Apple retira 256 aplicaciones para iOS de la App Store por recopilar información personal

La revisión de las aplicaciones publicadas en las tienda de los sistemas operativos es una parte fundamental para garantizar la seguridad de los usuarios. Solamente mediante una revisión a fondo se pueden garantizar unos mínimos de seguridad y evitar así que se puedan colar aplicaciones maliciosas en mercados oficiales.

Lamentablemente, sabemos por experiencias anteriores que estos controles pueden ser esquivados por los creadores de ciertas aplicaciones y afectar a los markets principales, como son la App Store de Apple y Google Play para Android.

Aplicaciones espía en Apple Store

Normalmente, Google Play se ve más afectado que la App Store por varios motivos, como son el mayor número de aplicaciones publicadas o una revisión de las aplicaciones más ligera que la que realiza Apple.

No obstante, en los últimos meses hemos visto varios ejemplos de aplicaciones maliciosas que se han encontrado en la App Store y, a pesar de no afectar a tantos usuarios como suele ocurrir cuando se cuela una aplicación maliciosa en Google Play, sí que denota una tendencia ascendente.

El caso más reciente es de hace tan solo un par de días y habla de cómo un grupo de investigadores localizaron hasta 256 aplicaciones para iOS en la App Store por la violación de las políticas de privacidad establecidas por Apple. En estas políticas se prohíbe la recopilación de información personal como direcciones de email, aplicaciones instaladas en el dispositivo, números de serie y cualquier otra información personal que pueda ser utilizada para rastrear al usuario.

Análisis y alcance de estas aplicaciones

Según informó la propia Apple: “Hemos identificado un grupo de aplicaciones que están usando un SDK de publicidad de terceros desarrollado por la empresa Youmi, un proveedor de publicidad en dispositivos móviles, que utiliza APIs privadas para recopilar información privada, como el correo electrónico del usuario y los identificadores del dispositivo, y enviar estos datos a los servidores de la empresa. Esto es una violación de nuestras guías de seguridad y privacidad. Las aplicaciones que usan el SDK de Youmi serán eliminados de la App Store y cualquier aplicación nueva que sea enviada a la App Store y use este SDK será rechazada. Estamos trabajando muy de cerca con los desarrolladores para ayudarlos a conseguir que tengan de nuevo en la App Store versiones actualizadas de sus aplicaciones que sean seguras para los usuarios y cumplan con nuestras normativas.”

En total han sido un total de 256 aplicaciones las que contenían estas funcionalidades maliciosas y se calcula que el total de usuarios afectados podría alcanzar un millón. No obstante, el problema no se encuentra tanto en el número de afectados, sino en la utilización de las APIs privadas, algo que está prohibido por las políticas de Apple pero que este SDK consiguió saltarse incluso con el desconocimiento de varios desarrolladores.

Consecuencias y conclusiones

Tras la polémica ocasionada hace unas semanas por XCodeGhost haciendo pasar por seguras aplicaciones que habían sido creadas en un compilador troyanizado y que, por ende, las convertía en maliciosas, Apple se enfrenta de nuevo a una polémica similar al no haber identificado en sus procesos de revisión estas aplicaciones que recopilan información privada de los usuarios.

Estos casos son solo dos ejemplos y están lejos de representar un serio problema para Apple, como sí lo está siendo para Google y su tienda de aplicaciones para Android. No obstante, los usuarios de dispositivos Apple y la propia empresa en sí no deberían bajar la guardia si no quieren que su tienda de aplicaciones deje de ser tan fiable como lo ha sido hasta hace poco.

Créditos de la foto: patrickmai875 / Foter / CC BY-NC-ND
Josep Albors