miércoles, septiembre 23, 2020

iOS 14 en iPhone y la granularidad de los permisos a tus fotos para que no te roben las más "privadas": Casi bien, pero le falta un poquito

Una de las cosas de las que he hablado muchas veces en el mundo de las apps para iOS y Android, es el uso de permisos de forma oportunista. Es decir, si una app pide permiso para acceder al carrete de las fotos, le tienes que dar acceso a todo el carrete sí o sí. Eso quiere decir que si una app te convence de que necesita acceso al carrete y tú eres capaz de comprender que lo necesita y se lo das, le tienes que dar permiso a toda las fotos.

Figura 1: iOS 14 en iPhone y la granularidad de los permisos a tus fotos para que no te roben las más "privadas": Casi bien, pero le falta un poquito

Pero, ¿qué pasa si esa app se convierte en una Germlin App y hace un uso oportunista de ese permiso? De esto hablé en el artículo - y la charla - de las Gremlin Botnets, donde os contaba como en el mercado de las apps en venta que se usan para ciberespionaje lo que vale es el número de usuarios que tiene, qué tipo de usuarios tiene, y cuáles son los permisos de esa app.


Figura 2: Gremlin Botnets "El club de los poetas muertos"

Si una app para hacer retoques de belleza en fotos tiene acceso a tu carrete de fotos, tiene acceso a todas tus fotos. Todas. Y si se vuelve maliciosa, se podrá llevar todas tus fotos. Hasta las ocultas. Hasta las de sexting. Es más, podría descargar un algoritmo que detecte donde haya gente desnuda en las fotos y llevarse solo aquellas en las que estés sin ropa. 


Solo necesita hacer uso de ese permiso que le diste de acceso al carrete de fotos. Con este sistema de permisos, garantizar eso de "lo que pasa en tu iPhone se queda en tu iPhone" no es nada sencillo, y es conocido por la mayoría de apps que se ha utilizado para hackear a los usuarios de iOS (iPhone & iPad) espiándoles lo que hacen en sus dispositivos. Uso de permisos oportunistas.

Figura 4: Libro de Hacking iOS (iPhone & iPad) 2ª Edición

Apple, en la última versión de iOS 14 ha seguido metiendo opciones de privacidad, como los iconos de acceso a la cámara y micrófono, y también ha hecho más granulares los permisos de acceso al carrete de fotos, y está bien, porque ahora puedes seleccionar a qué fotos le das acceso a una app, limitando el acceso al resto de ellas. Esto, por supuesto, reduce la superficie de exposición y es bueno. Además, por defecto le ha quitado el acceso a todas las apps al carrete, así que conscientemente debes volver a dárselo tú, pero le ha faltado rematar.

Figura 5: Se puede dar acceso selectivo a fotos en el carrete

En concreto, en el tema de las fotos, hay muchas apps que se usan para retocar fotos - aunque sean maliciosas como el caso que ponía yo de ejemplo de apps de filtros de belleza que pudieran ser utilizadas en una Gremlin Botnet - así que el usuario, antes de entrar en la app debe volver a configurar el permiso para que la app tenga posibilidad de acceder a la foto que quiere retocar en ese momento.

Figura 6: Se puede entrar en un álbum, pero solo para seleccionar fotos

Esto no es muy usable, y estoy convencido de que la mayoría de las personas acabará por darle permiso a todo el carrete a las apps, lo que hará que parezca que el permiso granular no es algo que necesite la gente, cuando es que está mal implementado en términos de UX. Y eso es lo que hay que arreglar. Creo que Apple debería añadir la opción de permitir dar acceso a un álbum cuando se hace la selección granular de fotografías, algo que no está ahora. 

De esta forma, cuando alguien configura el perfil granular para su Instagram, su app de filtros de belleza, su WhatsApp, o su lo que sea, puede darle acceso al álbum y catalogar cada foto en uno de ellos. Así, para el usuario será más fácil gestionar la granularidad de accesos y no acabará - como van a hacer la mayoría de usuarios - por darle permiso a todo el carrete otra vez a todas las apps. Veremos si hay suerte en el futuro.

Saludos Malignos!

1 comentario:

Unknown dijo...

Pense exactamente lo mismo que vos Chema al leer que los usuarios deben de dar permisos de nuevo uno por uno a sus fotos.
La solucion seria darle los permisos a nivel de album, tal y como lo describis.

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares