Hace relativamente poco tiempo, algo más de un mes, se produjo un gran robo de cuentas de iTunes que dio la vuelta al mundo en todos los titulares de Internet. 50.000 cuentas de iTunes habían sido robadas y fueron puestas en venta. La controversia fue grande y al final, los dueños de la web donde se estaban vendiendo en China decidieron eliminar todas las ventas, debido a que muchos usuarios estaban reportando el incidente.
Ahora, tal y como se ha informado recientemente en el artículo titulado SpyTunes en andrewmcafee.org iTunes ha vuelto a ser objetivo de una curiosa característica que puede afectar a la privacidad de los usuarios y permitir detectar software instalado en dispositivos iPhone e iPad de un usuario.
Una buena intención: Protegiendo la compra doble
iTunes, dentro de todas sus funcionalidades, dispone de un sistema de envió de canciones a modo de regalo, de tal forma que un usuario puede realizar el pago de una canción y enviársela a otra cuenta para que la disfrute el destinatario. Sin embargo, podría darse el caso de que se estuviera intentando regalar una canción que ya estuviera comprada por ese usuario, así que iTunes, protegiendo los intereses del comprador y con el afán de no vender dos veces la misma canción a un usuario, de que esa canción ya está comprada por el destinatario.
Al usuario que quiere realizar el regalo se le mostrará un mensaje de advertencia indicando la incidencia mediante un aviso que indica que el usuario ya tiene la canción, tal y como se puede ver en la imagen siguiente.
Figura 1: El usuario tiene ya comprada esa canción |
Fingerprinting Software con iTunes Snooping sobre iOS
El autentico problema no radica en que se pueda saber si un usuario tiene o no compradas unas determinadas canciones - salvo que Shakira descubra que Piqué no tiene sus discos y haya un cisma en la pareja - sino que esta técnica también funciona para vídeos, y lo que es realmente importante, para aplicaciones de iPhone o iPad. Esto permitiría, a un potencial atacante que haya descubierto una vulnerabilidad de seguridad en un determinado software, escanear en busca de posibles víctimas mediante esta técnica, tal vez incluso algún juez.
Figura 2: El usuario tiene comprada la aplicación Note Taker HD |
Esperamos que Apple añada algún sistema de protección contra el automatismo, utilizando límites de errores, de intentos o un sistema de captchas para hacer complicado un potencial escaneo de una cuenta, ya que entendemos que, la intención de Apple de no cobrar dos veces por un software es buena.
Mucho más simple, la compra se paga y si la otra persona yo lo tenía se devuelve de forma automática a las 48h.
ResponderEliminar