Analistas de seguridad han descubierto que al menos 256 aplicaciones en la tienda iOS App están violando las reglas de privacidad de Apple reuniendo direcciones en secreto de propietarios de iPhone, datos como: e-mail, números de serie únicos, y otra información de identificación personal que se puede utilizar para rastrear usuarios.
La App Store de Apple por lo general tiene un proceso de selección muy estrecho y una estricta política de privacidad respecto a la recopilación de datos personales. Pero la compañía de seguridad Source ADN notifico a Ars Technica (sitio web de noticias e información sobre tecnología) que la recopilación de datos es tan discreta que es probable que incluso los desarrolladores individuales de las aplicaciones afectadas puedan desconocerla, ya que la información personal sólo se envía al creador del kit de desarrollo de software que se utiliza para entregar anuncios en estas aplicaciones.
Un desarrollador de software que estaba desviando la información privada de cientos de miles de personas era un proveedor chino de publicidad móvil llamado Youmi. Las aplicaciones afectadas tenian sede en China en su mayoría, incluyendo la aplicación oficial de McDonalds para hablantes en chino.
«Esta es la primera vez que hemos encontrado aplicaciones en la App Store que están violando la privacidad del usuario tomando de datos de API privadas,» Nate Lawson, fundador de Source DNA dijo al sitio de tecnología. «Definitivamente es el tipo de cosas que Apple debería haber descubierto.»
Los investigadores estimaron que aproximadamente un millón de personas han descargado las aplicaciones en total.
Varias aplicaciones iOS gratuitas recogen datos del usuario como forma de pago, que se convertirá en efectivo mediante la venta a los anunciantes. Por ejemplo, la aplicación de la linterna se descubrió que tiene una recolección y venta de ubicaciones de los usuarios, y la aplicación de fitness Endomondo comparte su fecha de nacimiento y lugar con los anunciantes.
Pero las 256 aplicaciones detectadas por SourceDNA, tienen acceso a los datos que están prohibido expresamente por las normas de la App Store de Apple, dijo el Sr. Lawson. Tu dirección de correo electrónico, por ejemplo, actúa como una puerta de entrada para varias cuentas en línea, incluyendo potencialmente tus cuentas bancarias.
En respuesta a estos hallazgos, Apple emitió un comunicado confirmando este descubrimiento.
«Hemos identificado un grupo de aplicaciones que están utilizando un SDK de publicidad de terceros, desarrollado por Youmi, un proveedor de publicidad móvil, que utiliza las API privadas para recopilar información privada, como las direcciones de correo electrónico de los usuarios y los identificadores de dispositivos y datos de la ruta a su servidor de su empresa.
Esto es una violación de las normas de la seguridad y privacidad. Las aplicaciones que utilizan el SDK de Youmi se eliminarán de la App Store y las nuevas aplicaciones presentadas a la App Store de utilizar este SDK serán rechazadas. Estamos trabajando en estrecha colaboración con los desarrolladores de estas aplicaciones para ayudarles a obtener versiones actualizadas de ls mismas que son seguras para los clientes y de acuerdo con nuestras directrices de vuelta en la App Store de forma rápida «.
Este descubrimiento se produce sólo semanas después de que decenas de aplicaciones populares en la tienda de aplicaciones de Apple en China fueron hackeados utilizando un código malicioso, conocido como XCode Ghost, en un intento de robar datos del usuario. La lista de aplicaciones infectadas incluye algunas de las aplicaciones más populares en China, incluyendo la aplicación Didi kuaidi y WeChat, que tiene millones usuarios.
Estos ataques son sin precedentes, ya que la App Store de Apple siempre ha sido conocida por su seguridad: es muy selectiva sobre las aplicaciones que tiene disponibles, y trata de asegurar que los títulos de la App Store estén a salvo y diseñada con seguridad – aunque Apple no ha revelado sus medidas de seguridad o de proceso de selección.
Los datos privados recolectados por las aplicaciones
1. Una lista de todas las aplicaciones instaladas en el teléfono
2. El número de serie de la plataforma de iPhones o iPads cuando se ejecutan versiones anteriores de iOS
3. Una lista de los componentes de hardware en dispositivos que ejecutan versiones más recientes de iOS y los números de serie de estos componentes
4. La dirección de correo electrónico asociados con el usuario ID de Apple
El robo de datos se llevó a cabo en el último año más o menos. Según el Sr. Lawson, que comenzó sólo con la lista de aplicaciones y ha crecido cada vez más invasivamente hasta que llegó a su versión actual, que reúne a los dispositivos de hardware y los números de serie y las direcciones de correo electrónico.