Hace un tiempo en Security By Default, Alejandro Ramos "dab" (@aramosf), autor del libro de Hacking iOS: iPhone & iPad habló de la seguridad de las apps para iOS a la hora de utilizar la función NSLog, comúnmente usada en el desarrollo de apps para iOS en iPhone & iPad. Esta función envía datos al ALS (Apple System Log) del sistema operativo y éste puede ser consultado por cualquier app instalada en el terminal. Esto hace que si en el ASL se pone algo que pudiera ser sensible para la privacidad o la seguridad del usuario, cualquier app instalada en el terminal podría acceder a ello. Las apps AppSwitch, Console o System Console permite visualizar este tipo de mensajes.
Figura 1: AppSwitch mostrando el ASL de un iPhone 5 |
Además, esta información puede ser leída y analizada en detalle dentro de la herramienta iPhone Configuration Utility, por lo que incluso datos de una app utilizada en un terminal corporativo podría ser rastreada una vez entregado el terminal si no se ha hecho el reseteo completo del terminal.
Figura 2: iPhone Configuration Utility mostrando el Apple System Log de iOS |
Si eres desarrollador, ten cuidado con la información que envías con la función NSLog, y si eres un usuario de un terminal que vas a entregar, no desinstales solo las apps, procura hacer un reseteo seguro del terminal.