"Hemos identificado un grupo de apps que utilizaban el kit de desarrollo creado por Youmi, un proveedor de publicidad en dispositivos móviles, que empleaba APIs no oficiales para recopilar información privada como direcciones de correo electrónico e identificadores de dispositivo, y enviarla a los servidores de la compañía. Esto es una violación de nuestras normas de privacidad y seguridad. Las apps que utilizan el SDK de Youmi han sido eliminadas de la App store y cualquier nueva app que se envíe a la App Store y utilice este SDK será rechazada. Estamos trabajando de cerca con los desarrolladores para ayudarles a sacar versiones actualizadas de sus apps que sean seguras para los clientes y cumplan con nuestras normas, de modo que puedan volver a la App Store rápidamente."
Así ha respondido Apple menos de 24 horas después de que los chicos de SourceDNA publicasen su descubrimiento. Al parecer, Youmi, una compañía china de publicidad enfocada a dispositivos móviles se las había ingeniado para esquivar el proceso de revisión de la App Store ocultando el uso de APIs privadas para que sus anuncios, insertados en las apps que utilizaban su SDK, recopilasen inadvertidamente información privada, algo específicamente prohibido por la manzana.
En concreto, Youmi recibía una lista de todas las apps instaladas en el teléfono, el número de serie de los iPhones y iPads con versiones antiguas de iOS, una lista de componentes de hardware con sus respectivos números de serie, así como el correo electrónico asociado al ID de Apple del usuario.
SourceDNA cree que las primeras versiones del SDK de Youmi no caían en estas prácticas y un análisis de su código ha revelado que fue hace aproximadamente dos años atrás cuando sus desarrolladores comenzaron a experimentar con sistemas para ocultar una llamada a un API privado cuando la app estaba en segundo plano. "Una vez fueron capaces de colarle esto al equipo de revisión de la App Store, probablemente se volvieron más seguros de que no serían detectados y comenzaron a añadir más funciones en esta línea".
En total se han detectado 256 apps que suman alrededor de un millón de descargas aunque es importante señalar que sus desarrolladores no tenían forma de saber lo que estaba ocurriendo con sus apps. Por este motivo, SourceDNA ha preferido no hacer público el listado de apps afectadas, proporcionándoselo directamente a Apple para que fuesen estos quienes diesen solución al asunto. Aún así, sabemos por ejemplo que la app oficial de McDonald para China utilizaba el SDK de Youmi pero, de nuevo, lo hacían simplemente para mostrar anuncios, no para que Youmi tomase provecho de su posición y recopilase los datos de todos sus usuarios a través de su app.
El SDK de Youmi también está disponible para Android pero en este punto se desconoce si está afectado o no por el problema. Lo que sí sabemos es que es la segunda vez en poco más de un mes que China y la App Store, protagonizan titulares de este tipo. Hace cinco semanas, Apple retiró 39 apps incluyendo algunas tan conocidas como WeChat, CamScanner o la versión china de Angry Birds 2 tras descubrir que escondían un código malicioso diseñado para robar información sensible del usuario; aunque en aquella ocasión fue el propio Xcode, la herramienta de desarrollo de Apple, la que era causante del problema.
Los atacantes cogieron Xcode, lo infectaron con un malware llamado XcodeGhost, y compartieron enlaces de su instalador en foros chinos de desarrollo para iOS engañando a ingenieros de conocidas compañías con el pretexto de que podrían descargarlo mucho más rápido desde estos servidores en China que desde los propios de Apple. XcodeGhost, infectaba así las apps compiladas colándose delante de las narices de los revisores de la manzana que, probablemente, tendrían la guardia baja ante la enésima actualización de una app reputada.
Hora de redoblar todos los esfuerzos en seguridad, ¿no creéis?
Vía | 9to5mac
Ver 42 comentarios