Third Party Applications on the iPhone

Let me just say it: We want native third party applications on the iPhone, and we plan to have an SDK in developers’ hands in February. We are excited about creating a vibrant third party developer community around the iPhone and enabling hundreds of new applications for our users. With our revolutionary multi-touch interface, powerful hardware and advanced software architecture, we believe we have created the best mobile platform ever for developers.

It will take until February to release an SDK because we’re trying to do two diametrically opposed things at once—provide an advanced and open platform to developers while at the same time protect iPhone users from viruses, malware, privacy attacks, etc. This is no easy task. Some claim that viruses and malware are not a problem on mobile phones—this is simply not true. There have been serious viruses on other mobile phones already, including some that silently spread from phone to phone over the cell network. As our phones become more powerful, these malicious programs will become more dangerous. And since the iPhone is the most advanced phone ever, it will be a highly visible target.

Some companies are already taking action. Nokia, for example, is not allowing any applications to be loaded onto some of their newest phones unless they have a digital signature that can be traced back to a known developer. While this makes such a phone less than “totally open,” we believe it is a step in the right direction. We are working on an advanced system which will offer developers broad access to natively program the iPhone’s amazing software platform while at the same time protecting users from malicious programs.

We think a few months of patience now will be rewarded by many years of great third party applications running on safe and reliable iPhones.

Steve

P.S.: The SDK will also allow developers to create applications for iPod touch. [Oct 17, 2007]

La presión de la comunidad de usuarios que han llevado siempre por lema el consagrado “Think Different” ha obligado a Apple a publicar el SDK que se pedía a gritos desde todos los sectores.

Esto no es más que el comienzo de una nueva generación de nuevos dispositivos que se caracterizarán por la acogida de los usuarios y por un conjunto de aplicaciones que no tendrá nada que envidiar a otras plataformas.

Lo que más me ha gustado es el énfasis que ha hecho Steve Jobs en centrar el foco en las cuestiones de la seguridad y evitar que esta nueva plataforma sea un Microsoft Windows 2ª parte, lleno de troyanos, virus y todo tipo de malware.

Por la parte que me toca ya he añadido al Google Reader, el RSS del ADC (Apple Developer Connection) para estar al tanto de posibles avances y material para el iPhone y el iPod Touch.

Esto significa que cualquier aplicación maliciosa o de terceros podría acceder a nuestros datos y usarlos con fines no autorizados, incluso sería posible que se enviaran al exterior sin nosotros tener conocimiento.

Entrando en detalle, he encontrado que además del diccionario que incorpora el iPhone para la escritura predictiva, usa un diccionario adicional con los términos y palabras que usamos, es decir, un diccionario dinámico. El problema radica en que cada vez que introduzcamos nuestros datos personales en un formulario o aplicación también los está memorizando. Este diccionario dinámico se almacena (dentro del iPhone) en la ruta /private/var/root/Library/Keyboard con el nombre de dynamic-text.dat.

Otros ficheros de datos de aplicaciones también padecen del mismo problema, como por ejemplo la aplicación Navizon que almacena el usuario y la contraseña en un fichero XML en texto plano y sin encriptar. Y es muy posible que otras aplicaciones se comporten igual.

El problema no acaba aquí, porque cada vez que sincronizamos nuestro iPhone, todos estos datos se transfieren a nuestro PC y/o Mac y por lo tanto la exposición de nuestros datos sensibles es aun mayor, porque nuestras contraseñas y datos sensibles estarán accesibles por otro tipo de aplicaciones.

¿Cómo se arreglaría esto?

Para las aplicaciones de terceros (las que no vienen incluidas con iPhone) deberían usar funciones de encriptación para almacenar datos sensibles, como mínimo un básico MD5.

Para el diccionario dinámico del iPhone (aparte de quejarse a Apple Inc.) no se me ocurre ahora ninguna solución.

¿Es real el riesgo? ¿Qué podría pasar?

El riesgo siempre existe y es algo con lo que hay que contar, pero a día de hoy no todas las aplicaciones de terceros que nos instalamos en nuestro iPhone aportan el código fuente (por ejemplo Navizon), por lo que no podemos estudiar su comportamiento, y tampoco creo que todo el mundo tenga las ganas ni la capacidad de revisar el código fuente de una aplicación antes de instalarla.

Por lo tanto, en cualquier momento alguien podría coger el código fuente público de una aplicación como iFlickr que contiene toda la lógica para sacar algo de nuestro iPhone, modificar la aplicación para que se vaya a las carpetas que contienen los ficheros vulnerables y enviar esos datos a Rusia, Ucrania, o al vecino de al lado. Sobre todo, sabiendo esos ficheros siempre están en la misma ubicación y tienen el mismo nombre. Si a eso además, tenemos en cuenta que gran parte del tiempo el iPhone se conecta a Internet y ni nos solicita autorización ni sabemos lo que está entrando ni saliendo, nos encontramos con un panorama inquietante cuando menos.

¿Es entonces preocupante?

No es mi intención meterle miedo a nadie, pero yo diría que si, que una cuestión por lo que habría que preocuparse.

¿Se puede hacer algo?

En principio los consejos básicos análogos a cualquier sistema operativo:

• No instalar aplicaciones de dudosa procedencia.
• No seas el primero en probar la aplicación, espera que otros lo hagan y den su feedback.
• No introduzcas tus datos (usuarios y contraseñas) sobre productos o aplicaciones que no tengan un contrastado nivel de seguridad y garantías.

Por mi parte, como ya estoy trabajando en precisamente el acceso a los datos del iPhone y su sincronización, voy a trabajar en algunas utilidades para Windows y Mac OS X que permitan mitigar (o por lo menos detectar) estos escenarios. Tan pronto como tenga algo lo iré publicando en esta web.

Visto el “panorama” también enfocaré mis esfuerzos en investigar otras posibles vulnerabilidades de esta índole y sus vías de evitarlas/subsanarlas.

Mientras esperaba a que alguien me atendiera me decidí a probar mi iPhone con uno de esos altavoces externos en los que pinchas el iPod y puedes reproducir la música de forma autónoma. La sorpresa fue cuando nada más ajustar el iPhone al conectar, se muestra un mensaje en la pantalla de éste que decía algo parecido a “Este accesorio no ha sido diseñado para el iPhone”, acto seguido se va el mensaje y se acabó!

¿Significa esto que Apple encima está limitando el uso de los accesorios para el iPod a los iPhones? Desde una perspectiva totalmente comercial es verosimil, pero desde el lado de sus clientes es una auténtica puñalada.

Menos mal que no tenía antes ningún iPod ni accesorio para éste, pero independiente lo que va a significar es que no voy a poder optar entre el gran abanico de productos actuales.

Por cierto, para no acabar odiando del todo a Apple, al final el cable de 19,90€ de sincronización (y recarga) USB para iPod si me ha funcionado correctamente con mi iPhone…

PD: La foto es mala con ganas, lo sé, pero así es la calidad de un Nokia N70, que es lo único que tenía a mano.

Por si alguno se encuentra con el problema del EDGE y quiere usar GPRS (imprescindible en este gadget), los parámetros para Vodafone España son:

APN: ac.vodafone.es

Username: vodafone

Password: vodafone

El culebrón continua cuando definitivamente han salido ya los anuncios de que la nueva actualización de firmware, la 1.1.1, dejan “tostado” a los iphones liberados según comentan en estas noticias:

• Applesfera.
• El Pais

Está claro que la solución de momento es sencilla, no actualizar. Y estoy absolutamente convencido de que en pocos días saldrá a la luz el “fix”

Para terminar y para darle un toque de humor dos estupendos montajes fotográficos que me han resultado muy buenos y que dan en el clavo entre este batalla entre el bien y el mal, y el imperio contra la fuerza rebelde

• El lado maquero.
• Apple avisa.

Obviamente, como feliz poseedor de un iphone, iré actualizando este blog con los siguientes episodios de este culebrón.