Apple fa anys que construeix una imatge de companyia que posa la privadesa per davant de gairebé tot, especialment davant d'altres grans tecnològiques. Tot i això, ni tan sols l'estricte control de l'App Store evita que es colin aplicacions amb greus errors de seguretat que acaben exposant dades dels qui les usen.
Una recent investigació en ciberseguretat ha tret a la llum un problema que afecta desenes d'aplicacions disponibles per a iPhone i iPad. Aquestes eines, moltes molt populars, estarien filtrant informació sensible d'usuaris sense que aquests siguin conscients: des de noms i correus electrònics fins a historials complets de converses privades.
El treball el lidera el laboratori de recerca de seguretat CovertLabs, que ha posat en marxa un projecte específic per rastrejar aquestes filtracions. La iniciativa s'ha donat a conèixer sota el nom de Firehound, un repositori que escaneja, localitza i indexa apps que exposen dades personals a través de serveis al núvol o bases de dades mal protegides.
Segons els primers resultats publicats, Firehound ha identificat prop de 200 aplicacions a iOS amb errors d'aquest tipus. En el moment en què la informació es va fer pública, 196 de les 198 aplicacions analitzades filtraven dades d'usuaris d'una manera o altra, cosa que dóna una idea de la magnitud del problema.
El projecte s'ha difós principalment a través de xarxes socials on diferents investigadors de seguretat han compartit exemples i xifres. Un dels participants més actius, conegut a X (abans Twitter) com @Harris0n, assegura haver trobat bretxes de seguretat que deixen accessibles enormes bases de dades qualsevol persona amb els coneixements tècnics suficients per buscar-les.
Firehound: així funciona el rastrejador de filtracions a l'App Store
Firehound es presenta com una mena de base de dades d'aplicacions vulnerables. El seu objectiu és identificar aquelles apps que manegen malament la informació dels seus usuaris, ja sigui perquè usen sistemes d'emmagatzematge al núvol sense les degudes mesures de seguretat o perquè exposen fitxers interns que haurien de romandre completament privats.
El repositori ofereix accés gratuït a part dels resultats de les seves anàlisis, però en limita els detalls més delicats. Per veure informació més específica sobre les filtracions cal registrar-se a la plataforma, cosa que els responsables justifiquen com una forma de evitar que qualsevol pugui explotar aquests errors mentre treballen a revisar-los i emmascarar les dades més sensibles.
Segons expliquen, alguns dels informes contenen rutes directes a bases de dades exposades, conjunts de missatges o llistats de correu electrònic que, en mans equivocades, podrien utilitzar-se per a campanyes de phishing, extorsió o suplantació d'identitat. Per això, Firehound només mostra de manera pública informació parcial i generalista sobre cada aplicació afectada.
El mateix @Harris0n indica que, en molts casos, tots els missatges enviats pels usuaris a través de certes apps queden emmagatzemats sense protecció. És a dir, qualsevol que sàpiga on mirar podria llegir converses senceres que els usuaris donaven per privades, associades a més a dades com el seu correu electrònic o fins i tot el número de telèfon.
Aquesta situació posa en evidència una debilitat coneguda des de fa anys: encara que Apple revisi les apps abans de publicar-les, no sempre és capaç de detectar configuracions insegures als servidors externs que les aplicacions utilitzen per desar informació. I aquí és on s'està produint la major part d'aquestes filtracions.
Gairebé 200 aplicacions d'iOS amb dades personals al descobert
Els responsables de Firehound expliquen que, fins ara, han localitzat al voltant de 200 aplicacions de iOS amb problemes de seguretat. No es tracta de petits projectes desconeguts, sinó d'eines amb un nombre considerable de descàrregues, moltes dedicades a la intel·ligència artificial ia serveis al núvol.
En xarxes socials, un dels investigadors implicats assenyalava que, com calia esperar, les apps més afectades tenen a veure amb serveis d'IA. Aquestes aplicacions solen gestionar grans volums de dades, ja que emmagatzemen converses, peticions, correccions i altres tipus de contingut que els usuaris comparteixen esperant que es mantingui en privat.
Un dels exemples més cridaners esmentats al projecte és l'app Xat & Ask AI. D'acord amb les dades recopilades pel Firehound, aquesta aplicació tindria més de 406 milions de registres exposats, que correspondrien a informació de més de 18 milions d'usuaris. Es tractaria de missatges, consultes i altres dades que s'haurien emmagatzemat sense les mesures de seguretat degudes.
El problema, subratllen els investigadors, no és només el volum d'informació, sinó també la qualitat i la sensibilitat d'aquestes dades. No parlem de simples identificadors tècnics, sinó de converses completes vinculades a comptes de correu electrònic ia números de telèfon, el que permet relacionar amb relativa facilitat cada historial de xat amb una persona concreta.
En aquest escenari, un atacant podria no només llegir missatges privats, sinó també creuar aquestes dades amb una altra informació disponible a internet per perfilar les víctimes, dirigir estafes personalitzades o fins i tot generar xantatges si detecta contingut especialment delicat a les converses filtrades.
Dades especialment sensibles: salut mental, emocions i consultes mèdiques
Un dels aspectes que més preocupa els investigadors és el tipus de continguts que s'estan filtrant. Moltes persones utilitzen aplicacions basades en intel·ligència artificial per a parlar de temes emocionals, salut mental, problemes de parella o fins i tot dubtes mèdics. Són assumptes que, per naturalesa, haurien de tractar-se amb la màxima confidencialitat possible.
Si aquests intercanvis queden guardats en servidors mal configurats i, a més, es vinculen a dades de contacte com el correu electrònic o el mòbil, la intimitat dels usuaris queda seriosament compromesa. Els detalls més personals de la seva vida podrien acabar a mans de tercers, amb conseqüències difícils de preveure.
L'investigador @Harris0n posava precisament aquest exemple: persones que confien en una app d'IA per desfogar-se sobre ansietat, depressió, problemes familiars o símptomes mèdics. Tot aquest material quedaria emmagatzemat sense protecció suficient, en espera que algú s'encreui amb la base de dades exposada i decideixi aprofitar-se'n.
Aquest tipus de filtracions no sols suposa un risc en termes de ciberseguretat, sinó també un problema social i psicològic. Saber que els teus converses més íntimes podrien estar circulant per la xarxa pot generar desconfiança en la tecnologia, por de demanar ajuda o utilitzar serveis de suport digital en moments delicats.
Des de la perspectiva europea, a més, aquesta situació entra en territori de compliment normatiu. El Reglament General de Protecció de Dades (RGPD) exigeix que les empreses apliquin mesures de seguretat adequades al nivell de risc, cosa que difícilment es compleix quan una app deixa les bases de dades accessibles al públic a través d'internet.
Quin tipus d'aplicacions estan filtrant informació i per què passa
El llistat del Firehound mostra que el problema no es limita a un sol sector. Entre les apps afectades apareixen eines d'entreteniment, plataformes educatives, serveis relacionats amb la salut i aplicacions professionals de disseny o productivitat. És a dir, és un fenomen transversal que toca diversos nínxols de l'ecosistema de l'App Store.
La majoria d'aquestes errades tenen en comú que les apps utilitzen bases de dades o sistemes d'emmagatzematge al núvol mal configurats. En molts casos, els desenvolupadors recorren a serveis externs per desar informació (com ara historials de xat, perfils d'usuari o fitxers compartits) i no activen correctament les opcions d'autenticació o xifratge.
El resultat pràctic és que aquestes bases de dades queden accessibles sense necessitat de credencials avançades, de vegades fins i tot sense cap tipus de protecció. Qualsevol persona que conegui la direcció o que faci determinades cerques tècniques pot localitzar aquests recursos, descarregar-los o explorar-los amb relativa facilitat.
Un altre problema habitual és l'ús de claus d'accés incrustades dins del propi codi de l'app, una cosa que Firehound també ajuda a detectar. Si un atacant analitza el codi i troba aquestes credencials, podeu utilitzar-les per connectar-vos directament al servei al núvol que utilitza l'aplicació i extreure totes les dades emmagatzemades allà.
Aquest tipus derrors sol estar relacionat amb males pràctiques de desenvolupament i manca d'auditories de seguretat, més que amb una intenció directament maliciosa per part dels creadors de les aplicacions. No obstant això, per a l'usuari la conseqüència és la mateixa: la seva informació privada acaba exposada sense que se li hagi informat de manera clara ni se li hagi demanat un consentiment conscient.
No només passa a l'App Store, però afecta de ple la imatge d'Apple
Els responsables de Firehound insisteixen que aquest tipus de fallades no és exclusiu de la botiga d'Apple. De fet, problemes molt similars s'han detectat durant anys a la botiga d'aplicacions de Google i altres catàlegs de programari. Sempre que una app depengui de serveis al núvol mal protegits, hi ha el risc que es produeixin filtracions de dades.
Tot i així, el fet que aquestes vulnerabilitats apareguin a l'App Store té un impacte especial, perquè Apple fa temps que defensa que el seu ecosistema tancat i supervisat és més segur que el dels seus competidors. Cada cop que apareix un cas com aquest, s'obre el debat sobre fins a quin punt aquest control previ és suficient per protegir realment la informació personal dels usuaris.
A Europa, a més, el focus sobre aquest tipus d'incidents és més gran per la pressió regulatòria. Les autoritats de protecció de dades de diferents països, inclosa Espanya, poden exigir explicacions tant als desenvolupadors com, en alguns casos, a les grans plataformes que distribueixen les aplicacions afectades entre milions de persones.
Apple, per la seva banda, sol reaccionar retirant de la botiga aquelles apps que es demostri que incompleixen les seves polítiques de privadesa o que suposen un risc clar. Tot i això, el cicle entre la publicació d'una aplicació, la detecció del problema i la seva eventual retirada pot ser prou llarg perquè les dades ja hagin estat copiades per tercers.
Al final, la investigació de Firehound recorda que, encara que les grans tecnològiques reforcin els seus processos de revisió, les filtracions poden aparèixer a pràcticament qualsevol catàleg d'apps. La baula més feble sol ser la manera com els desenvolupadors gestionen els servidors on s'emmagatzema la informació, un àmbit en què Apple i altres gegants tenen menys marge de control directe.
Tot aquest cas serveix com una crida datenció per a usuaris i desenvolupadors: per una banda, convé pensar dues vegades quin tipus de dades compartim amb aplicacions o funcions de tercers, com la funció Friends Map d'Instagram, especialment aquelles que funcionen amb intel·ligència artificial i emmagatzemen grans volums de contingut personal; de l'altra, es fa evident que la seguretat no acaba de passar un filtre de l'App Store, sinó que requereix una gestió responsable i contínua de la infraestructura on es guarden les dades. La combinació de projectes independents com Firehound, regulacions estrictes a Europa i una cultura de privadesa més gran pot marcar la diferència a l'hora d'evitar que milions de registres acabin una altra vegada a l'abast de qualsevol.
