Ahora es más sencillo notificar a Apple una vulnerabilidad de seguridad o privacidad

No hace falta ser un experto en ciberseguridad para encontrar alguna vulnerabilidad dentro del ecosistema de Apple. Es posible que esta aparezca por casualidad. El ejemplo más claro lo encontramos en el famoso caso de FaceTime, un error que permitía escuchar al destinatario de la llamada antes incluso de colgar y que fue descubierto por un chico de 14 años. Este ejemplo y otros similares reflejan la  dificultad  a la hora de notificar este tipo de problemas a la empresa de la manzana. Pues Apple ha tomado nota y ahora es más sencillo.

Volviendo al tema de FaceTime, la madre del chico que encontró este fallo pasó casi dos semanas intentando comunicarse con Apple para notificarles el problema. Una vez que finalmente consiguió contactar con ellos, la respuesta fue que debía darse de alta como desarrollador en el portal de Apple para poder reportarlo. Una vez realizado este proceso, notificaron de nuevo la vulnerabilidad pero nada, Apple tampoco les hizo caso. 
La empresa de la manzana sólo reaccionó cuando comenzaron a comprobar la gran repercusión a través de diversas redes sociales y canales de video que mostraban cómo replicar esta vulnerabilidad. Estaba claro que el canal de comunicaciones con Apple no funcionaba. Era necesario solucionar este problema y crear otro canal más fluido entre los usuarios de productos y la empresa en lo referente a problemas de seguridad y privacidad. Apple ha tomado buena nota de estos contratiempos que no benefician a nadie, ni al usuario ni a la empresa, así que ha decidido simplificar los pasos para reportar una vulnerabilidad.

Figura 1. Tweet de la madre del chico donde queda constancia de la respuesta nula por parte de Apple. Fuente.

Todo el proceso se basa ahora en enviar simplemente un email a la siguiente dirección de correo electrónico, product-security@apple.com e incluir todo lo necesario para explicar el problema (por ejemplo vídeos, pasos para replicarlo, etc). En caso de enviar información confidencial, Apple recomienda que se cifre la información utilizando la clave PGP de seguridad de los productos Apple. Por otro lado, si hay que enviar fichero muy pesados, también recomienda utilizar Mail Drop. En este enlace puedes encontrar toda la información.

No hay que confundir esta vía de comunicación de vulnerabilidades con el programa bug bounty de Apple, aunque sí que comparten la opción de recompensar con una cantidad económica a la persona que ha reportado la vulnerabilidad. Esperamos que con este nuevo canal directo al usuario, cada vez más se reporten nuevos problemas ya que esto siempre beneficia a la seguridad en general.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.