Análisis de Sean Lyngaas y Brian Fung | cnn
Washington— Los investigadores de seguridad advirtieron a Apple ya en 2019 sobre vulnerabilidades en su función de intercambio inalámbrico AirDrop que las autoridades chinas afirman que recientemente usado para rastrear a los usuarios de la función, dijeron los investigadores a CNN, en un caso que, según los expertos, tiene amplias implicaciones para la privacidad global.
Las acciones del gobierno chino dirigidas a una herramienta que los clientes de Apple en todo el mundo utilizan para compartir fotos y documentos (y la aparente inacción de Apple para abordar las fallas) reviven preocupaciones de larga data de los legisladores estadounidenses y defensores de la privacidad sobre la relación de Apple con China y sobre la capacidad de los regímenes autoritarios para torcer los productos tecnológicos estadounidenses para sus propios fines.
AirDrop permite a los usuarios de Apple que están cerca unos de otros compartir archivos utilizando una combinación patentada de Bluetooth y otras conexiones inalámbricas sin tener que conectarse a Internet. La función de compartir ha sido utilizada por activistas pro democracia en Hong Kong y el gobierno chino ha tomado medidas enérgicas contra la función en respuesta.
Una empresa de tecnología china, Wangshendongjian Technology, con sede en Beijing, pudo comprometer AirDrop para identificar a los usuarios en el metro de Beijing acusados de compartir “información inapropiada”, dijeron esta semana las autoridades judiciales de Beijing.
Aunque los funcionarios chinos describieron el exploit como una técnica eficaz para hacer cumplir la ley, los defensores de la libertad en Internet instan a Apple a abordar el problema de forma rápida y pública.
“La respuesta de Apple a esta situación es crucial”, dijo Benjamin Ismail, director de campaña y promoción de Greatfire.org, un grupo que monitorea la censura de Internet en China. “Deberían refutar el reclamo o confirmarlo y trabajar de inmediato para proteger AirDrop contra tales vulnerabilidades. Es imperativo que Apple sea transparente sobre su respuesta a estos acontecimientos”.
La afirmación china ha alarmado a los principales legisladores estadounidenses. El senador de Florida Marco Rubio, el principal republicano en el Comité de Inteligencia del Senado, pidió a Apple que actúe con rapidez.
“Cualquiera que use un iPhone debería preocuparse por la seguridad de la función AirDrop de Apple”, dijo Rubio a CNN. “Esta infracción es sólo otra forma en que Beijing apunta a cualquier usuario de Apple que perciba como un oponente. El momento de actuar es ahora, y Apple debe rendir cuentas por no proteger a sus usuarios contra violaciones de seguridad tan flagrantes”.
Un portavoz de Apple no respondió a múltiples correos electrónicos y llamadas telefónicas en busca de comentarios.
Un grupo de investigadores con sede en Alemania de la Universidad Técnica de Darmstadt, que descubrió las fallas por primera vez en 2019, le dijo a CNN el jueves que tenían confirmación de que Apple recibió su informe original en ese momento, pero que la compañía parece no haber actuado en base a los hallazgos. El mismo grupo publicó un solución propuesta para el problema en 2021, pero Apple parece no haberlo implementado, dijeron los investigadores.
Uno de los investigadores, Milan Stute, compartió un correo electrónico con CNN que muestra a un representante del equipo de seguridad de productos de Apple reconociendo el informe de los investigadores en 2019.
Precauciones ‘no tomadas’
Las autoridades chinas afirman que explotaron las vulnerabilidades recopilando parte de la información de identificación básica que debe transferirse entre dos dispositivos Apple cuando usan AirDrop: datos que incluyen nombres de dispositivos, direcciones de correo electrónico y números de teléfono.
Normalmente, esta información se codifica por motivos de privacidad. Pero, según un informe separado de 2021 análisis Según la investigación de Darmstadt realizada por la empresa de ciberseguridad Sophos, con sede en el Reino Unido, Apple parecía no haber tomado la precaución adicional de agregar datos falsos a la mezcla para aleatorizar aún más los resultados, un proceso conocido como “salado”.
Ese aparente fallo permitió a la empresa de tecnología china aplicar ingeniería inversa más fácilmente a la información original a partir de los datos cifrados, en lo que parece ser “una especie de error de aficionado” por parte de Apple, dijo Sascha Meinrath, catedrático Palmer de telecomunicaciones en la Universidad Penn State. . “Ciertamente merece una explicación por parte de Apple, ya que señalaría una falla grave en su tecnología”.
Si bien el canal de comunicaciones de dispositivo a dispositivo de AirDrop generalmente está protegido del espionaje de terceros por su propia capa de seguridad, eso no protegería a alguien que pudo haber sido engañado para conectarse con un extraño, tal vez tocando un dispositivo con un nombre engañoso en una lista de contactos o aceptando irreflexivamente una solicitud de conexión no solicitada. Este paso es necesario para identificar al remitente, según los expertos en seguridad.
Una vez que la información de identificación del dispositivo es intercambiada y obtenida por un tercero no autorizado, la falta de salazón haría que fuera sencillo adivinar los códigos correctos que descifrarían los datos, dijeron los expertos.
La empresa de tecnología china Wangshendongjian Technology, que afirmó haber explotado AirDrop, parecía haber utilizado algunas de las mismas técnicas identificadas por primera vez por los investigadores de Darmstadt en 2019, dijo Alexander Heinrich, uno de los investigadores alemanes.
“Hasta donde sabemos, Apple no ha abordado el tema hasta el momento”, dijo Heinrich a CNN.
Kenn White, un investigador de seguridad independiente especializado en análisis forense digital, estuvo de acuerdo en que lo que las autoridades chinas revelaron sobre su hackeo es consistente con lo que encontraron los investigadores alemanes.
“En mi lectura, diría que es casi seguro que se utilizan las mismas técnicas que publicaron Heinrich et al”, dijo White. “Más de tres años y este defecto de diseño parece no haberse solucionado”.
Apple bajo presión
Inmediatamente después de la afirmación china, el senador Ron Wyden, demócrata de Oregón y firme defensor de la privacidad en el Congreso, criticó a Apple por un “flagrante fracaso” a la hora de proteger a sus clientes.
“Apple ha tenido cuatro años para arreglar el agujero de seguridad en AirDrop que ponía en riesgo la privacidad y seguridad de sus usuarios”, dijo Wyden en una declaración a CNN. “Apple se quedó de brazos cruzados y no hizo nada más que proteger a los activistas de derechos humanos que dependen de los iPhones para compartir mensajes que el gobierno chino no quiere que la gente vea”.
La empresa de tecnología detrás del exploit AirDrop tiene un historial de trabajar en estrecha colaboración con las autoridades de seguridad y aplicación de la ley chinas.
Su empresa matriz es la poderosa empresa china de ciberseguridad Qi An Xin, según la base de datos corporativa Aiqicha. Qi An Xin fue contratado para proteger los Juegos Olímpicos de Invierno de Beijing en 2022 de los ciberataques. de acuerdo a la agencia oficial de noticias Xinhua.
“Una y otra vez, el gobierno chino recurre al sector privado para aumentar sus capacidades técnicas”, dijo a CNN Dakota Cary, consultora centrada en China de la firma estadounidense de ciberseguridad SentinelOne. “Este es un recordatorio importante del papel ofensivo que pueden desempeñar las empresas chinas de ciberseguridad aparentemente defensivas”.
Sin embargo, es raro que un actor gubernamental como China revele públicamente sus capacidades, lo que sugiere que la revelación intencional de esta semana habla de algún otro motivo.
“A ellos les conviene no divulgar sus técnicas”, dijo White.
Una de las razones por las que los funcionarios chinos podrían haber querido que se conociera su hazaña, dijo Ismail, es que podría asustar a los disidentes y evitar que utilicen AirDrop.
Y ahora que las autoridades de Beijing han anunciado que explotaron la vulnerabilidad, Apple podría enfrentar represalias por parte de las autoridades chinas si la empresa de tecnología intenta solucionar el problema, dijeron varios expertos.
China es el mayor mercado extranjero para los productos de Apple, y las ventas allí representarán aproximadamente una quinta parte de los ingresos totales de la compañía en 2022. La mayoría de sus iPhones se producen en fábricas chinas, y Apple podría enfrentar un revés por parte de Beijing si toma medidas para cerrar la laguna jurídica. .
La revelación del hackeo también podría darle a China aún más influencia para obligar a Apple a cooperar con las demandas de seguridad o inteligencia del país, dijo Ismail, porque China puede argumentar que Apple ya es cómplice.
“Si Apple lo hubiera solucionado cuando se informó en 2019, habría sido un problema técnico desafiante”, dijo Matthew Green, experto en criptografía y profesor de la Universidad Johns Hopkins. “Ahora que las agencias de seguridad chinas están explotando esta vulnerabilidad, es un problema político difícil para Apple”.
El-CNN-Wire
™ y © 2024 Cable News Network, Inc., una compañía de Warner Bros. Discovery. Reservados todos los derechos.
