Apple eliminó 256 aplicaciones que recolectaban información de usuarios

Los datos eran enviados a empresas para su posterior explotación, esquivando las defensas de la tienda de aplicaciones para iPhone y iPad

Compartir
Compartir articulo
  162
162

La recolección de direcciones de correo electrónico, aplicaciones instaladas, números de serie y demás datos personales capaces de permitir rastrear al usuario están prohibidos. Pero un error de Apple permitió que al menos 256 aplicaciones saltaran las defensas de la App Store y se quedaran con información de al menos un millón de personas.


Así lo estableció SourceDNA, organización dedicada a analizar y mejorar el código de las aplicaciones. Apple tomó la denuncia y de inmediato procedió a eliminar 256 aplicaciones.


La novedad llegó poco después de que se conociera XCodeGhost, un ataque que logró hacer pasar por seguras más de 300 aplicaciones infectadas.


"Hemos identificado un grupo de apps que emplean un código desarrollado por Youmi, proveedor de anuncios publicitarios móviles, que usa un sistema para recolectar información privada, como direcciones de correo electrónico e identificadores de dispositivos, y envía los datos al servidor de su compañía", explicó Apple y agregó que impedirá que otros desarrolladores utilicen el mismo sistema.


"Este es un conjunto de herramientas que extrae tanta información privada como puede. Es definitivamente el tipo de cosas que Apple debería haber detectado", dijo al sitio Ars Technica Nate Lawson, fundador SourceDNA.


"Lo alarmante del caso es que estas aplicaciones estaban extrayendo información de identificación personal de los usuarios a través de APIs privadas (interfaz para desarrollo de aplicaciones) que Apple prohíbe llamar en sus políticas. Por tal motivo, es válido decir que lograron saltear el proceso de revisión de aplicaciones de la compañía; al mismo tiempo, es probable que algunos de los propios desarrolladores no supieran que el SDK usado en sus apps hacía esto", remarcó la empresa de seguridad informática ESET.