Apple comunico que eliminará 256 aplicaciones por mal comportamiento de su App Store que estaban usando APIs privadas para recoger información personal y del dispositivo que les permitia rastrear a sus usuarios.
SourceDNA, una empresa de análisis que se especializa en el estudio de las tiendas iOS y Android de aplicaciones móviles, divulgo de forma privada a Apple una lista de las aplicaciones ofensivas. Se descubrió el comportamiento durante un análisis de uso de API privada, dijo la compañía en un blog publicado el domingo.
El problema es doble: primero, la privacidad de los usuarios está en riesgo por estas aplicaciones porque el comportamiento del dispositivo está siendo grabado y enviado a desarrolladores de un kit de desarrollo de software de publicidad china llamada Youmi; segundo, los rigurosos controles de seguridad de la App Store de Apple han sido burlados.
"El peligro está en la técnica general", dijo Nate Lawson, fundador de SourceDNA. Lawson dijo que el comportamiento del SDK está ofuscado, incluso a los desarrolladores de las respectivas aplicaciones ', y se esta colando a través de la revisión de código de Apple de alguna manera. "Esta es la primera vez que hemos encontrado el código en la App Store que utiliza APIs privadas que superó a la revisión de código de Apple. Podría haber otras aplicaciones por ahí, simplemente no lo sabemos todavía, que podrían estar utilizando este tipo de ofuscación para ocultar otro comportamiento malicioso. Es preocupante que este haya burlado el proceso de revisión de Apple ".
SourceDNA determinó que las aplicaciones creadas con el SDK Youmi fueron capaces de penetrar en un dispositivo iOS y listar el contenido de aplicaciones instaladas, conseguir el número de serie, así como los números de serie de todos los periféricos conectados, además de conseguir la dirección de correo electrónico de Apple ID del usuario.
"Esta consiguiendo información mucho más intrusiva que otros SDK de publicidad", dijo Lawson. "No sólo cosas de identificación personal, como el correo electrónico asociado a un ID de Apple, pero de identificadores de dispositivos hardware. Estos permanecen en el dispositivo incluso si vuelves a instalar el sistema operativo o limpias tus aplicaciones.
"No sabemos por qué Apple no las atrapo", dijo Lawson. "Podemos suponer que es debido a la ofuscación. Podemos asumir de Apple atrapa cientos de aplicaciones todo el tiempo; simplemente no llegan a la App Store. Estas lo hicieron ".
SourceDNA publicó una declaración proporcionada por Apple:
"Hemos identificado un grupo de aplicaciones que están utilizando un SDK de publicidad de terceros, desarrollado por Youmi, un proveedor de la publicidad móvil, que utiliza API privadas para recopilar información privada, como las direcciones de correo electrónico de los usuarios y los identificadores de dispositivos y datos de la ruta a su servidor de la empresa. Esto es una violación de las normas de la seguridad y privacidad. Las aplicaciones que utilizan el SDK de Youmi se eliminarán de la App Store y las nuevas aplicaciones presentadas a la App Store utilizando este SDK serán rechazadas. Estamos trabajando en estrecha colaboración con los desarrolladores para ayudarles a obtener versiones actualizadas de sus aplicaciones que son seguras para los clientes y de acuerdo con nuestras directrices de regreso en la App Store de forma rápida ".
Las 256 aplicaciones, dijo SourceDNA, se han descargado más de un millón de veces. La firma dijo que 142 versiones anteriores del SDK no llaman a las API privadas, pero más recientemente, los desarrolladores han ofuscado una cierta llamada que no fue atrapada por la revisión de código de Apple.
"Una vez que fueron capaces de superar la prueba de app de Apple, probablemente se hicieron más seguros de que no estaban siendo detectados y añadieron los comportamientos anteriores en orden. También utilizan la misma ofuscación para ocultar las llamadas para recuperar el ID de la publicidad, que es permisible para el seguimiento de clics en los anuncios, pero pueden ser usado para otros fines, ya que se tomaron la molestia de ofuscarlos", dijo SourceDNA. "La última versión del SDK Youmi (V5.3.0), publicada hace un mes, aún reúne toda la información anterior."
Dado que el comportamiento está ofuscado, los desarrolladores de aplicaciones que utilizan el SDK Youmi para instalar anuncios es probable que no sean conscientes de la conducta maliciosa, dijo SourceDNA.
"La mayoría de los desarrolladores se encuentran en China. Creemos que los desarrolladores de estas aplicaciones no son conscientes de ello ya que el SDK se entrega en forma binaria, ofuscado, y la información de usuario se carga en el servidor de Youmi, no de las aplicaciones ", dijo SourceDNA. "Recomendamos que los desarrolladores dejen de usar este SDK hasta que se elimine este código."
Esta es la segunda revelación en dos semanas con respecto al abuso de APIs privadas en el ecosistema de Apple iOS. YiSpecter, que se dio a conocer el 5 de octubre por investigadores de Palo Alto Networks, combinando el uso de certificados emitidos bajo el Programa de desarrollador Empresarial iOS de Apple con el uso ilícito de APIs privadas para mover adware en dispositivos sin jailbreak en China y Taiwán principalmente.
El comportamiento de YiSpecter era un poco más malicioso. YiSpecter abre una puerta trasera a un conjunto de servidores de comando y control y devuelve los datos del dispositivo y tiene la capacidad de instalar y poner en marcha nuevas aplicaciones troyanizadas -algunas sobreviven eliminación-secuestro de otras aplicaciones con el fin de mostrar anuncios, cambio de configuración de búsqueda por defecto en Safari, cambiar los marcadores y las páginas abiertas en el navegador móvil. Su trabajo es en gran medida difundir adware pornográfico.
