Las contraseñas son la última, y a veces la única, medida de defensa contra los ciberdelincuentes. Los usuarios promedio de PC saben que no deben dejar sus contraseñas al alcance de todo el mundo, sin embargo, algunos desarrolladores de apps de iOS son aparentemente menos cuidadosos al manipular esta información vital de los usuarios
BitDefender ha analizado, desde sus laboratorios, con su herramienta Clueful algunas de las apps de iOS gratuitas más descargadas, partiendo de la premisa que las aplicaciones deben tratar con prudencia las credenciales, para descubrir cuales no lo hacen así.
Con 65.427 valoraciones de clientes hasta el momento y una nota de tres estrellas y media, se encuentra la aplicación Wi-Fi Finder de JiWire Inc, que transmite las contraseñas en texto plano. La aplicación, que permite a los usuarios encontrar redes Wi-Fi de libre acceso o pagando, no cifra de ninguna forma las contraseñas transmitidas, por lo que es fácil para alguien con unos conocimientos mínimos de spoofing poder echar un vistazo y descubrir las contraseñas. Bitdefender también ha analizado la app para iOS que ofrece la posibilidad de “realizar un seguimiento de sus gastos y finanzas personales en el momento” y que envía contraseñas en texto plano. La aplicación Texthog cuenta con la valoración de más de 1.526 clientes. Realizar una sincronización automática con una cuenta texthog.com podría ser arriesgado si lo haces sobre una red Wi-Fi, ya que alguien podría estar vigilando las redes.
Otra aplicación para iOS, recomendada por varios medios entre los que están: New York Times, Consumer Reports, Road & Track, Edmunds, CNet, entre otros, es iWecred de Vurgood Applications. Esta app es un asistente, que trabaja con las contraseñas en texto plano, y que ayuda a los usuarios que han tenido un accidente de tráfico a compilar un archivo PDF donde se explica lo sucedido, junto con imágenes del accidente para enviarlo directamente a la compañía aseguradora.
No sólo las contraseñas están en riesgo por los pobres métodos de cifrado, lo mismo pasa con los nombres de contacto y los números de teléfono ya sean en texto o en formato MD5. El uso de encriptación MD5, aunque es seguro, todavía plantea problemas ya que un buen número de líneas cifradas por MD5 pueden ser visibles, romperse el cifrado y de esta forma otros usuarios podrían conocer la contraseña codificada.
Según los resultados obtenidos con la herramienta Clueful, Glitter Draw Free de Indigo Penguin Limited es un ejemplo más de cómo los Unique Device Identifier (UDID) se consiguen sin el conocimiento ni consentimiento del usuario. El creador de esta app cuenta con otras 77 aplicaciones disponibles en la tienda de aplicaciones de Apple, algunas de las cuales también recogen los UDID de los usuarios. Aplicaciones como Tic Tac Glow, Squeak My Voice, Free Sounds Effects, Walkie Talkie Standard y muchas otras recogen sin permiso el UDID del usuario y lo cargan en un servidor remoto.
Con más de 9.994 valoraciones de clientes, la aplicación Melodis Vocie Dialer de SoundHound es una de las aplicaciones que utiliza los nombres de contacto de la agenda del usuario, con un cifrado básico. Aloha: Hang with friends! De VodkaCran Inc. Es una de las aplicaciones más apreciadas por los usuarios, ya que les permite recibir notificaciones cada vez que un amigo está cerca. Los números de teléfono y nombres de contacto con los que trabaja la aplicación, no tienen una alta seguridad ya que la app lo hace de una forma poco segura y hacen que estas aplicaciones sean poco fiables.
Dentro de esta selección de aplicaciones analizadas con Clueful también está una app de lectura de noticias que trabaja igual que las mencionadas anteriormente y que tiene muy buena valoración por parte de los usuarios franceses, LOPJ de L´Orient-Le Jour. Esta app tiene los mismos problemas de seguridad a la hora de utilizar los números de teléfono y los nombres de contacto. Algunas de las características que se incluyen en la app permiten a los usuarios mantenerse al día con las últimas noticias, al tiempo que ofrece disponibilidad sin conexión completa, una vez que todo se ha almacenado localmente.
Tomar las medidas adecuadas para cifrar las contraseñas, los nombres de contacto y los números de teléfono, son algunos de los pasos que deben tener en cuenta los desarrolladores de aplicaciones iOS, para los datos confidenciales de usuarios. Los riesgos que se pueden correr con estos datos no se debe ignorar, la privacidad iOS no se debe tomar a la ligera. Hay que tener una conciencia clara de que el acceso y la difusión de aplicaciones debe estar en el nivel más alto posible, ya que el usuario utiliza los smartphones tanto en su vida personal como profesional.