xaraEsta semana se ha publicado un informe sobre un conjunto de debilidades en los sistemas operativos de Apple que permiten que una aplicación maliciosa, una vez instalada, acceda a datos sensibles.

El estudio ha sido publicado por investigadores estadounidenses y chinos (Universidades de Indiana, Georgia Tech y Peking) liderados por Luyi Xing. Al conjunto de debilidades identificado se le ha denominado XARA. Como la red segura de la administración española, pero en este caso significa “unauthorized cross-app resource access” o acceso no autorizado a recursos de otras aplicaciones. Se basan en vulnerabilidades en la interacción entre aplicaciones, las instrucciones que se dan unas a otras y la información que intercambian.

Lo primero que hay que decir es que no se trata de “virus”. Ni se trata de casos reales identificados. Se trata de que existen vulnerabilidades que hacen posibles aplicaciones que, simulando ser legítimas, conseguirían ser instaladas, y a partir de ahí hacer cosas que no se supone que puedan hacer. Para cualquier usuario normal, evitar la instalación de software de desarrolladores no conocidos es defensa suficiente. Pero podría haber excepciones, especialmente si una aplicación de este tipo pasara (hipotéticamente) los controles del App Store.

¿Qué daño podrían hacer en iOS?

Bastante poco. iOS está muy compartamentalizado, es muy seguro,  y la mayor parte de los desarrolladores evitan riesgos de intercepción de datos y programan de modo que no se envíe información sensible mediante esquemas de URL. Aunque no todos siguen el manual.

Las aplicaciones que usen XARA pueden modificar el esquema de URL de una aplicación, es decir, cambiar la aplicación que se abre al hacer click en un determinado “link”. El ejemplo del estudio causaba la apertura de una aplicación web en lugar de la app de Facebook. Es decir, la aplicación legítima no se abriría, y se abriría la “interceptadora” en su lugar, lo que normalmente debería notarse.

Esto significa que con mucho esfuerzo podría lograrse un “phishing”, haciendo creer al usuario que está usando un servicio legítimo cuando está accediendo a algo malintencionado.

Salvo que el usuario sea lo suficientemente incauto como para crackear su teléfono (“jailbreaking”), la prudencia y el sistema de revisiones de Apple, así como atención a aplicaciones web extrañas, son defensa suficiente en casi todos los casos. Si el teléfono ha sido crackeado y se están instalando aplicaciones piratas, aumentan las papeletas. 

¿Qué daño podrían hacer en Mac OS X?

Bastante más. Las aplicaciones maliciosas se colocan en medio de una cadena de comunicación o el sandbox de una aplicación legítima objetivo, e interceptan la información que pasa entre ellas o se almacena en ellas.

Si el usuario instala una aplicación maliciosa de este tipo, la aplicación podría acceder por ejemplo a los datos de Acceso a Llaveros (Keychain), es decir tus certificados y claves, y modificarlos. O a las almacenadas en 1Password. O a cualquier información almacenada en aplicaciones como Evernote. O interceptar información de WebSockets, el canal usado entre apps HTML5 y servicios del sistema (algo que en teoría podría pasar en iOS o Windows, pero el análisis no da ejemplos). Es decir, daño serio.

¿Es Apple consciente?

Sí, desde hace más de seis meses: de acuerdo con los investigadores, se lo comunicaron entonces y Apple pidió ese tiempo para arreglar el problema antes de publicar la información. Por lo visto han intentando resolver el problema varias veces ya sin conseguirlo del todo.

Parece que los investigadores le colaron apps con XARA a través del Mac App Store (no el iOS App Store) como parte del estudio.

Las vulnerabilidades descritas en el informe son las existentes hace seis meses, no las que queden ahora.

¿Qué se puede hacer?

De entrada, usar el sentido común. Descargar sólo software firmado, es decir procedente de desarrolladores registrados y conocidos (cuando un software no es de desarrollador registrado con Apple, el sistema operativo ya nos avisa), y preferiblemente monitorizado por terceros como el App Store, Steam y similares. No jugar con las medidas de seguridad de los sistemas operativos. Evitar software de procedencia sospechosa. No debería hacer falta más.

Apple puede mejorar la seguridad de las comunicaciones internas y de algunas de las operaciones que ahora permite que se hagan (las mencionadas con Keychain llaman la atención). En los últimos meses, de acuerdo con sites como iMore, se han resuelto vulnerabilidades peores.

Puedes comentar el problema en los foros .