Apple ha suprimido los certificados utilizados por RCS Lab en la app Hermit, un spyware que se distribuía fuera de los controles de la App Store. Según el Threat Analysis Group de Google, una empresa italiana comercializaba su spyware para atacar a usuarios de Android e iOS en Italia y en Kazajistán. El ataque funcionaba de la siguiente manera:
- El usuario objetivo recibía un SMS con un enlace malicioso.
- En una web, engañaban y convencían al usuario para que se descargase una app.
- En Android es bastante sencillo instalar apps desde fuera de Google Play, pero en iOS hace falta algo más sofisticado.
- Para ello, usaban un certificado empresarial con el que distribuir su spyware.
Para instalar una app corporativa, es necesario el paso intermedio de instalar un perfil específico en los ajustes del iPhone
Estos certificados permiten a las empresas distribuir apps sin necesidad de que éstas pasen por la supervisión de la App Store. Está pensado para dar a sus empleados el software necesario para trabajar de forma cómoda y rápida, no para enviar malware ni spyware. La app instalada actuaba como una app de mensajería legítima de una operadora de telefonía para engañar a sus víctimas. Una vez instalada, podía capturar audio desde el micro, recopilar fotos, mensajes, emails y la ubicación, así como redirigir llamadas.
-El certificados ya revocados por Apple, ejemplo de amenaza a la App Store
Lo que consigue este spyware es bastante grave, pues resulta en una invasión casi total de la privacidad del usuario. El único consuelo es que no se trata de un ataque masivo ni indiscriminado, al igual que sucedía con el troyano BRATA que robaba datos bancarios hace unas semanas.
Como consecuencia del descubrimiento por parte del grupo de Google, Apple ya ha puesto medidas para detener su expansión. Para empezar, la compañía de Cupertino ha revocado todas las cuentas y certificados empresariales asociados con este spyware. Con el resultado inmediato de que ya no se puede distribuir el spyware por esta vía. Si sospechamos tener una app de este tipo en el iPhone, en teoría basta con borrarla. Aunque también podemos restablecer el iPhone de fábrica para asegurarnos.
Este spyware es el ejemplo perfecto de que lo que sucedería si la App Store no actuase de supervisora para instalar apps en el iPhone
No es la primera vez que este tipo de certificados se usan para otros fines que los especificados por Cupertino. De hecho, Apple ya retiró el certificado corporativo a Facebook en un caso bastante sonado hace unos años por violación de privacidad del usuario.
Lo cierto es que esto es lo más parecido al sideloading que hay en iOS. Un sistema que no necesita pasar por la supervisión de Apple para instalarse en un iPhone objetivo, aunque sí se requiere pasar un control para ser una empresa distribuidora de estas apps. Aún y todo, encontramos casos como este con relativa frecuencia.
Es por todo ello que supone un ejemplo de lo que podría suceder en iOS y el iPhone si se rompiese la App Store. Apple ya ha dicho que el sideloading destruye la seguridad y pone al usuario en riesgo.