Apple actualiza el informe sobre seguridad en iOS (y II)

AirDrop es una característica cómoda para intercambiar archivos entre usuarios cuyos terminales estén cerca físicamente. Se apoya en BTLE (Bluetooth Low-Energy) y en la creación de una conexión de pares sobre WiFi.

Cuando un usuario habilita AirDrop se crea una identidad en RSA de 2048 bits que es almacenada en el dispositivo. Igualmente, se crea un hash a partir del correo electrónico y número de teléfono del Apple ID del usuario. Cuando un usuario quiere compartir un archivo a través de AirDrop su dispositivo emite una señal sobre BTLE que es respondida por dispositivos con AirDrop activado emitiendo una versión acortada de su propio hash.

El emisor original compara estos hash con los hashes de sus contactos en la agenda y crea una conexión WiFi para preparar el envío. Es importante señalar que si tenemos activado AirDrop revisemos que modo de compartición tenemos establecido ya que existe un modo en el cual podemos compartir con todo el mundo.

Destacar que la comunicación se establece entre pares a través de la antena WiFi de los dispositivos, independientemente de si están conectados a un punto de acceso. La comunicación una vez emparejados por el protocolo Bonjour se efectúa de manera cifrada por TLS.

Se incluye un nuevo apartado en el que se describen las medidas de seguridad implementadas para los servicios de Internet iMessages, FaceTime, Siri e iCloud.

iMessages funciona sobre una implementación de clave pública en la que son generadas dos pares de llaves cuando el usuario inicia sesión en la aplicación, una clave RSA de 1280 bits y otra, ECDSA de 256 bits para firma. Las llaves privadas son almacenadas en el anillo local del sistema mientras que las públicas son subidas a los servidores de directorio de Apple donde son asociadas al número de teléfono o correo electrónico del usuario. El intercambio de mensajes se efectúa de manera cifrada usando AES-128 como CTR, los mensajes se envían firmados con la clave privada del usuario.

FaceTime utiliza el mismo esquema de iMessages solo que se usa SIP para que los clientes puedan autenticarse mutuamente y establecer una conexión directa entre los dispositivos. En el inicio de la sesión comparten una clave privada para cifrar todas las comunicaciones, se usa un cifrado AES-256 sobre el protocolo de streaming SRTP.

Sobre Siri, Apple admite que envía información del tipo lista de canciones, artistas y listas de reproducción, lista de recordatorios y clase de relación entre los contactos de la agenda y el usuario. La comunicación se establece sobre HTTPS. Cuando el usuario inicia Siri el dispositivo envía el nombre y apellido del usuario junto su localización geográfica para activar los servicios de localización de tiendas, previsión meteorológica, etc. Apple indica que dicha información es descartada después de 10 minutos, no obstante no explica si esa información “descartada” es borrada o es reutilizada internamente.

Sobre los mensajes de voz del usuario, Apple almacena dichos mensajes (la voz del usuario) durante 6 meses para, según Apple, mejorar el reconocimiento de la voz del usuario.

iCloud, el servicio de nube de Apple es descrito con bastante detalle. iCloud solo sincroniza los datos del terminal cuando éste está bloqueado, conectado a corriente y existe una conexión WiFi activa. Los datos viajan cifrados y son almacenados en dicha forma en los servidores del servicio.

El resto de mejoras incluyen pequeñas adiciones o actualizaciones sobre el documento anterior. Se trata de un documento que los usuarios preocupados por la seguridad van a agradecer en parte por la escasa información que la compañía suele ofrecer en ciertas cuestiones. Más allá del usuario, el documento parece estar diseñado para la evaluación de la integración del sistema en ambientes corporativos, lugar que todavía no tiene un claro ganador.

Apple actualiza el informe sobre seguridad en iOS (I)

una-al-dia (07/06/2012) Apple explica la seguridad de iOS

dgarcia@hispasec.com
Twitter: @dgn1729