Ads 468x60px

domingo, 24 de abril de 2011

Fallo de seguridad de localización: explicación y detalles — AppleWeblog

MG 0144 1 ios23 400x266 Fallo de seguridad de localización: explicación y detalles
Ya os comentó nuestro compañero Dani toda la verdad sobre este caso. Comentó los detalles y cómo protegerse en caso de no querer que esos datos pudieran estar expuestos.
Pero sólo una cosa, el tiempo, puede dar las explicaciones pertinentes de por qué se hace esto y darnos una clave también muy importante: Android también lo hace, igual que casi cualquier smartphone, aunque de diferentes maneras.
Como habréis observado alguno, he preferido no comentar nada del caso pues hasta no tener todos los detalles, no quería emitir ningún tipo de juicio al respecto, y ahora que ya tengo todos estos en mi poder, recopilados en un magnífico artículo de wired.com, vamos a comentar varios hechos que explican el por qué de esta polémica surgida. He aquí los hechos:

Apple lo explicó todo en 2010

Así es. En julio de 2010, el día 12, en respuesta a una solicitud de los congresistas Joe Barton y Edward Markey, el consejero general de Apple, Bruce Sewell, envío una carta de 13 páginas que podéis leer detenidamente, donde se explica la política de geolocalización de Apple y cómo es su funcionamiento. Sin mencionar explícitamente al famoso archivo consolidated.db, sí hacen menciona a una base de datos donde se almacenan los datos de geolocalización (este fichero).
Según comentan, Apple recopila y envía la información de geolocalización del terminal, siempre y cuando este servicio esté activado en el dispositivo (el deslizador en posición ON). Si este está en OFF, nunca, bajo ninguna circunstancia, se registra o envía información de este tipo. Por lo tanto, si no queremos que nuestros datos se recopilen, apaguemos el servicio y punto. Tampoco es algo que realmente sea necesario si no usamos servicios como FourSquare, GoWalla, Facebook Places o algún tipo de utilidad que permita ofrecer servicios a través del posicionamiento. Recordemos que nosotros hemos dado permiso a muchas aplicaciones para que registren y envíen nuestra posición, y somos los primeros que tenemos (en muchos casos) un mapa de movimiento en internet.
El por qué de la recopilación, según explica Apple, es bien sencillo. Recopilar una base de datos de geolocalización con datos que ayuden a un mejor posicionamiento y que actúe en forma de caché. Es importante notar que el dispositivo sólo registra, como se ha notado por algunos usuarios, cuando se registra o solicita por alguna aplicación nuestra localización. Es decir, sólo se realizan entradas en esta base de datos cuando aparece el símbolo de acceso a la geolocalización en la parte superior del dispositivo. En ningún caso se registran entradas en momentos que nosotros no lo autoricemos o sin que se informe.
software iphone tracker 400x294 Fallo de seguridad de localización: explicación y detalles
En función de las posibilidades del terminal, si sólo tiene WiFi o también tiene GPS, Apple recopila información de triangulación por estaciones WiFi o se apoya en el GPS para dar mayor precisión a dicha localización, por lo que todos los dispositivos con iOS usarían (en caso de estar activado) los datos de geolocalización y su registro en el terminal. Recopilada la información de cada solicitud de geolocalización (almacenada en este consolidated.db), cada 12 horas, aproximadamente, esta información es enviada a Apple anónimamente, con el fin de actualizar sus bases de datos.
De hecho, la carta menciona explícitamente que la información de geolocalización es almacenada en el dispositivo, en una base de datos a la que sólo Apple puede acceder. Aquí es donde estaría el fallo de seguridad en el momento que alguien ha encontrado dicha base de datos y ha sido capaz de interpretar su información, pues no estaba encriptada de ninguna forma.
El problema de base es que nosotros, hasta ahora, hemos creído que este dato que se recopilaba no se guardaba en ningún sitio. Ahora ya sabemos que sí se almacena y sin ningún tipo de encriptación, lo cual, y esto es innegable, es un fallo de seguridad por parte de Apple que deberían corregir.

Problema desde iOS 4

Anteriormente a iOS 4 (o el iOS 3.2 de iPad), Apple usaba un sistema diferente para gestionar la geolocalización, a través de otras empresas. A través de Google y la empresa Skyhook Wireless, se gestionaba este servicio y Apple utilizaba estos para guardar los datos de geolocalización. No se recopilaban datos en el dispositivo, sino que se enviaban en tiempo real, motivo por el que (como se dijo al descubrir el fallo) este problema del fichero local es de iOS 4 en adelante.
En abril de 2010 las cosas cambiaron, ya que Apple empezó a usar sus propias bases de datos de geolocalización para los dispositivos, dejando de usar este servicio de otras empresas.
Estas bases de datos deben estar en permanente actualización para registrar, entre otras cosas, en continuo cambio del espacio físico, así como los más modernos usos de tecnología móvil, además del número creciente de usuarios de Apple.
La geolocalización de iOS funciona de forma que se utiliza la base de datos de lugares conocidos para obtener una triangulación más aproximada y luego se une a los datos del GPS para hacer que estos datos sean más específicos.

El verdadero fallo de seguridad

Hasta aquí todos es relativamente lógico y normal, nada que no haga casi cualquier smartphone (incluso Android del que se ha sabido hace poco que hace casi lo mismo que iOS en datos de geolocalización). Pero hay una diferencia importante que dicta por qué en Android no es un fallo de seguridad y en iOS sí.
geo tagging 400x400 Fallo de seguridad de localización: explicación y detalles
Cada 12 horas (como hemos dicho), los datos de geolocalización del terminal son enviados a Apple anónimamente (sin ningún tipo de dato personal, exactamente igual que hacen otros terminales como Android). Esto sirve para ayudar a las continuas actualizaciones. El problema es que, una vez enviados estos datos, ya no tiene sentido el hecho que se queden almacenados en el terminal.
Por lo tanto, el fallo de seguridad en sí no es realmente que los datos estén en el terminal y puedan interpretarse (que puede ser considerado como tal). El fallo real es que esos datos no deberían estar ahí porque una vez enviados a Apple deberían borrarse (como se hace con los terminales Android). ¿Y por qué? Porque realmente no sirven para nada ya que el proceso de geolocalización no los necesita, una vez enviados a Apple, y tal y como está definido el proceso y Apple explicó hace casi un año.

Conclusiones

Estamos pues, enfrentados a dos problemas potenciales que Apple ha de resolver. El primero es que el fichero consolidated.db tenga algún tipo de encriptación que impida su acceso a cualquier persona, para así salvaguardar nuestra seguridad de las últimas 12 horas previas al envío de dicha información a Apple. El segundo, es que una vez enviada esta información a Apple, la información del terminal se borre ya que no es necesaria.
De hecho, estos datos ni siquiera pueden ser usados a nivel de caché, pues los datos válidos son siempre los que Apple tiene en su servidor, como resultado de la unión de la información de miles de dispositivos, que le ayudan a configurar los continuos cambios del terreno.
Esperamos, por lo tanto, que el mutismo por parte de Apple a este respecto sea porque, en vez de dar explicaciones a la prensa y entrar en un juego tipo antennagate, lo que esté haciendo sea una actualización que resuelva los problemas de seguridad y por lo tanto, presente hechos y no argumentos que pueden ser interpretados como cada uno quiera.
Wallpapers films Eagle Eye Fallo de seguridad de localización: explicación y detalles
El fallo está ahí, y ahora lo que queda es esperar a su solución y que todo el mundo tenga la sana costumbre de encriptar las copias de seguridad de su terminal. Lo que es un hecho, y es algo a lo que tenemos que acostumbrarnos si aún no hemos caído en este hecho es que nuestro smartphone guarda toda la información de geolocalización que recopila, y que lo envía periódicamente a los servidores de internet de nuestro proveedor de sistema operativo (Apple, Google, RIM, etc…) con efectos de mejorar el servicio y de manera completamente anónima.
En este caso Android lo hace bien pues no almacena datos locales sino que envía cada geoposicionamiento de manera automática, siempre de manera anónima. Si nos da por pensar mal, el miedo de saber que estamos cada vez más controlados y con nuestra total voluntad, está ahí presente. La solución en iOS: apagar la función de localización. Lo malo es que perderíamos una serie de servicios interesantes como, por ejemplo, el que yo ayer usé cuando buscaba desesperadamente una gasolinera e iOS me ayudó a encontrar la más cercana, que por mi mismo, hubiera sido difícil encontrar.

Fallo de seguridad de localización: explicación y detalles — AppleWeblog


Otros Blogs de la red:
Recursos infantilOncologíaRecursos PrimariaTraumatoligía y Fisioterapia
Libros ElectrónicosiPad Español

No hay comentarios:

Publicar un comentario

Infolinks In Text Ads