Desde hace tiempo hay un movimiento en el que tanto la Unión Europea como EEUU buscan la manera de permitir tiendas de terceros en el iPhone. Apple ya ha alertado de los peligros de abrir iOS más allá de la App Store en varias ocasiones. Y ahora tenemos el ejemplo perfecto de por qué hacerlo es una malísima idea, todo ello gracias a un nuevo spyware.
Hermit, el spyware distribuido como app corporativa
Apple ha suprimido los certificados utilizados por RCS Lab en la app Hermit, un spyware que se distribuía fuera de los controles de la App Store. Según el Threat Analysis Group de Google, una empresa italiana comercializaba su spyware para atacar a usuarios de Android e iOS en Italia y en Kazajistán. El ataque funcionaba de la siguiente manera:
- El usuario objetivo recibía un SMS con un enlace malicioso.
- En una web, engañaban y convencían al usuario para que se descargase una app.
- En Android es bastante sencillo instalar apps desde fuera de Google Play, pero en iOS hace falta algo más sofisticado.
- Para ello, usaban un certificado empresarial con el que distribuir su spyware.
Estos certificados permiten a las empresas distribuir apps sin necesidad de que éstas pasen por la supervisión de la App Store. Está pensado para dar a sus empleados el software necesario para trabajar de forma cómoda y rápida, no para enviar malware ni spyware. La app instalada actuaba como una app de mensajería legítima de una operadora de telefonía para engañar a sus víctimas. Una vez instalada, podía capturar audio desde el micro, recopilar fotos, mensajes, emails y la ubicación, así como redirigir llamadas.
Certificados ya revocados por Apple, ejemplo de amenaza a la App Store
Lo que consigue este spyware es bastante grave, pues resulta en una invasión casi total de la privacidad del usuario. El único consuelo es que no se trata de un ataque masivo ni indiscriminado, al igual que sucedía con el troyano BRATA que robaba datos bancarios hace unas semanas.
Como consecuencia del descubrimiento por parte del grupo de Google, Apple ya ha puesto medidas para detener su expansión. Para empezar, la compañía de Cupertino ha revocado todas las cuentas y certificados empresariales asociados con este spyware. Con el resultado inmediato de que ya no se puede distribuir el spyware por esta vía. Si sospechamos tener una app de este tipo en el iPhone, en teoría basta con borrarla. Aunque también podemos restablecer el iPhone de fábrica para asegurarnos.
No es la primera vez que este tipo de certificados se usan para otros fines que los especificados por Cupertino. De hecho, Apple ya retiró el certificado corporativo a Facebook en un caso bastante sonado hace unos años por violación de privacidad del usuario.
Lo cierto es que esto es lo más parecido al sideloading que hay en iOS. Un sistema que no necesita pasar por la supervisión de Apple para instalarse en un iPhone objetivo, aunque sí se requiere pasar un control para ser una empresa distribuidora de estas apps. Aún y todo, encontramos casos como este con relativa frecuencia.
Es por todo ello que supone un ejemplo de lo que podría suceder en iOS y el iPhone si se rompiese la App Store. Apple ya ha dicho que el sideloading destruye la seguridad y pone al usuario en riesgo. Y si a pesar de esos controles, hay empresas que encuentran la fórmula para colar su spyware, ¿qué pasaría si desapareciesen por completo?
Ver 4 comentarios