Una app en iOS recopilaba contactos, fotos y más información por culpa del certificado empresarial

Una app en iOS recopilaba contactos, fotos y más información por culpa del certificado empresarial
7 comentarios Facebook Twitter Flipboard E-mail

Fue hace unas semanas cuando tuvimos una oleada de apps abusando del certificado empresarial que Apple concede a los desarrolladores. Gracias a este certificado es posible instalar una app sin pasar por la App Store y en consecuencia su revisión. Ahora se ha descubierto una nueva app abusando de dicho certificado, en esta ocasión recopilaba todo tipo de datos personales de los usuarios.

Según comenta TechCrunch basándose en un descubrimiento realizado por la empresa de seguridad móvil Lookout, se trataba de una app diseñada originalmente para Android que ahora había dado el salto a iOS. La aplicación se hacía pasar por una app de atención al cliente de una operadora, sin embargo su misión no era precisamente esa.

s

Una vez instalada la app era capaz de capturar de forma silenciosa (en segundo plano) los contactos, las grabaciones de audio, las fotos, los vídeos, la ubicación en tiempo real y otro tipo de información que pudiese ser de interés. De hecho, se podía incluso activar de forma remota para escuchar las conversaciones del usuario. No se ha podido comprobar qué usuarios han sido afectados.

Un flexible certificado del que aprovecharse

Los certificados empresariales fueron creados por Apple para que grandes empresas pudiesen utilizar los dispositivos iOS como herramientas para sus empleados. En líneas muy generales, es un permiso que Apple concede a desarrolladores para que distribuyan y permitan la instalación de una app sin pasar por la App Store. Es perfecta para la instalación de apps que están en pruebas y aún no cumplen con todas las normas de la App Store o para apps muy específicas que no están destinadas a cualquier usuario, sino a empleados de dicha empresa.

Este certificado empresarial tiene la ventaja de que permite la instalación de una app sin que Apple la haya revisado, algo que por supuesto, muchos han aprovechado. La primera que se descubrió que abusaba de ella era nada más y nada menos que Facebook, por distribuir una app que recopilaba datos de usuarios (de forma consentida) externos a la empresa. Apple le retiró el certificado de forma temporal, algo que provocó el caos en Facebook. No fue el único grande, seguidamente fue el turno de Google.

s

Si bien en estos dos casos Apple les devolvió el certificado tras solucionarse la infracción, fue sólo la punta del iceberg para descubrir más abusos. Se descubrieron decenas de apps porno y de apuestas que utilizaban estos certificados para saltarse la App Store. Y por supuesto, no faltaron los que aprovecharon esto para distribuir aplicaciones pirata.

Los certificados empresariales son un arma de doble filo. Lo más probable es que tras estos sucesos Apple haya restringido más la concesión de dichos certificados para evitar casos similares. Sin embargo, es más que probable que sigamos viendo algún caso cada cierto tiempo donde se haya abusado del certificado empresarial para violar las normas de la App Store.

Vía | TechCrunch

Comentarios cerrados
Inicio