Skip to main content

iOS tiene un problema de seguridad por sistema: el clipboard

(Image credit: Future)

Cualquier app de iOS puede leer información confidencial almacenada en el clipboard sin que tú te enteres — incluso aquellas apps que no contemplen la funcionalidad de copiar y pegar. Por sistema, el clipboard está abierto a que una aplicación espía acceda a datos privados como tu localización geográfica aunque no tenga permisos para acceder a esos datos.

Esta alerta de seguridad viene de Mysk (vía 9to5mac), una firma de seguridad que ha desarrollado una aplicación y un widget que puede acceder silenciosamente cualquier cosa que copies en tu iPhone o iPad.

Cómo funciona

Un ejemplo de información de localización geográfica obtenida de una imagen copiada en el portapapeles por Klipboard Spy.

Un ejemplo de información de localización geográfica obtenida de una imagen copiada en el portapapeles por Klipboard Spy. (Image credit: Mysk)

¿Realmente es un riesto?

La aplicación y el widget de Mysk informa a los usuarios de sus acciones y funciona como cualquier otra app en iOS. Como KlipboardSpy, muchas aplicaciones mantienen un ojo de forma constante en el clipboard para ofrecer distintas funcionalidades. Cuando abres una app o tienes un widget activo, estas apps pueden realizar acciones basándose en los datos almacenados en el portapapeles. Esto puede ocurrir así porque la información está siempre disponible y las apps pueden leer los datos aunque el usuario no realice la acción de pegar.

Pero si esto pasa por diseño, ¿realmente es un riesgo para los usuarios?

Después de ser informada por Mysk, Apple respondió que no. La compañía de Cupertino alega que es así cómo se supone que todos los clipboards funcionan no sólo en iOS sino también en iOS, Windows o Android.

Sin embargo, es razonable argumentar que el acceso libre al clipboard afecta de forma fundamental a la seguridad del sistema y tu seguridad. Claves, información de localización, photos, vídeos o cualquier otro dato que puedas copiar puede ser fácil y silenciosamente compartido por una aplicación o widget malicioso sin que el usuario  se entere hasta que sea demasiado tarde.

Esta widget puede encontrar coordenadas GPS almacenadas en las imágenes que copies al clipboard.

Esta widget puede encontrar coordenadas GPS almacenadas en las imágenes que copies al clipboard. (Image credit: Mysk)

El argumento a favor de limitar el acceso libre al clipboard

Apple cree que no existe peligro porque las aplicaciones de la App Store son seguras. Pero sabemos que ha habido multitud de aplicaciones que han evitado los filtros de seguridad de Apple en múltiples ocasiones. Y lo mismo se puede decir sobre Google y su fallido Play Protect.

Y si está demostrado que las apps pueden esquivar los controles de Apple y Google, ¿por qué debemos asumir que el acceso libre al clipboard es aceptable? 

Apple ya pregunta a los usuarios de iPhone e iPad si una aplicación debe tener acceso a datos de localización geográfica pero un clipboard abierto es un camino claro para acceder a esos datos sin limitaciones. Lo mismo se puede decir sobre cualquier otro tipo de información confidencial que puedas ser copiada por el usuario. Si el usuario la puede copiar, cualquier aplicación la puede capturar y transmitir en screto.

Por tanto, parece lógico pensar que el acceso al clipboard debería requerir también de un permiso específico del usuario, igual que debemos autorizar a las aplicaciones para que puedan acceder a la información del GPS, el micrófono, la cámara, tu álbum de fotos o los ficheros almacenados en tu celular o tableta. Quizás parezca un dolor de muelas el tener que activar ese permiso para todas las nuevas aplicacioens pero, cuando realmente lo piensas, ya hay un gran número de aplicaciones que no deberían tener acceso al clipboard en absoluto y no deberían solicitar ese permiso.

En definitiva: No hay absolutamente ninguna razón para no añadir una capa de autorización para que las aplicaciones puedan acceder al clipboard. Hacerlo sólo incrementaría la seguridad del sistema operativo. Y eso siempre es algo positivo para el usuario.