Investigadores encontraron 256 aplicaciones para iOS que violaban la política de privacidad de la App Store de Apple, la cual prohíbe la recolección de direcciones de correo electrónico, aplicaciones instaladas, números de serie y otra información de identificación personal que se pueda utilizar para rastrear usuarios.
Tras recibir el aviso de SourceDNA, Apple emitió el siguiente comunicado:
Hemos identificado un grupo de apps que están usando un SDK desarrollado por Youmi, un proveedor de anuncios publicitarios móviles, que usa APIs privadas para recolectar información privada, como direcciones de correo electrónico de usuarios e identificadores de dispositivos, y envía los datos al servidor de su compañía.
Esta es una violación a nuestros lineamientos de seguridad y privacidad. Las apps que usan el SDK de Youmi serán eliminadas de la App Store y cualquier aplicación nueva enviada a la App Store que use este SDK será rechazada. Estamos trabajando de cerca con desarrolladores para ayudarlos a tener de vuelta rápidamente en la App Store versiones actualizadas de sus apps, que sean seguras para clientes y estén alineadas con nuestras directrices.
Tal como nota Ars Technica, estas 256 aplicaciones representaron una invasión a la privacidad de los usuarios que las descargaron, estimados en un millón. "Este es un conjunto de herramientas ofuscado que extrae tanta información privada como puede. Es definitivamente el tipo de cosas que Apple debería haber detectado", dijo al sitio Nate Lawson, fundador de la empresa de análisis de seguridad SourceDNA.
Lo alarmante del caso es que estas aplicaciones estaban extrayendo información de identificación personal de los usuarios a través de APIs privadas que Apple prohibe llamar en sus políticas. Por tal motivo, es válido decir que lograron saltear el proceso de revisión de aplicaciones de la compañía; al mismo tiempo, es probable que algunos de los propios desarrolladores no supieran que el SDK usado en sus apps hacía esto.
La noticia llega poco después de que se conociera XCodeGhost, un ataque que logró hacer pasar por seguras varias decenas de aplicaciones infectadas. Los ciberdelincuentes infectaron el compilador (XCode) que se utiliza para crear las aplicaciones en iOS y, como consecuencia, los desarrolladores estuvieron incluyendo código malicioso en sus aplicaciones sin saberlo; pero al estar firmadas por el desarrollador legítimo, se subían a la App Store sin que Apple ponga objeciones.
En ese entonces, como resultado, Apple tuvo que remover de su App Store más de 300 aplicaciones para iOS infectadas con malware.