Menú principal

martes, 22 de febrero de 2011

Fingerprinting iOS con iTunes Snooping

Hace relativamente poco tiempo, algo más de un mes, se produjo un gran robo de cuentas de iTunes que dio la vuelta al mundo en todos los titulares de Internet. 50.000 cuentas de iTunes habían sido robadas y fueron puestas en venta. La controversia fue grande y al final, los dueños de la web donde se estaban vendiendo en China decidieron eliminar todas las ventas, debido a que muchos usuarios estaban reportando el incidente.

Ahora, tal y como se ha informado recientemente en el artículo titulado SpyTunes en  andrewmcafee.org iTunes ha vuelto a ser objetivo de una curiosa característica que puede afectar a la privacidad de los usuarios y permitir detectar software instalado en dispositivos iPhone e iPad de un usuario.

Una buena intención: Protegiendo la compra doble

iTunes, dentro de todas sus funcionalidades, dispone de un sistema de envió de canciones a modo de regalo, de tal forma que un usuario puede realizar el pago de una canción y enviársela a otra cuenta para que la disfrute el destinatario. Sin embargo, podría darse el caso de que se estuviera intentando regalar una canción que ya estuviera comprada por ese usuario, así que iTunes, protegiendo los intereses del comprador y con el afán de no vender dos veces la misma canción a un usuario, de que esa canción ya está comprada por el destinatario.

Al usuario que quiere realizar el regalo se le mostrará un mensaje de advertencia indicando la incidencia mediante un aviso que indica que el usuario ya tiene la canción, tal y como se puede ver en la imagen siguiente.

Figura 1: El usuario tiene ya comprada esa canción

Fingerprinting Software con iTunes Snooping sobre iOS

El autentico problema no radica en que se pueda saber si un usuario tiene o no compradas unas determinadas canciones - salvo que Shakira descubra que Piqué no tiene sus discos y haya un cisma en la pareja - sino que esta técnica también funciona para vídeos, y lo que es realmente importante, para aplicaciones de iPhone o iPad. Esto permitiría, a un potencial atacante que haya descubierto una vulnerabilidad de seguridad en un determinado software, escanear en busca de posibles víctimas mediante esta técnica, tal vez incluso algún juez.

Figura 2: El usuario tiene comprada la aplicación Note Taker HD

Esperamos que Apple añada algún sistema de protección contra el automatismo, utilizando límites de errores, de intentos o un sistema de captchas para hacer complicado un potencial escaneo de una cuenta, ya que entendemos que, la intención de Apple de no cobrar dos veces por un software es buena.

1 comentario:

  1. Mucho más simple, la compra se paga y si la otra persona yo lo tenía se devuelve de forma automática a las 48h.

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares