Cuidado con los atajos maliciosos

Debe tener mucho cuidado con los accesos directos que descargue porque algunos de estos scripts de automatización de iOS fueron creados por personas malintencionadas con fines maliciosos.

Caso en cuestión: el desarrollador de Codea, Simeon, se ha topado con un atajo malicioso disfrazado para aparecer al usuario como un inocente optimizador y limpiador de RAM (a través de iGen.fr).

En realidad, recopila datos personales como contactos, direcciones, archivos en su dispositivo y lo que no. Estas cosas se archivan silenciosamente en un archivo ZIP que se envía a través de un iMessage a un atacante.

Desde contactos altamente personales, nombres que ha escrito en iMessage, direcciones, historial de navegación, uso de aplicaciones, contenido de archivos

Incluso había cargado el texto completo de David Copperfield de Dickens en Codea recientemente para probar el rendimiento de edición. Se indexaron los nombres y lugares de la historia / 2 pic.twitter.com/2bfIr9aqCS

- Simeon (@twolivesleft) 23 de enero de 2019

Ese atajo en particular pudo salirse con la suya porque los detalles de lo que estaba haciendo se ofuscaron a través de la codificación base64. "Le he revelado todos los detalles a Apple y espero que lo solucionen, pero cuanto más atajos se conviertan en la corriente principal, más personas deben ser conscientes de cómo pueden ser mal utilizados", escribió en Twitter..

Además del hecho de que nadie debería molestarse en usar una aplicación o un acceso directo que prometa limpiar su memoria (iOS hace un trabajo mucho mejor que la RAM en la administración que cualquier aplicación), no está claro qué podría hacer un usuario promedio para evitar atajos maliciosos.

TUTORIAL: Cómo compartir archivos de iCloud Drive

El problema con los atajos es el poderoso lenguaje de scripting de Apple que emplean, lo que permite a los usuarios encadenar múltiples tareas repetitivas en una sola acción. Apple no aloja los accesos directos creados por el usuario, por lo que ciertamente no se analizan ni se analizan en detalle como las aplicaciones de la App Store.

Normalmente, un acceso directo creado por el usuario se comparte a través de un enlace de archivo de iCloud.

Y ahí radica el problema. "No se puede esperar que un usuario razonable sepa lo que está aceptando ejecutar cuando recibe un enlace alojado por Apple a un acceso directo", dijo Simeon.

Apple podría aliviar este problema al exigir que todos los accesos directos sean alojados por App Store para que su equipo de revisión pueda examinar cualquier envío de la comunidad.

También podría introducir nuevos tipos de medidas de protección como las que vimos en macOS Mojave para prohibir los accesos directos para acceder a funciones de bajo nivel, como el sistema de archivos, o al menos lanzar un mensaje cuando un acceso directo quiere alterar sus datos.

En Mojave, los usuarios deben dar su permiso cuando una aplicación o un script desea controlar otras aplicaciones (Preferencias del sistema → Seguridad y privacidad → Privacidad → Automatización).

Sería bueno tener opciones similares en iOS.

iGen también propuso medidas adicionales, como verificar la autenticidad de un atajo al observar más de cerca lo que realmente hace en la aplicación Atajos (toque Mostrar acciones).

Verificar las acciones de un atajo

Por ejemplo, si un atajo que supuestamente recorta imágenes repentinamente solicita acceso a Mensajes, esto debería generar señales de alerta. Además, iGen advierte a las personas contra la descarga de accesos directos de personas o sitios web en los que no confían.

La galería de scripts alojada por Apple disponible en la aplicación Shortcuts es una fuente confiable, pero ¿qué pasa con todos esos scripts alojados en iCloud y creados por la comunidad que puede encontrar en Reddit y las redes sociales??

iGeneration aconseja verificar un acceso directo en una lista de accesos directos de personas que son conocidas en la comunidad de Apple. Una de esas listas está alojada en el sitio web Sharecuts.

También debe consultar el sitio web de ShortcutsGallery, así como explorar la colección de iDownloadBlog de los mejores scripts de la comunidad en nuestro archivo de Shortcuts Focus.

Asegúrese de verificar los accesos directos que descargue a través del sitio web Sharecuts.

En resumen, cualquiera puede crear, alojar y compartir sus propios accesos directos y empaquetarlos como desee (es decir, "Borrar capturas de pantalla de fotos", "Optimizador de rendimiento", etc.) sin ninguna repercusión..

Con eso en mente, confiar menos en los accesos directos creados por la comunidad que descargue ayuda mucho a resolver estos problemas de privacidad y seguridad relacionados con la automatización de iOS.

¿Utiliza accesos directos en su dispositivo iOS??

Si es así, ¿cómo resolvería el problema de confianza si fuera Apple??

Siéntase libre de intervenir con sus pensamientos en los comentarios.