Cuando los criptógrafos miraron la seguridad de iOS y Android, no estaban contentos

Cuando los criptógrafos miraron la seguridad de iOS y Android, no estaban contentos
            Durante años, el gobierno de Estados Unidos ha suplicado a los ejecutivos de Apple que creen una puerta trasera para las fuerzas del orden.  Apple se resistió públicamente, argumentando que tal iniciativa de aplicación de la ley se convertiría rápidamente en una puerta trasera para los ciber-terroristas y ciberterroristas.
La buena seguridad nos protege a todos, continuó el argumento. Más recientemente, sin embargo, el gobierno federal ha dejado de pedir una solución para pasar por la seguridad de Apple. ¿Por qué? Resulta que lograron abrirse paso por su cuenta. La seguridad de IOS, así como la seguridad de Android, no es tan fuerte como han sugerido Apple y Google. Un equipo de criptografía de la Universidad Johns Hopkins acaba de publicar un informe extremadamente detallado sobre los dos principales sistemas operativos móviles. En pocas palabras: ambos tienen una gran seguridad, pero no la extienden lo suficiente. Cualquiera que realmente quiera participar puede hacerlo con las herramientas adecuadas. Para los CIO y CISO, esta realidad significa que todas esas discusiones ultrasensibles que tienen lugar en los teléfonos de los empleados (ya sean corporativos o BYOD) podrían ser opciones fáciles para cualquier espía corporativo o ladrón de datos. Es hora de profundizar en los detalles. Comencemos con el iOS de Apple y el punto de vista de los investigadores de Hopkins. “Apple promueve el uso generalizado del cifrado para proteger los datos del usuario almacenados en el dispositivo. Sin embargo, hemos observado que una cantidad sorprendente de datos confidenciales en poder de aplicaciones integradas está protegida mediante una clase de protección baja `` disponible después del primer desbloqueo '' (AFU), que no expulsa las claves de descifrado de memoria de datos cuando el teléfono está bloqueado. El impacto es que se puede acceder a la gran mayoría de los datos confidenciales del usuario en las aplicaciones integradas de Apple desde un teléfono que se captura y opera de manera lógica mientras está encendido pero bloqueado. Encontramos evidencia circunstancial en los procedimientos del DHS y los documentos de investigación de que la policía ahora explota de manera rutinaria la disponibilidad de claves de descifrado para capturar grandes cantidades de datos confidenciales de teléfonos bloqueados. " Bueno, ese es el teléfono en sí. ¿Qué pasa con el servicio ICloud de Apple? ¿Hay algo? Oh, sí, lo hay. “Echamos un vistazo al estado actual de la protección de datos para iCloud y determinamos, como era de esperar, que al habilitar estas funciones se transmite una gran cantidad de datos de usuario a los servidores de Apple, en una forma a la que pueden acceder de forma remota los delincuentes que obtienen acceso no autorizado a un usuario nube. cuenta, así como agencias policiales autorizadas con poder de citación. Más sorprendentemente, identificamos varias características contraintuitivas de iCloud que aumentan la vulnerabilidad de este sistema. Como ejemplo, la función `` Mensajes en iCloud '' de Apple anuncia el uso de un contenedor encriptado de un extremo a otro que es inaccesible para Apple para sincronizar mensajes entre dispositivos. Sin embargo, la activación de iCloud Backup en conjunto da como resultado que la clave de descifrado para ese contenedor se cargue en los servidores de Apple en una forma a la que Apple, y los atacantes potenciales o las fuerzas del orden público, puedan acceder. Asimismo, observamos que el diseño de iCloud Backup de Apple da como resultado la transmisión de claves de cifrado de archivos específicas del dispositivo a Apple. Dado que estas claves son las mismas que se utilizan para cifrar los datos en el dispositivo, esta transmisión puede presentar un riesgo en el caso de que un dispositivo se vea comprometido físicamente posteriormente. " ¿Qué pasa con el famoso procesador Secure Enclave (SEP) de Apple? “Los dispositivos IOS imponen límites estrictos a los ataques de adivinación de contraseñas mediante un procesador dedicado llamado SEP. Revisamos el registro de investigación pública para examinar la evidencia que indica claramente que a partir de 2018, los ataques de adivinación de códigos de acceso eran posibles en iPhones habilitados para SEP utilizando una herramienta llamada GrayKey. Hasta donde sabemos, esto probablemente indica que un bypass de software SEP estuvo disponible en la naturaleza durante este tiempo. " ¿Qué pasa con la seguridad de Android? Para empezar, sus protecciones de cifrado parecen ser incluso peores que las de Apple. “Al igual que Apple iOS, Google Android proporciona cifrado para archivos y datos almacenados en el disco. Sin embargo, los mecanismos de cifrado de Android ofrecen menos gradaciones de protección. En particular, Android no proporciona ningún equivalente de la clase de cifrado de Protección total (CP) de Apple, que elimina las claves de descifrado de la memoria poco después de que el teléfono está bloqueado. Por lo tanto, las claves de descifrado de Android permanecen en la memoria en todo momento después del "primer desbloqueo" y los datos del usuario son potencialmente vulnerables a la captura forense. " Para los CIO y RSSI, eso significa que debe confiar en Google o Apple o, mucho más probablemente, en ambos. Y también debe asumir que los ladrones y las fuerzas del orden también pueden acceder a sus datos cuando lo deseen, siempre que puedan acceder al teléfono físico. Para un agente espía corporativo bien pagado o incluso un ciberdelincuente con un ojo en un ejecutivo específico, este es un problema potencialmente enorme.
<p>Copyright © 2021 IDG Communications, Inc.</p>