No hace falta ser un experto en ciberseguridad para encontrar alguna vulnerabilidad dentro del ecosistema de Apple. Es posible que esta aparezca por casualidad. El ejemplo más claro lo encontramos en el famoso caso de FaceTime, un error que permitía escuchar al destinatario de la llamada antes incluso de colgar y que fue descubierto por un chico de 14 años. Este ejemplo y otros similares reflejan la dificultad a la hora de notificar este tipo de problemas a la empresa de la manzana. Pues Apple ha tomado nota y ahora es más sencillo.
Volviendo al tema de FaceTime, la madre del chico que encontró este fallo pasó casi dos semanas intentando comunicarse con Apple para notificarles el problema. Una vez que finalmente consiguió contactar con ellos, la respuesta fue que debía darse de alta como desarrollador en el portal de Apple para poder reportarlo. Una vez realizado este proceso, notificaron de nuevo la vulnerabilidad pero nada, Apple tampoco les hizo caso.
La empresa de la manzana sólo reaccionó cuando comenzaron a comprobar la gran repercusión a través de diversas redes sociales y canales de video que mostraban cómo replicar esta vulnerabilidad. Estaba claro que el canal de comunicaciones con Apple no funcionaba. Era necesario solucionar este problema y crear otro canal más fluido entre los usuarios de productos y la empresa en lo referente a problemas de seguridad y privacidad. Apple ha tomado buena nota de estos contratiempos que no benefician a nadie, ni al usuario ni a la empresa, así que ha decidido simplificar los pasos para reportar una vulnerabilidad.
Todo el proceso se basa ahora en enviar simplemente un email a la siguiente dirección de correo electrónico, product-security@apple.com e incluir todo lo necesario para explicar el problema (por ejemplo vídeos, pasos para replicarlo, etc). En caso de enviar información confidencial, Apple recomienda que se cifre la información utilizando la clave PGP de seguridad de los productos Apple. Por otro lado, si hay que enviar fichero muy pesados, también recomienda utilizar Mail Drop. En este enlace puedes encontrar toda la información.
Figura 1. Tweet de la madre del chico donde queda constancia de la respuesta nula por parte de Apple. Fuente. |
Todo el proceso se basa ahora en enviar simplemente un email a la siguiente dirección de correo electrónico, product-security@apple.com e incluir todo lo necesario para explicar el problema (por ejemplo vídeos, pasos para replicarlo, etc). En caso de enviar información confidencial, Apple recomienda que se cifre la información utilizando la clave PGP de seguridad de los productos Apple. Por otro lado, si hay que enviar fichero muy pesados, también recomienda utilizar Mail Drop. En este enlace puedes encontrar toda la información.
No hay que confundir esta vía de comunicación de vulnerabilidades con el programa bug bounty de Apple, aunque sí que comparten la opción de recompensar con una cantidad económica a la persona que ha reportado la vulnerabilidad. Esperamos que con este nuevo canal directo al usuario, cada vez más se reporten nuevos problemas ya que esto siempre beneficia a la seguridad en general.
No hay comentarios:
Publicar un comentario