Un Leak de Apple revela detalles acerca del diseño de los próximos iPhone

En la actualidad a las empresas tecnológicas les resulta cada vez más complicado sorprender a sus clientes, por esa razón Apple podría encontrarse en serios problemas. Con el lanzamiento del iPhone X y su tecnología Face ID Apple logró atraer muchos clientes y generar tendencia entre los fabricantes de la competencia, sin embargo este año no parece estar teniendo el mismo éxito con sus iPhone XS, XS Max y XR. Para acabar con esta mala racha Apple ha decidido recuperar una de las características clásicas de los iPhone anteriores al iPhone X, el lector de huellas.

A priori esto puede parecer un paso atrás, sobre todo si tenemos en cuenta el buen funcionamiento de Face ID, pero realmente se trata de un gran avance ya que el lector de huellas será ultrasónico permitiendo así un mayor aprovechamiento de la pantalla. Por el momento Apple parece estar evaluando el uso de esta nueva tecnología en los nuevos iPad todavía en desarrollo. La principal razón por la que se están realizando estas pruebas con el iPad en primer lugar es algo muy sencillo, Apple esta tratando de reducir los marcos de su Tablet a partir de la eliminación del sensor de huella físico, algo que ya hizo en su momento con los iPhone. Con los mismos proveedores que Samsung para llevar a cabo este proyecto, Apple pretende no quedarse atrás y ofrecer lectores ultrasónicos en sus dispositivos. Este tipo de lectores resultan ser inmensamente más rápidos que los físicos, además de ofrecer un mayor nivel de seguridad.

Figura 1: Comparación entre iPhone XS e iPhone 8.

Otra de las grandes ventajas de la incorporación de esta tecnología es que no sería necesario eliminar Face ID de la ecuación, con ambos métodos de desbloqueo Apple no tendría ningún problema a la hora de competir con su principal rival y el buque insignia que presentara en unos meses con una tecnología biométrica similar. Mientras que en varias situaciones es más cómodo utilizar el Face ID, un sensor ultrasónico puede ser más útil cuando queremos desbloquear el móvil en nuestro bolsillo o cuando está en nuestra mesilla de noche. Otra posibilidad que se abre al introducir este nuevo método de desbloqueo es el uso de la doble autenticación, la combinación de los dos elementos biométricos podría incrementar exponencialmente la seguridad del dispositivo.

La curiosa historia de cómo un empleado de Apple filtró el código fuente del iBoot y su importancia real

Hace unos días hablamos aquí de una nueva filtración en Apple que afectaba al código fuente del iOS 9 y en concreto del iBoot. Aunque Apple le ha restado importancia al asunto (luego veremos que sí parece que es más importante de lo que se pensó en un principio), ya que este código fuente tiene dos años de antigüedad, si que es importante para ellos saber cómo se ha producido el "leak". Y aquí es donde entra un empleado de Apple que junto a un grupo de amigos perdieron el control de código llegando a publicarse incluso en Github.

Un usuario con el nick "ZioShiba" publicó el código fuente propietario de Apple del componente iBoot (Bootloader) hace un par de semanas en el mayor repositorio de código fuente del mundo, GitHub. iBoot es, entre otras funciones, el responsable de asegurarse que el sistema operativo que está arrancando es original y válido de Apple. Por lo tanto, este código puede ofrecer muchas pistas para futuros jailbreaks del iPhone o su manipulación para incluir malware, eso sin contar que parte de este código se habrá reutilizado seguramente en otras versiones posteriores.

Según la web Motherboard, un empleado de Apple que ellos califican como "low-level" (luego parece ser que hablan de "intern" o becario), ya obtuvo el código fuente de Apple en 2016. Este empleado tenía unos amigos que pertenecían a la comunidad jailbreak y poco a poco le fueron convenciendo a que sacara el código fuente del iBoot, con la excusa de ser muy útil para investigaciones de seguridad. Finalmente este empleado de Apple lo compartió con cinco amigos con la condición de que nunca llegara a salir fuera de este círculo. Pero claro, al final pasó lo inevitable, se filtró y perdieron el control de las copias.

Figura 1. Página de Github donde se observa el usuario ZioShiba y la retirada del código fuente. Fuente.

Parece ser que durante un tiempo (según algunos entrevistados fue un año) el código estuvo dando vueltas dentro de algunos círculos relacionados con el jailbreak. No queda claro desde cuando este código se estuvo compartiendo, pero de todas formas, si es cierto que estuvo en circulación entre 2016 y 2017, hubiera sido de un enorme valor para poder crear exploits y malware asociado al jailbreak para atacar a los usuarios de iPhone durante esa época. Sólo nos hemos enterado de este "leak" cuando el usuario que antes hemos mencionado lo publicó en Github (realmente se publicó primero en Mega pero fue eliminado por los moderadores y luego finalmente en Github).

Apple se defiende argumentando que por diseño, la seguridad de sus productos no depende del secreto de su código fuente,  ya que existen otras capas tanto de hardware como de software que añaden solidez frente a amenazas de seguridad. Sea como fuere, que un empleado normal (sin ningún tipo especial de acceso restringido) sea capaz de tener acceso a este código fuente tan sensitivo es un problema que Apple debería analizar. 

Pero además, parece que la historia no acaba aquí. Según las personas de la web Motherboard que entrevistaron a algunos de esos amigos del empleado de Apple, había más código fuente de otros componentes e incluso algunas herramientas internas de Apple ... estamos seguros que esta historia no acabará aquí. 

Apple dice que el leak sobre el código de iOS 9 no afecta a la seguridad

Sin duda fue la noticia de la semana pasada. El leak de código fuente que sufrió Apple respecto a su sistema operativo iOS. Hay que indicar que parece que este filtrado no afecta a la seguridad de los dispositivos. Apple decidió hacer un comunicado y, primero, confirmar la filtración y, segundo, minimizar la importancia de éste, debido a que el código es anterior. Hay que recordar que durante un breve período de tiempo, del jueves pasado, una sección de código fuente de iOS 9 estuvo ampliamente disponible en Github. Unas horas más tarde, Apple emitió el comunicado y eliminó los depósitos de Github. 

El daño estaba hecho. Una vez que se publica algo en Internet, es casi imposible retirarlo. Hay algunos usuarios que tienen el código en su poder, por lo que el iBoot está en manos de ellos. Algunos estarán interesados en estudiar el código y poder descubrir vulnerabilidades valiosas. Ante todo esto, Apple comentó: 

"El código fuente filtrado es de hace tres años, pero por diseño, la seguridad de nuestros productos no depende del secreto de nuestro código fuente. Hay muchas capas de protecciones de hardware y software incorporadas en nuestros productos, y siempre alentamos a los clientes a actualizar las últimas versiones de software para beneficiarse de las últimas protecciones."

Figura 1: Github leak de iBoot

Sea como sea, el daño estuvo hecho y aunque el comunicado fuera esperado y no se diera importancia, al final son de esas situaciones incómodas que no gustan dentro de una organización. Seguiremos atentos a la noticia, ya que, seguramente, no acabe aquí todo el tema del leak que afectó a una de las empresas tecnológicas más potentes del mundo.

La filtración y el ataque a Equifax puede afectar a los compradores del nuevo iPhone 8

Más de 143 millones de americanos estaban registrados en las bases de datos de la empresa Equifax, la cual se encarga de ofrecer información sobre créditos bancarios. Entre mayo y julio de este año la empresa fue atacada y gran cantidad de dicha información sensible ha sido expuesta en Internet. Este es quizás la mayor filtración de datos personales en la historia reciente pero ¿por qué afectará a los compradores del nuevo iPhone 8?.

La fuga de datos es realmente crítica, datos como nombres y apellidos, número de licencia de conducir, número de la Seguridad Social (la información más sensible de todas) o números de identificación para la recaudación de impuestos son sólo algunos de ellos. Pero los datos robados no se quedan aquí, más de 200.000 personas tenían sus números de tarjeta de crédito también almacenados en Equifax así como documentación muy sensible como disputas, reclamaciones, recibos, etc, las cuales algunas incluso han sido borradas de los servidores.

El FBI sigue investigando el ataque (aún no se sabe quién ha sido el responsable) y se ha puesto a disposición de los usuarios una URL para comprobar si tus datos han sido afectados por el ataque. Para comprobarlo, hay que introducir los últimos seis dígitos del número de la Seguridad Social en la siguiente URL: equifaxsecurity2017.com

Figura 1. Posible aspecto del nuevo iPhone 8. Fuente.

Equifax ofrece una puntuación de crédito y uno de sus mayores clientes es (o era) Citizens Bank, el cual es el principal socio de Apple para ofrecer líneas de créditos a los compradores. Cualquiera que quisiera comprar un nuevo iPhone 8 por ejemplo, Apple comprobaba su solvencia de crédito con Citizens Bank el cual obtenía a su vez la información desde Equifax. La compra a través de crédito es la más común en EEUU a la hora de adquirir productos Apple. 

El impacto del ataque podría afectar a las ventas del nuevo iPhone 8, el cual está a punto de salir al mercado. Las puntuaciones dadas por Equifax pueden ya no ser válidas o estar alteradas después del ataque, por lo que es posible que se busquen otras vías alternativas para comprobar la solvencia de los compradores lo cual podría afectar directamente a los clientes que quisieran utilizar un crédito para comprar el nuevo iPhone 8.

Filtrado documento interno de Apple con las pautas para decidir cuando reemplazar o reparar tu iPhone

Ya hemos hablado de la experiencia que supone ir a una Apple Store, pero si tienes que ir para reparar tu dispositivo, quizás no sea tan placentera. Todos hemos oido casos de clientes que no han podido "convencer" a los técnicos para reparen o lo sustituyan el dispositivo dañado. Ahora un documento interno de Apple que ha sido filtrado nos muestra las pautas que siguen los técnicos de la empresa de la manzana para decidir si reparan o sustituyen un dispositivo.

Todos sabemos que Apple tiene una garantía de un año que cubre reparaciones y/o sustituciones que estén cubiertas por la garantía. Pero además nos ofrecen ampliarla a tres años pagando una cuota adicional con su servicio llamado AppleCare. El problema llega cuando tenemos que definir aquellas reparaciones cubiertas por la garantía de Apple y cuales no. Hay que dejar claro que tanto la garantía como la ampliación AppleCare no es un seguro a todo riesgo y que daños producidos por accidente, desmontaje, servicios no autorizados y cualquier tipo de modificación no autorizada invalida la garantía. Por ejemplo, la rotura de la pantalla de tu Macintosh o iPad debido a un golpe no está cubierta por la garantía de una año o AppleCare.

Un documento interno de Apple de veintidós páginas filtrado a través de DropBox y publicado en parte por BI nos muestra las instrucciones de Apple a los técnicos y servicios autorizados de como inspeccionar y determinar si entran dentro o no de la garantía para reparación. El documento se llama "Visual/Mechanical Inspection Guide" (VMI), con fecha de tres de marzo de 2017 y cubre el iPhone6, 6S y  7. Este es el aspecto que tiene parte del documento (haz click sobre la imagen para verlo a pantalla completa):

Figura 1. Parte del documento VMI filtrado. Fuente.

Apple hace especial énfasis en las reparaciones relacionadas con daños producidos con el agua y lamentablemente, esto no está cubierto por la garantía. La guía tiene una serie de preguntas preparadas para preguntar al cliente, como se puede ver en la siguiente imagen:

Figura 2. Preguntas específicas para daño producido por agua

El daño físico como arañazos, roturas, etc tampoco está cubierta por la garantía. De todas formas, si tienes un problema que no está cubierto según la información de esta guía, esto no quiere decir que no se pueda reparar. Siempre es el servicio técnico local el que tiene la última palabra. De hecho, hay muchos problemas que no están cubiertos técnicamente por la garantía pero es habitual cambiar el dispositivo por otro o incluso repararlo.