Más de 250 aplicaciones de iOS listadas en la App Store de Apple encontraron que extraen datos de usuarios

Los investigadores encuentran más de 250 aplicaciones listadas en la App Store de Apple que están extrayendo datos de usuarios

Las aplicaciones hechas con el SDK de Youmi fueron encontradas extrayendo una gran cantidad de datos que costaron a los usuarios cientos de dólares, según descubrieron los investigadores. Youmi es un proveedor de publicidad móvil con sede en China cuyo kit de desarrollo de software (SDK) utiliza APIs privadas para recopilar información del usuario y del dispositivo, según los investigadores de SourceDNA.

Las aplicaciones con el SDK de Youmi fueron encontradas listadas a pesar de que Apple prohíbe explícitamente a los desarrolladores de aplicaciones hacer que sus aplicaciones llamen a APIs privadas. Apple normalmente detecta este tipo de comportamiento cuando la aplicación se envía para su aprobación para ser incluida en la App Store.

Según la empresa de análisis de seguridad SourceDNA, que alertó a Apple sobre este problema, más de 250 aplicaciones con un total estimado de 1 millón de descargas han sido construidas sobre el SDK problemático.
“Las versiones más antiguas [del SDK] no llaman a APIs privadas, por lo que las 142 aplicaciones que las tienen están bien. Pero hace casi dos años, creemos que los desarrolladores de Youmi comenzaron a experimentar con la ofuscación de una llamada para obtener el nombre de la aplicación en primer plano”, señalaron los investigadores de SourceDNA.

Según los investigadores, una vez que las aplicaciones pasaron la revisión, comenzaron a agregar los siguientes comportamientos, y hicieron que las aplicaciones fueran capaces de enumerar la lista de aplicaciones instaladas o obtener el nombre de la aplicación en primer plano, obtener el número de serie de la plataforma, enumerar dispositivos y obtener números de serie de periféricos, y obtener el AppleID del usuario (correo electrónico).

“También utilizan la misma ofuscación para ocultar llamadas para recuperar el ID de publicidad, que es permitido para rastrear clics en anuncios, pero pueden estar usándolo para otros propósitos ya que se tomaron la molestia de ofuscar esto”, afirmaron los investigadores.

Apple ya ha informado sobre los SDK de Youmi y su defectuoso proceso de revisión de aplicaciones por la Universidad de Purdue. Un grupo de investigadores de la Universidad de Purdue, Indiana, descubrió el mismo patrón y lo atribuyó al SDK de Youmi. También propusieron un nuevo sistema de revisión de aplicaciones de iOS que debería detectar este tipo de ataque.

Tomando medidas sobre los hallazgos de SourceDNA y la Universidad de Purdue, Apple ha informado que ya ha eliminado un número no especificado de aplicaciones de la App Store tras este descubrimiento.

“Hemos identificado un grupo de aplicaciones que están utilizando un SDK de publicidad de terceros, desarrollado por Youmi, un proveedor de publicidad móvil, que utiliza APIs privadas para recopilar información privada, como direcciones de correo electrónico de usuarios e identificadores de dispositivos, y enrutar datos a su servidor de empresa. Esto es una violación de nuestras pautas de seguridad y privacidad”, declaró la compañía.

“Las aplicaciones que utilizan el SDK de Youmi serán eliminadas de la App Store y cualquier nueva aplicación enviada a la App Store utilizando este SDK será rechazada. Estamos trabajando en estrecha colaboración con los desarrolladores para ayudarles a obtener versiones actualizadas de sus aplicaciones que sean seguras para los clientes y cumplan con nuestras pautas para que regresen rápidamente a la App Store.”

Más probablemente que no, los desarrolladores de estas aplicaciones eliminadas ni siquiera eran conscientes de que sus aplicaciones estaban extrayendo esta información y enviándola a los creadores del SDK.