"Hemos identificado un grupo de apps que utilizaban el kit de desarrollo creado por Youmi, un proveedor de publicidad en dispositivos móviles, que empleaba APIs no oficiales para recopilar información privada como direcciones de correo electrónico e identificadores de dispositivo, y enviarla a los servidores de la compañía. Esto es una violación de nuestras normas de privacidad y seguridad. Las apps que utilizan el SDK de Youmi han sido eliminadas de la App store y cualquier nueva app que se envíe a la App Store y utilice este SDK será rechazada. Estamos trabajando de cerca con los desarrolladores para ayudarles a sacar versiones actualizadas de sus apps que sean seguras para los clientes y cumplan con nuestras normas, de modo que puedan volver a la App Store rápidamente."
Así ha respondido Apple menos de 24 horas después de que los chicos de SourceDNA publicasen su descubrimiento. Al parecer, Youmi, una compañía china de publicidad enfocada a dispositivos móviles se las había ingeniado para esquivar el proceso de revisión de la App Store ocultando el uso de APIs privadas para que sus anuncios, insertados en las apps que utilizaban su SDK, recopilasen inadvertidamente información privada, algo específicamente prohibido por la manzana.
En concreto, Youmi recibía una lista de todas las apps instaladas en el teléfono, el número de serie de los iPhones y iPads con versiones antiguas de iOS, una lista de componentes de hardware con sus respectivos números de serie, así como el correo electrónico asociado al ID de Apple del usuario.
SourceDNA cree que las primeras versiones del SDK de Youmi no caían en estas prácticas y un análisis de su código ha revelado que fue hace aproximadamente dos años atrás cuando sus desarrolladores comenzaron a experimentar con sistemas para ocultar una llamada a un API privado cuando la app estaba en segundo plano. "Una vez fueron capaces de colarle esto al equipo de revisión de la App Store, probablemente se volvieron más seguros de que no serían detectados y comenzaron a añadir más funciones en esta línea".
En total se han detectado 256 apps que suman alrededor de un millón de descargas aunque es importante señalar que sus desarrolladores no tenían forma de saber lo que estaba ocurriendo con sus apps. Por este motivo, SourceDNA ha preferido no hacer público el listado de apps afectadas, proporcionándoselo directamente a Apple para que fuesen estos quienes diesen solución al asunto. Aún así, sabemos por ejemplo que la app oficial de McDonald para China utilizaba el SDK de Youmi pero, de nuevo, lo hacían simplemente para mostrar anuncios, no para que Youmi tomase provecho de su posición y recopilase los datos de todos sus usuarios a través de su app.
El SDK de Youmi también está disponible para Android pero en este punto se desconoce si está afectado o no por el problema. Lo que sí sabemos es que es la segunda vez en poco más de un mes que China y la App Store, protagonizan titulares de este tipo. Hace cinco semanas, Apple retiró 39 apps incluyendo algunas tan conocidas como WeChat, CamScanner o la versión china de Angry Birds 2 tras descubrir que escondían un código malicioso diseñado para robar información sensible del usuario; aunque en aquella ocasión fue el propio Xcode, la herramienta de desarrollo de Apple, la que era causante del problema.
Los atacantes cogieron Xcode, lo infectaron con un malware llamado XcodeGhost, y compartieron enlaces de su instalador en foros chinos de desarrollo para iOS engañando a ingenieros de conocidas compañías con el pretexto de que podrían descargarlo mucho más rápido desde estos servidores en China que desde los propios de Apple. XcodeGhost, infectaba así las apps compiladas colándose delante de las narices de los revisores de la manzana que, probablemente, tendrían la guardia baja ante la enésima actualización de una app reputada.
Hora de redoblar todos los esfuerzos en seguridad, ¿no creéis?
Vía | 9to5mac
Ver 42 comentarios
42 comentarios
appleenuruguay
Hola a todos!! Si bien son más las App que se pasan de la raya con nuestra privacidad y quitando que soy fan de Apple. Me parece un buen gesto departe el querer (proteger) a sus usuarios ya que ellos son la cara del Store.
michaelknight
Me parece un número muy pequeño. Sin duda, son muchas más las que quedan. En todo caso, que las eliminen rápidamente, y que se establezcan medidas para que esto no vuelva a ocurrir.
Usuario desactivado
Creo que Apple va a tener que reforzar la seguridad tras su desembarco en China, muchas ventas y muchos millones de dólares pero también muchos dolores de cabeza ;)
killperucita
Entonces ¿ya se han cargado el whatsapp?
Pyroflash
Android ban... JAJAJAJAJAJAJA
udefo1
Espero que borren la aplicacion de fb entonces
Usuario desactivado
Buena noticia aunque a muchos usuarios de dichas apps no les va a gustar esto.
Llámenme demasiado confiado pero a mí particularmente el tema de la privacidad en las apps no me preocupa demasiado, no es algo que me vuelva paranoico, tampoco soy una figura mundial y no tengo nada que esconder, respeto a la gente que le preocupa esto.
lau7up
Esto es lo bueno de Apple, la seguridad ante todo manteniendo una Store de calidad siempre.