A principios de junio, en la Conferencia Mundial de Desarrolladores de Apple (WWDC, por sus siglas en inglés), Apple presentó “Sign In With Apple”; una iniciativa que la compañía anunció para que terceras partes permitan a los usuarios de Apple, en todos sus dispositivos, iniciar sesión con solo un clic en distintos sitios y servicios, como podrían ser Facebook o Google, sin necesidad de compartir información personal con la aplicación.
Si bien la iniciativa se presenta cuando menos interesante desde el punto de vista de la privacidad, la semana pasada la Fundación OpenID expresó en una carta publicada de manera pública que la implementación de Sign in With Apple esta por parte de Apple presentaba riesgos para la privacidad y seguridad de los usuarios.
A continuación, explicamos de qué se trata Sign In With Apple y cuáles son los riesgos de seguridad que la Fundación OpenID afirma que existen.
Sobre Sign In With Apple
La idea de Apple es permitir que los desarrolladores agreguen un botón con la opción de “Iniciar sesión con Apple”, pero la diferencia está en que los usuarios podrán autenticarse utilizando el reconocimiento facial de sus teléfonos, sin necesidad de compartir información personal con un tercero.
Lo que viene sucediendo hasta ahora es que los desarrolladores de aplicaciones, sitios, plataformas y servicios, brindan la posibilidad a los usuarios de que inicien sesión con tan solo hacer un clic en un botón como “Ingresar con Google” o “Ingresar con Facebook”, lo que permite al usuario utilizar la información que Facebook, Google o Twitter tiene de nosotros en lugar de crear una nueva cuenta. Según explicó Craig Federighi en la WWDC, “si bien esto puede resultar conveniente, también puede que tenga un costo para la privacidad, ya que muchas veces nuestra información termina siendo compartida en el “detrás de escena” y estos inicios de sesión pueden ser utilizados para hacer un seguimiento del usuario”. Un ejemplo de la información que recopilan compañías como Facebook o Google es, por ejemplo, aquella que utilizan para desplegar publicidad relacionada a sus gustos e intereses.
Además, durante la presentación, Federighi explicó que en caso de que una app solicite nombre o direcciones de correo, en caso de que el usuario no quiera revelar la verdadera dirección tendrá la opción de esconderla. Cuando lo haga, Apple generará una dirección de correo única y aleatoria que se conectará con la verdadera dirección del usuario. Además, “cada usuario obtiene una dirección única y aleatoria para cada app, lo que quiere decir que será posible deshabilitar cualquiera de estas direcciones cada vez que el usuario se canse de recibir información de esa aplicación”, explicó.
Riesgos de seguridad que presenta Sign In With Apple
Luego del anuncio de esta novedad durante la conferencia anual que realiza la compañía, el pasado 27 de junio la Fundación OpenID publicó una carta dirigida a Craig Federighi en la que cuestiona algunas de las cosas planteadas por Apple sobre Sign In With Apple.
La Fundación Open ID es una organización sin fines de lucro integrada por compañías como Google, Microsoft y Paypal, entre muchas otras más, que controlan numerosas plataformas de inicio de sesión que utilizan OpenID Connect, un protocolo de identidad ampliamente adoptado y construido sobre la base de 0Auth 2.0 y que es utilizado por terceras partes para ofrecer la opción de iniciar sesión en aplicaciones de una forma estandarizada. Asimismo, dicho protocolo fue desarrollado por una gran cantidad de compañías y expertos de la industria que forman parte de la fundación.
Apple adoptó en gran medida el uso del protocolo OpenID Connect para su plataforma Sign In With Apple. Es por eso que si bien la Fundación dice celebrar los esfuerzos de Apple por permitir a los usuarios iniciar sesión a móviles y aplicaciones por intermedio de su sistema Apple ID, también explica que existen ciertas diferencias importantes en la forma en que Apple implementa Sign In With Apple y su utilización del protocolo OpenID Connect. Según explican, esas diferencias (detalladas aquí), además de significar un esfuerzo innecesario para los desarrolladores que trabajen sobre OpenID Connect y Sign In With Apple, limitan los lugares en que los usuarios pueden utilizar esta opción y además representa importantes riesgos para la privacidad y seguridad de los usuarios.
En este sentido, la Fundación invita a Apple a analizar estas diferencias con el objetivo de reducir estas diferencias.