El programa de empresa de Apple permite a sus clientes desarrollar y distribuir aplicaciones sin que tengan que cumplir con las estrictas normas que impone la App Store, la única condición para contar con estos privilegios es que la aplicación no se distribuya externamente y sea de uso exclusivo de la empresa. Esta regla no ha logrado frenar a algunas organizaciones a la hora de lanzar aplicaciones maliciosas para el robo de datos y otros fines poco legítimos. Durante la pasada semana se descubrió una aplicación de ayuda en el seguimiento de paquetes disponible en Italia que una vez instalada era capaz de extraer la lista de los contactos, las grabaciones de audio, el contenido de la galería, localización en cada momento y que podía usarse incluso para escuchar a través del micrófono.
![]() |
Figura 1: Funcionamiento del programa de certificados de empresa |
Por el momento no se conocen los orígenes de esta app maliciosa, pero se baraja la posibilidad de que sea obra de Connexxa, los creadores de la app para Android conocida como Exodus, una aplicación que ha sido utilizada por las autoridades italianas para realizar vigilancias. Su versión de Android utilizaba un exploit para obtener acceso al teléfono de las víctimas. También se ha sabido que ambas aplicaciones (de iOS y Android) compartían un Backend. Una vez que se informó a Apple del problema la empresa revocó los certificados de la aplicación, sin embargo no se sabe con total certeza cuantos usuarios de iOS han podido verse afectados por este problema. Desde comienzos de año el programa de certificados de empresa ha supuesto más problemas que ventajas para la compañía de Cupertino, todavía no sabemos qué medidas tomará Apple para evitar incidentes similares en un futuro.
No hay comentarios:
Publicar un comentario