Retirada de la App Store la app que guarda contraseñas

Apple ha retirado Big Brother Camera Security de la App Store. Esta aplicación permitía bloquear el teléfono al apagar la pantalla y solicitaba una contraseña para volver a acceder al escritorio. Sin embargo, su creador almacenó las contraseñas de los usuarios (de forma anónima) para hacer un estudio sobre seguridad.

Daniel Amitay, el desarrollador detrás de esta aplicación, había publicado una entrada en su blog en la que explicaba cuáles eran las contraseñas más comunes en iPhone con datos que había extraído de su aplicación. Estos datos, aseguraba, se habían almacenado de forma anónima. La noticia llegó a todas las portadas y ha dejado la propuesta de seguridad y control de la tienda online de Apple en entredicho.

En menos de 24 horas, la aplicación ha desaparecido de la App Store. En Cupertino se han apresurado a retirar esta app que demuestra la vulnerabilidad de su sistema de revisión de contenidos, especialmente cuando se trata de una actualización de un programa ya aprobado.

“Desde luego, no estoy contento”, explica Amitay en su blog, “pero, considerando las inquietudes que me han expresado algunas personas respecto a la transmisión de datos de la app a mi servidor, es comprensible”.

Recopilación de datos secundarios y anónimos

En cualquier caso, Amitay también ha aprovechado para explicar exactamente qué datos obtenía y cómo lo hacía. Las contraseñas obtenidas, por ejemplo, eran las de la aplicación, no las del bloqueo del iPhone, que tiene una función similar.

Por otro lado, el único dato que se enviaba era la propia contraseña. Es decir, lo único que se enviaba eran los cuatro dígitos, por lo que Amitay no podía identificar al usuario o el dispositivo del que provenían.

Además, el desarrollador se defiende alegando que la obtención de datos está contemplada en el acuerdo de licencia de los usuarios, donde se especifica que el proveedor “podría recoger y utilizar datos técnicos e información relacionada”. Esta información incluye “información técnica sobre el dispositivo, sistema y software de la aplicación (…) El proveedor de la aplicación podrá utilizar esta información, siempre y cuando sea de forma que no identifique al usuario, para mejorar sus productos o para proporcionar servicios y tecnologías”.

Por el momento, Amitay ha asegurado que está trabajando para hacer que la aplicación vuelva. Además, explica que no tiene ningún problema en eliminar el código que recoge las contraseñas si es lo que causó el problema, aunque asegura que pensaba utilizar la información para advertir a los usuarios que no escogieran contraseñas obvias.

Las contraseñas más utilizadas

A pesar del proceso de revisión al que se someten las aplicaciones, Amitay pudo introducir este código en Big Brother Camera Security. De hecho, si no hubiera publicado una entrada en su blog en la que analizaba las contraseñas más utilizadas, es probable que Apple nunca se hubiera enterado.

Pero, ¿cuáles son estas contraseñas? Según su análisis, de las 204.508 registradas, la más común es ‘1234’, utilizada por 8.884 personas, seguida de ‘0000’ (5.246), ‘2580’ (combinación que sigue una línea recta y utilizan 4.753 usuarios), ‘1111’ (3.262), 5555 (1.774) y ‘5683’ (combinación con la que se escribiría ‘love’ en un teclado tradicional de teléfono y con la que protegieron su dispositivo 1.425 personas).

Otro de los datos curiosos que descubrió Amitay es que todos los números entre 1980 y 2000 están entre los 100 más utilizados, por lo que cree que muchos usuarios utilizan como contraseña el año de su nacimiento o graduación.

Con estos datos concluyó que el 15% de las contraseñas lo representan una serie de diez códigos de los 10.000 posibles. Es decir, utilizando estas contraseñas se podría acceder a uno de cada siete iPhones sin que se diera comienzo al borrado de datos (que, por defecto, ocurre tras introducir diez contraseñas incorrectas).