Saltar al contenido

Apple y Google fortalecen sus smartphones contra hackers y gobiernos

8 junio, 2018

Google y Apple realizan regularmente cambios en Android e iOS para mejorar la integridad del hardware que ejecuta esos sistemas operativos, por lo que es menos probable que una parte no autorizada tenga acceso a los datos almacenados en ellos. Dos cambios, uno en versión beta y otro en un dispositivo de envío, suben la apuesta para los delincuentes, las empresas y los gobiernos que han encontrado formas o pueden forzar formas de eludir las protecciones.

Google deja de confiar en sí mismo

Apple y Google fortalecen sus smartphones contra hackers y gobiernos

Apple y Google usan componentes seguros dentro de sus dispositivos para almacenar datos críticos de una manera que impide la extracción y evita la manipulación física. Para Apple, eso es todos los dispositivos iOS modernos; para Google, actualmente solo son sus modelos Pixel 2, aunque Android P permitirá que otros fabricantes de dispositivos lo incorporen. El módulo seguro almacena elementos como los números de tarjetas de crédito para el pago y las características derivadas de las huellas digitales que se usan para validar el acceso a un dispositivo. Apple llama a su módulo Secure Enclave, mientras que Google no tiene un término en mayúscula para él.

Con Pixel 2, Google recientemente agregó una medida para proteger a los usuarios contra una amenaza significativa y potencial que podría llevar al robo de datos criptográficos críticos que Google mantiene bajo una seguridad extremadamente estricta. Google, al igual que Apple y otros fabricantes de sistema operativo y hardware, tiene claves de firma criptográfica que utiliza para proporcionar una capa de validación en torno a las actualizaciones de software y firmware para sus dispositivos. No hay una manera efectiva de falsificar una firma válida sin la posesión de esas llaves. Pero si alguien obtuviera las claves, una entidad no autorizada podría crear software y firmware que un dispositivo aceptaría como válido. Dichas actualizaciones pueden socavar el hardware y hacer que el dispositivo envíe datos a otras partes o les permita obtener acceso a información almacenada que de otro modo no estaría disponible.

Una solicitud especial para Apple

Esto evitaría un escenario como el de la investigación de tiro San Bernadino 2015, donde el FBI exigió que Apple creara una versión especial de iOS que la agencia podría instalar en un iPhone bloqueado que recuperaron los asesinos. La versión especial de iOS permitiría a la policía eludir protecciones y retrasos en adivinar contraseñas. (El FBI finalmente retiró su pedido, alegando que había encontrado otra forma de hacerlo). No está claro desde la guía de seguridad de Apple y las declaraciones públicas si se ha eliminado esa capacidad desde entonces.

Google expresó la preocupación en una publicación de blog que describe su nueva mitigación al señalar que los pocos empleados que tienen la capacidad de acceder a las claves podrían estar «expuestos a los ataques de coerción o ingeniería social». La publicación no menciona la participación del gobierno.

La obtención de claves de firma es mucho más importante que tener un solo teléfono o un conjunto de teléfonos desbloqueados, y por lo tanto abre todos los usuarios de Android que no tienen actividad criminal o sospechosa para examinar y arriesgar.

Con Pixel 2, el módulo de seguridad de hardware en el que se basa el teléfono para validar la contraseña de un usuario no puede actualizar su firmware sin la entrada correcta de la contraseña del usuario, incluso con una actualización de firmware debidamente firmada. Anteriormente, Google confiaba en que era la única parte que podía presentar tal cosa; ahora, ni siquiera confía en sí mismo.

No más área «gris» con bloqueo de puerto USB

Del lado de Apple, la empresa ha eliminado una característica que impediría el uso de dispositivos de craqueo de teléfonos basados ​​en USB, como el GrayKey. Como se informó anteriormente, la firma Grayshift pone este dispositivo a disposición de las agencias policiales autorizadas, sin necesidad de una orden, para crackear iPhones con PIN relativamente cortos. Se basa en un enfoque desconocido que evita el bloqueo típico de Apple para reintentos de contraseñas excesivas.