Se trata de un mecanismo que permitiría a hackers interceptar y desencriptar tus archivos personales.
Precisamente en ese detalle está lo más preocupante de este problema de seguridad: cada vez más usuarios apuestan por encriptar sus teléfonos móviles y muchas aplicaciones ya tienen incorporados esos sistemas (por ejemplo, hay servicios para enviar correos electrónicos cifrados)… Pero ahora se confirma que un servicio de mensajería con mecanismos de cifrado de sus mensajes también puede ser vulnerable a ataques.
El equipo de investigación de la Universidad John Hopkins está a punto de publicar los resultados de su investigación, en la que han demostrado que existe la posibilidad de desencriptar las imágenes y los vídeos compartidos por los usuarios de iPhone y iPad a través de la aplicación iMessage.
Tus fotos de iMessage podrían ser interceptadas por hackers
Green, el académico al frente del grupo de trabajo, empezó a sospechar el año pasado cuando leyó cómo funcionaban los sistemas de cifrado utilizados por Apple, que le parecieron débiles y posiblemente hackeables. Junto a un grupo de estudiantes de su universidad, decidió poner en marcha un ataque para demostrar que podían sortear los mecanismos de seguridad de Apple. El proceso duró varios meses, pero finalmente tuvieron éxito con las versiones de iMessage anteriores al año 2011.
Para interceptar los archivos multimedia, los investigadores crearon un software capaz de recrear un servidor de Apple, y trabajaron con un mensaje encriptado que contenía un enlace a una foto almacenada en iCloud, así como una clave de 64 dígitos necesaria para desencriptar la foto.
Los estudiantes que trabajaron en el proyecto no fueron capaces de ver los números concretos que componía la clave, pero pusieron en marcha un proceso repetitivo de «ensayo-error», cambiando alternativamente alguna letra o un número de la clave, hasta que uno de los dígitos «acertaba» y era reconocido y aceptado por el teléfono. Sometieron el dispositivo a este tipo de ataque miles de veces, hasta que consiguieron la combinación correcta, con todos los dígitos.
Avances posteriores en la investigación demostraron que otras versiones posteriores de iMessage también podían ser vulnerables a este tipo de ataques. Además, al obtener la clave completa de desencriptación, fue posible acceder al servidor de Apple. En un ataque real de estas características, el acceso a los archivos privados se produciría sin que el usuario se diera cuenta en ningún momento.
La mejor manera de prevenir este tipo de ataques es actualizando el software del iPhone o iPad a iOS 9.3 cuando empiece a estar disponible (probablemente esta misma tarde tras la presentación de Apple), ya que todas las versiones anteriores podrían hackearse con estos ataques, incluso cuando el usuario cree que está enviando sus fotos y vídeos de manera segura.
Por su parte, Apple tendrá que hacer más énfasis en la protección de los datos privados de los usuarios, ya que un sistema de cifrado de estas características no garantiza la seguridad de los archivos multimedia compartidos. Es importante que cualquier servidor bloquee el acceso tras varios intentos fallidos de dar con la clave, ya que en caso contrario ”“como demostraron en la Universidad Johns Hopkins”“, cualquier hacker podría dar con cualquier clave a base de numerosos intentos «ensayo-error».
ACTUALIZACIÓN: Este problema de seguridad se resuelve con iOS 9.3, la última versión de iOS anunciada en el evento de Apple del 21 de marzo.