SAN FRANCISCO (Reuters) - Un fallo en el "software" de Apple para dispositivos móviles permitió a los piratas informáticos interceptar correos electrónicos y otras comunicaciones que debían estar cifradas, dijo el viernes la compañía, y los expertos dijeron que los computadores Mac habían estado incluso más expuestos.
Si los piratas tuvieron acceso a una red de usuarios de teléfonos, como al compartir el mismo servicio WiFi inseguro ofertado por un restaurante, pudieron ver o alterar intercambios entre usuarios y páginas seguras como Gmail o Facebook. Los gobiernos con acceso a portadores de datos de telecomunicaciones pudieron hacer lo mismo.
"Es tan malo como se puede imaginar, es todo lo que puedo decir", dijo el profesor de criptografía de la universidad John Hopkins, Matthew Green.
Apple no dijo cuándo o cómo descubrió el fallo en la manera en la que iOS gestiona las sesiones, en lo que es conocido como la capa de Sockets segura (SSL por sus siglas en inglés) o la capa de seguridad de transporte, ni como se había explotado el fallo.
Pero una declaración en su página de asistencia decía: el software "falló al validar la autenticidad de la conexión".
Apple lanzó parches para el software y una actualización para la actual versión de iOS para el iPhone 4, y después para la quinta generación de los iPod touch y el iPad 2.
Sin el arreglo, un pirata informático puede hacerse pasar por otro en una página protegida y encontrarse en medio de datos de correo electrónico o financieros que van entre el usuario y la página real, dijo Green.
Después de analizar el parche, varios investigadores de seguridad dijeron que los mismos fallos existían en las versiones actuales de Mac OSX, que funciona en los portátiles y computadores de escritorio de Apple. No hay parches disponibles para ese sistema operativo por el momento, aunque se espera que aparezca uno pronto.
Puesto que los espías y los piratas también estarán estudiando el parche, podrían desarrollar programas para aprovecharse del fallo dentro de días o incluso horas.
El asunto es un "auténtico coladero en la puesta en práctica del SSL de Apple", dijo Dmitri Alperovich, jefe de la oficina de tecnología en la empresa de seguridad CrowdStrike. Adam Langley, un veterano ingeniero de Google, estuvo de acuerdo con CrowdStrike en que el OS X estaba en riesgo.
Apple no respondió a la petición de comentarios. El fallo parece estar en la manera en la que los protocolos se pusieron en práctica, un lapso embarazoso para una empresa de la altura y destreza de Apple.
La compañía se enfrentó recientemente a la filtración de documentos de inteligencia que decían que las autoridades tenían un 100 por cien de éxito al entrar en iPhones.
La noticia del viernes sugiere que los piratas pudieron haber tenido un gran éxito si conocían el fallo.
Publicado
http://lta.reuters.com/article/internetNews/idLTASIEA1L01E20140222?sp=true