La versión europea de Safari, el navegador de Apple, podría no ser tan privada como se preveía. A pesar de que Apple ha vendido Safari como «increíblemente privado», los investigadores de seguridad han encontrado serias vulnerabilidades que podrían poner en riesgo la privacidad de los usuarios en Europa, especialmente aquellos que utilizan la versión iOS 17.4.
Los desarrolladores Talal Haj Bakry y Tommy Mysk han investigado cómo Apple ha implementado el proceso de instalación para tiendas de aplicaciones de terceros en iOS con Safari. Tras su estudio llegaron a la conclusión de que el enfoque de Cupertino es particularmente incompleto. La adición de soporte para tiendas de aplicaciones de terceros permite que cualquier sitio web, al ser visitado por Safari en iOS, envíe un identificador único por usuario a una tienda de software aprobada. Esto significa que a medida que los usuarios navegan de un sitio a otro, estos sitios pueden revelar esa actividad a una tienda de aplicaciones no Apple, exponiendo los intereses individuales de los usuarios, que podrían ser utilizados para promociones de aplicaciones dirigidas, anuncios, etc.
Fallos críticos en la seguridad y en la privacidad
El análisis muestra que Apple lanzó esta función con fallos de seguridad y privacidad. A través de un esquema URI denominado «marketplace-kit:», las tiendas de aplicaciones de terceros aprobadas pueden seguir a los usuarios a través de la web. Un esquema URI determina cómo se maneja una solicitud de red particular. Un sitio web que ofrece un mercado de software alternativo puede incluir un botón que, al ser tocado en Safari, lanza una solicitud de «marketplace-kit:» que es manejada por el proceso MarketplaceKit en el iPhone del usuario de la UE. Este proceso, incorporado en iOS 17.4 por Apple, luego se comunica con los servidores del mercado aprobado para completar la instalación de la aplicación de esa tienda en el teléfono.
El problema es que cualquier sitio puede activar una solicitud de «marketplace-kit:». En dispositivos iOS 17.4 de la UE, esto hará que se envíe un identificador único por usuario desde Safari a los servidores de un mercado aprobado, filtrando el hecho de que el usuario estaba visitando ese sitio. Esto ocurre incluso si Safari está en modo de navegación privada. Los servidores del mercado pueden rechazar la solicitud, que también puede incluir una carga útil personalizada, pasando más información sobre el usuario a la tienda alternativa.
Investigadores recomiendan usar Brave en Europa
Aparte de Safari, otros dos navegadores de iOS actualmente soportan tiendas de aplicaciones de terceros en Europa: Brave y Ecosia. Según Bakry y Mysk, el esquema URI de Apple tiene varios fallos significativos. Primero, no verifica el origen del sitio web, lo que permite el seguimiento entre sitios. Segundo, el MarketplaceKit de Apple, su API para tiendas de terceros, no válida los Tokens Web JSON (JWT) pasados como parámetros de entrada a través de solicitudes entrantes. Peor aún, retransmite el token JWT inválido al llamar al endpoint «/oauth/token», abriendo la puerta a varios ataques de inyección que podrían apuntar tanto al proceso MarketplaceKit como al back-end del mercado.
Los investigadores sugieren que los usuarios de iOS en Europa opten por usar Brave en lugar de Safari, ya que la implementación de Brave verifica el origen del sitio web contra la URL para prevenir el seguimiento entre sitios. La necesidad de una estrategia de ciberseguridad multicapa es evidente, y los usuarios deben estar informados y preparados para enfrentar estas amenazas.
Aunque Apple ha sido designada como una empresa «guardian» bajo el Acta de Mercados Digitales (DMA) de Europa para iOS, la App Store, Safari y recientemente iPadOS, estos fallos descubiertos plantean preguntas serias sobre la capacidad que tiene la compañía a la hora de proteger a sus usuarios.
