Una de las nuevas características de iOS 16 es el modo de bloqueo, que ayuda a los usuarios a protegerse contra ataques cibernéticos dirigidos al deshabilitar múltiples funciones del dispositivo. Entre todo lo que cambia el modo de bloqueo, también restringe la navegación web, y ahora el ingeniero de software Alexis Lours detalla cómo sucede exactamente eso.
Lours compartió en su blog personal cómo realizó múltiples pruebas para averiguar qué características web están deshabilitadas cuando el modo de bloqueo está activado. Gracias a Modernizr, una biblioteca de JavaScript que detecta características disponibles en un navegador web, el ingeniero ha obtenido una lista de características de WebKit que potencialmente se pueden utilizar para espiar a los usuarios.
Impacto del modo de bloqueo en la navegación web
Lo primero que notó el ingeniero es que lockdown Mode deshabilita la compilación de JavaScript justo a tiempo (JIT), que compila código sobre la marcha durante su ejecución. Sin JIT habilitado, el rendimiento de la navegación web se reduce hasta en un 95% según las pruebas de referencia. Esto da como resultado tiempos de carga más largos e incluso un mayor consumo de batería.
El modo de bloqueo en iOS 16 deshabilita también deshabilita WebAssembly. WASM es un potente formato de código binario que permite aplicaciones de alto rendimiento en páginas web. Sin embargo, también se puede utilizar para crear una «huella digital» de los usuarios, que ayuda a terceros a rastrear a las personas en sitios web y aplicaciones.
Curiosamente, el soporte para reproductores MP3 en páginas web también está deshabilitado con el modo de bloqueo. Lours cree que Apple quiere evitar que los atacantes utilicen la decodificación MP3 con fines maliciosos. Por supuesto, esto termina rompiendo cualquier sitio web con reproducción de MP3 sin una alternativa a los formatos AAC u OGG.
La API de Gamepad, que se creó para permitir a los usuarios interactuar con los dispositivos de juego en sitios web, no funciona con el modo de bloqueo habilitado. Esto se debe a que los sitios web maliciosos pueden usar detalles como el ID del controlador para rastrear a los usuarios. Como era de esperar, esto desglosa los juegos web y las plataformas que dependen de un controlador de juego externo.
La vista previa de archivos en navegadores web también está restringida con el modo de bloqueo. Por ejemplo, las imágenes JPEG 2000 y las fuentes SVG, que son compatibles exclusivamente con Safari, están deshabilitadas para que los sitios web no puedan usar estos formatos para dirigirse a los usuarios de iOS. La vista previa de PDF para sitios web también está deshabilitada, ya que se han encontrado múltiples exploits relacionados con PDF en el pasado.
Otras características deshabilitadas incluyen WebGL, API de reconocimiento de voz y la API de audio web.
¿Qué más restringe el modo de bloqueo?
Además de restringir la navegación web, el modo de bloqueo en iOS 16 también bloquea la mayoría de los archivos adjuntos de mensajes y las vistas previas de enlaces en la aplicación Mensajes de Apple. Los usuarios con el modo de bloqueo habilitado solo reciben llamadas FaceTime de números conocidos y los álbumes compartidos de iCloud se eliminan de la aplicación Fotos.
Apple también bloquea los perfiles de configuración y el acceso al dispositivo a través de una conexión por cable con el modo de bloqueo activado.
Por supuesto, Apple enfatiza que el modo de bloqueo está destinado a un grupo específico de usuarios que pueden ser blanco de sofisticadas amenazas de espionaje. Estos usuarios incluyen periodistas, activistas y miembros de gobiernos. Esto se produjo después de que la compañía presentara una demanda contra el creador de spyware ‘Pegasus’ NSO Group el otoño pasado.
El modo de bloqueo está disponible como parte de iOS 16, que se espera que se lance este otoño. Los desarrolladores y usuarios registrados en el Programa de Software Beta de Apple ahora pueden probar iOS 16 beta.
