Apple dice que ofrece una capa adicional de protección de datos para los adjuntos de los mensajes de correo electrónico almacenados en sus dispositivos móviles. Según afirma en su página web de asistencia técnica, esa protección funciona en todos sus dispositivos con capacidad de cifrado, lo que incluye todos los modelos de iPad y cualquier iPhone desde el 3GS en adelante. Mejora el cifrado de hardware protegiendo las claves de cifrado con una contraseña. Sin embargo, un investigador de seguridad llamado Andreas Kurtz ha descubierto lo contrario. Kurtz ha comprobado que desde la versión de iOS 7.0.4 a la actual iOS 7.1.1 realmente no se cifran los ficheros adjuntos de e-mail. Esto es especialmente grave para aquellos usuarios profesionales que manejan datos sensibles relativos a sus negocios y empresas.
El investigador ha verificado el fallo de seguridad de iOS 7 en tres dispositivos distintos: en un iPhone 5S y en un iPad 2 (ambos con iOS 7.0.4) y en un iPhone 4 actualizado a la versión 7.1 y la 7.1.1. Para ello ha creado una cuenta de correo electrónico IMAP (protocolo de acceso a mensajes de internet) y colocado varios mensajes de e-mail con archivos adjuntos en las carpetas. Kurtz ha podido acceder a los adjuntos sin tener que pasar las claves de cifrado y ver el contenido de los ficheros, simplemente montado una partición de datos en iOS. El problema subsiste en las cuentas de e-mail creadas con otros protocolos como POP o ActiveSync.
Poco después de descubrir el fallo, Andreas Kurtz se lo comunicaba a Apple para que lo arreglara. La compañía le respondió que estaban al corriente del asunto, sin mencionar ninguna fecha sobre la disponibilidad del parche. Sin embargo, como Kurtz constata, desgraciadamente, la última versión iOS 7.1.1 no ha remediado el problema, dejando a los usuarios de smartphones iPhone y tabletas iPad expuestos al robo de datos.
Eso sí, hay que tener en cuenta que para poder acceder al contenido de los ficheros adjuntos es necesario tener el dispositivo a mano. No se puede hacer a distancia, lo que limita los riesgos. Además hace falta conocer la contraseña del iPhone o del iPad, o bien liberar (jailbreak) el dispositivo. De todos modos, si el dispositivo se pierde o lo roban, los adjuntos quedarían desprotegidos y la información sensible estaría al alcance de los ladrones de datos.
A la redacción de estas líneas, Apple todavía no ha parcheado este fallo de seguridad del sistema operativo iOS, ni tampoco ha anunciado cuándo tiene previsto solucionarlo. Ayer lunes, en unas declaraciones a CultOfMac, los de Cupertino explican que “conocen el asunto y están trabajando en un parche que distribuirán en una futura actualización de software”.
Parece que Apple está más preocupada por la seguridad de los usuarios de Mac que por los del iPhone. Al menos eso es lo que se desprende de una comparación de la lista de parches lanzados para las actualizaciones de OS X frente a la de iOS.
