Cuando nuestros dispositivos de la manzana nos piden nuestro nombre de usuario y contraseña de iCloud, lo hacemos de forma instintiva sin pensar en ningún momento si nuestros datos se verán comprometidos o incluso si nuestras cuentas podrían ser “robadas” o algún hacker pudiera utilizar nuestra información. Hace un tiempo, el periodista Wired Mat Honan denunció un hecho así y… ¿Por qué no puede pasarte a ti? Así que vamos a hablaros un poco sobre como deberías manejar vuestras credenciales de iCloud (o cualquier otra) cuando estamos dentro de una aplicación.
En este caso, hablaremos de Sunrise Calendar, una app disponible en la App Store, que representa un buen ejemplo de cómo no se deben manejar los datos personales de las ID de iCloud. Tras su descarga e instalación, la aplicación pide que introduzca su nombre de usuario y contraseña de iCloud, si desea agregar un calendario de iCloud, incluyendo así el Apple ID. Esta información se introduce dentro de la propia aplicación Sunrise Calendar y ésta envía los datos a los servidores de salida.
Según los propios desarrolladores de la aplicación, este es el recorrido de los datos introducidos:
«Cuando se escriben sus credenciales de iCloud, son enviados a nuestro servidor sólo una vez en una forma segura a través de SSL. Las usamos para generar un token de seguridad de Apple. Este token de seguridad es la única cosa que almacenamos en nuestros servidores, nunca almacenamos sus credenciales reales de iCloud».
Algunas aplicaciones de la App Store que piden la ID de Apple, podrían no ser seguras
Aunque estos datos no se almacenen en los servidores de la aplicación, los datos todavía están siendo procesados por los servidores de la app antes de que sean enviados a Apple. Los usuarios de iPhone y iPad, confían plenamente en la aplicación en cuestión para introducir sus datos y asegurarse que los datos no se almacenan en caché y que nadie ha puesto en peligro los servidores intermediarios. Pero teniendo en cuenta las violaciones de seguridad que se están produciendo en algunas apps de la App Store, parece ser que, desgraciadamente, eso no es así.
Al parecer, Apple podría estar contribuyendo a que las apps que piden datos personales de los usuarios no sean seguras, pues no permiten el uso de OAuth o similares. OAuth es un proceso de aprobación manejado por el servicio de Apple, en este caso, evitando que los datos introducidos sean gestionados por aplicaciones de terceros. Por ejemplo, si una aplicación desea tener acceso a tu cuenta de Twitter, la misma te dirigirá a la página web de Twitter donde deberás entrar al sistema y proporcionar el permiso para la aplicación.
Por el momento, Apple no es compatible con este tipo de seguridad de datos y privacidad de los usuarios, por eso, los chicos de Sunrise Calendar afirman que tienen algunas estrategias para poder manejar esta autorización en sus propios servidores.
Muchos usuarios han culpado a Apple por esto, sobre todo por la falta de APIs oficiales de iCloud y soporte para OAuth (o similares). El estilo de Apple, al menos eso tenia entendido, no es hacer algo mal para cuando tengan tiempo y la motivación necesaria para hacerlo bien, sino todo lo contrario.
No facilites tus datos personales a las aplicaciones de terceros
En conclusión, lo mejor es no permitir que las aplicaciones puedan acceder a la cuenta de iCloud ( a parte de la oficial, claro) y así evitar que tus datos sean vistos por terceras personas y puedan usurpar tu identidad y hacer uso de tus datos sin autorización.
Por el momento, aún no ha pasado ninguna desgracia a gran escala, pero como bien dicen los chicos de iPhonehacks, Apple podría tener muchos problemas si algún día una aplicación como esta tiene algún fallo de seguridad que comprometa a cientos de miles de ID de Apple.
¿Vosotros que pensáis? ¿Vas a seguir utilizando aplicaciones que piden tu ID de Apple?
