Imagen: Ivan Rodriguez
A principios de este mes, el investigador de seguridad Ivan Rodriguez propuso un nuevo estándar de seguridad para aplicaciones iOS, al que llamó Safety.plist.
La idea es simple. Los creadores de aplicaciones crearían un archivo de lista de propiedades (plist) llamado security.plist que incrustarían en la raíz de sus aplicaciones iOS.
El archivo contendría todos los detalles de contacto básicos para informar una falla de seguridad al creador de la aplicación. Los investigadores de seguridad que analizan una aplicación tendrían una manera fácil de ponerse en contacto con los creadores de la aplicación.
Inspirado en stability.txt y su gran éxito
Rodríguez dijo que la strategy de Protection.plist surgió de Safety.txt, un estándar equivalent para sitios internet, que era propuesto a finales de 2017.
Stability.txt actualmente está pasando por un proceso oficial de estandarización en el Online Engineering Activity Pressure (IETF), pero ya ha sido ampliamente adoptado, y compañías como Google, GitHub, LinkedIny Fb, todos tienen un archivo stability.txt alojado en sus sitios, por lo que los cazadores de errores pueden ponerse en contacto con sus respectivos equipos de seguridad.
Rodríguez, que es un cazador de errores aficionado en aplicaciones iOS, dijo que decidió proponer algo very similar para las aplicaciones iOS porque ponerse en contacto con el equipo de desarrollo o seguridad de una aplicación ha sido un problema en el pasado.
«Paso la mayor parte de mi tiempo libre buscando aplicaciones móviles, lo que me ha llevado a encontrar muchas vulnerabilidades y todavía tengo que encontrar una que tenga una manera fácil de encontrar el canal correcto para revelar estos problemas de manera responsable», dijo Rodríguez. ZDNet en un correo electrónico esta semana.
«En la mayoría de los casos, tengo que escribir un correo electrónico a info@organization.com genérico o completar un formulario en el sitio world-wide-web company.com/get hold of. La mayoría de estos canales son manejados por personas de advertising o ventas, quienes podrían tener No tengo thought de cómo responder, qué hacer o incluso identificar si es un problema real «, dijo el investigador.
Argumenta que esto sería mucho más fácil si los contactos apropiados se enumeran en un archivo plist alojado en la raíz de la aplicación.
No hay planes de llegar a Apple, todavía
Por ahora, Rodríguez solo ha presentado la idea. Quiere ver cómo se sienten los creadores de aplicaciones sobre la notion.
«Hasta ahora, he tenido grandes reacciones, pero podría deberse a que la mayoría de las personas que sigo o me siguen son profesionales de 'seguridad de la aplicación'», dijo Rodríguez. ZDNet. «Puede que sea demasiado pronto para saberlo, pero realmente espero que safety.plist o cualquier otra forma de implementar información de contacto en aplicaciones móviles se ponga al día».
El investigador de seguridad aún no se ha comunicado con Apple, la única entidad que podría hacer que safety.txt sea obligatorio para todas las aplicaciones de iOS.
«Creo que es demasiado temprano», dijo Rodríguez. «Aunque Apple hace un gran trabajo cuando se trata de prácticas de seguridad, las solicitudes de seguridad obligatorias son difíciles de cumplir, como hemos visto con App Transportation Security (ATS)».
Un sitio web para ayudar a los fabricantes de aplicaciones iOS a comenzar
Para ayudar a mover las cosas, Rodríguez publicó un sitio world-wide-web para stability.plist donde los creadores de aplicaciones pueden generar un archivo básico para incluir dentro de sus aplicaciones.
«Espero que los desarrolladores móviles vean protection.plist como un paso inicial para trabajar en estrecha colaboración con la comunidad de seguridad», dijo Rodríguez.
