• Tweet

Cuídese de SpyTunes

Un investigador de tecnología ha descubierto una vulnerabilidad que afecta la privacidad de los usuarios en la tienda iTunes de Apple, la cual permite que usuarios no autorizados conozcan qué aplicaciones, videos y música han sido adquiridos en la tienda en línea.

La técnica, publicada recientemente en un post por Andrew McAfee, explota una debilidad en una funcionalidad de la tienda en línea que permite a un cliente enviar un regalo a otro cliente de iTunes. Al seleccionar una lista de canciones, videos o aplicaciones, diciendo a iTunes el correo electrónico del destinatario, se puede saber si esa persona ya ha adquirido ese producto de Apple.

"Esto se hace con buenas intenciones" para prevenir que los usuarios regalen música que el destinatario ya tiene, pero esta implementación tiene riesgos de seguridad. Si se selecciona un título que el destinatario ya compró, se muestra el mensaje en rojo, incluso antes de que el usuario tenga que registrarse en su cuenta o dar la información de su tarjeta de crédito.

Lo que es incluso peor, es que la aplicación no pida al destinatario permiso para que se revelen esos datos. Todo lo que se necesita es el correo electrónico que el destinatario usa para su cuenta de iTunes. Las personas que explotan el fallo para espiar a otros no se necesitan registrar en su cuenta ni realizar ningún paso adicional, indico McAfee.

Sin duda los hábitos de consumo de música no es precisamente la información más privada. A mucha gente le agrada compartir sus gustos musicales con todo el mundo. Pero como bien señala McAfee, el Acta de Protección de la Privacidad de Video (Video Privacy Protection Act) impone penas federales en Estados Unidos a cualquier persona involucrada en el negocio de rentar, vender o proporcionar una "cinta de video" que revele información sobre los hábitos de consumo de los clientes.

Como aprendió Netflix, publicar detalles que parecen no tener la menor importancia sobre qué películas ven los clientes podría tener serias e indeseables consecuencias.

La forma como Apple ha manejado esta situación es completamente opuesta a la de Amazon. Cuando un cliente de Amazon regala a un destinatario un regalo de Amazon Kindle que ya tiene, el sitio deja que la compra se realice, pero en vez de enviarle el producto al destinatario, le proporciona un crédito por ese producto.

"Esto simplemente me parece una mejor solución", finalizó McAffe.