Menú principal

sábado, 30 de enero de 2016

El malware para iOS podría evadir AppStore usando técnicas de Hot-Patching

Cada vez es más común que los desarrolladores utilicen herramientas que les permiten actualizar las aplicaciones de iOS sin pasar por el flujo común de validación de la AppStore para conseguir tener cambios en las apps sin los retrasos de pasar por Apple. JSPatch podría permitir a los desarrolladores - incluidos los maliciosos - eludir las funciones de control y revisión de Apple. ya que pueden modificar de forma remota el código en sus aplicaciones sin tener que pasar por el proceso normal de revisión.

Esto abre una puerta enorme a posibles abusos o intenciones maliciosas por parte de otros usuarios, al igual que un gran riesgo de seguridad. La técnica es una variación del parcheo en caliente que se desarrolló para solucionar bugs dinámicamente en un sistema o aplicación sin tener que reiniciarlo. En este caso, una aplicación iOS se actualiza sin que el desarrollador tenga que enviar una nueva versión a la tienda oficial de iOS y esperar el proceso de revisión de Apple.

Figura 1: JSPatch para iOS

El proyecto de código abierto JSPatch proporciona un motor para que los desarrolladores de aplicaciones puedan integrar en sus aplicaciones, lo que se llama puentes de códigos Javascript para Objective-C. Por ejemplo, después de añadir el motor JSPatch a su aplicación, se requieren sólo 7 líneas de código, los desarrolladores pueden configurar la aplicación para cargar siempre el código Javascript desde un servidor remoto. Este código es interpretado por el motor JSPatch y convertido a Objective-C.

El problema es que los parches en caliente están totalmente desalineados con el modelo de seguridad de iOS, que se basa en la revisión por parte de Apple del código. Estaremos atentos a todo lo que ocurra, y a la posible aparición de malware que se aproveche de los parches en caliente.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares