211service.com
El malware ensamblado de forma remota supera el proceso de selección de Apple
El misterio ha ocultado durante mucho tiempo cómo Apple examina las aplicaciones de iPhone, iPad y iPod por seguridad. Ahora, los investigadores que lograron poner a la venta una aplicación maliciosa en la App Store han determinado que el proceso de revisión de la empresa ejecuta al menos algunos programas durante solo unos segundos antes de dar luz verde.

Malas noticias: Una captura de pantalla de una aplicación que supuestamente solo ofrecía noticias de Georgia Tech, pero que en realidad estaba cargada de malware.
Esto no fue suficiente para que Apple se diera cuenta de que una aplicación que pretendía ofrecer noticias de Georgia Tech contenía fragmentos de código que luego se ensamblaron en una criatura digital maliciosa. Este malware, al que los investigadores llamaron Jekyll, podría publicar tuits sigilosamente, enviar correos electrónicos y mensajes de texto, robar información personal y números de identificación de dispositivos, tomar fotos y atacar otras aplicaciones. Incluso proporcionó una forma de magnificar sus efectos, porque podía dirigir Safari, el navegador predeterminado de Apple, a un sitio web con más malware.
La aplicación hizo un teléfono a casa cuando se instaló, solicitando comandos. Esto nos dio la capacidad de generar un nuevo comportamiento de la lógica de esa aplicación que no existía cuando se instaló, dice Long Lu, un investigador de la Universidad de Stony Brook que formó parte del equipo de Georgia Tech, dirigido por Tielei Wang, que escribió el Aplicación para engañar a Apple.
La aplicación Jekyll estuvo activa solo unos minutos en marzo y ninguna víctima inocente la instaló, dice Lu. Durante ese breve tiempo, los investigadores la instalaron en sus propios dispositivos Apple y se atacaron a sí mismos, luego retiraron la aplicación antes de que pudiera causar un daño real.
Lu dice que al monitorear la aplicación, podrían saber que Apple la ejecutó solo unos segundos antes de lanzarla. Durante la revisión, el código malicioso se había descompuesto en dispositivos de código que estaban ocultos bajo la cubierta de operaciones legítimas de aplicaciones y que podían unirse después de su aprobación. El mensaje que queremos transmitir es que, en este momento, el proceso de revisión de Apple está realizando principalmente un análisis estático de la aplicación, lo cual decimos que no es suficiente porque la lógica generada dinámicamente no se puede ver muy fácilmente, dice Lu (ver Pistas sugieren que el malware se está moviendo desde PC a dispositivos móviles).
El periódico estaba programado para una charla el viernes en la conferencia de Usenix en Washington, D.C. Tom Neumayr, un portavoz de Apple, dijo que la compañía hizo algunos cambios en su sistema operativo móvil iOS en respuesta a problemas identificados en el documento. Neumayr no quiso comentar sobre el proceso de revisión de la aplicación.
Apple ha vendido más de 600 millones de dispositivos que ejecutan iOS (iPhones, iPads y iPod Touch), pero solo se han descubierto unas pocas aplicaciones maliciosas. La nueva investigación muestra que es posible que las malas aplicaciones permanezcan en los dispositivos Apple sin haber sido detectadas, dice Lu.
Para saber si ese es el caso, el proceso de verificación de la aplicación debería incluir un monitoreo continuo de los teléfonos de los clientes, dice Marc Rogers, investigador principal de Lookout, una empresa de seguridad móvil. Hizo hincapié en que todos los sistemas operativos son vulnerables a este tipo de ataques, ya sean móviles o de otro tipo.
Xuxian Jiang, investigador de seguridad móvil de la Universidad Estatal de Carolina del Norte que ha investigado la seguridad de los dispositivos Android y la tienda de aplicaciones de Google, Google Play, agrega que la nueva investigación simplemente nos recuerda que ningún proceso de verificación de aplicaciones será perfecto.
Esta historia se actualizó para aclarar que durante la prueba de Apple, la aplicación se ejecutó solo durante unos segundos. Esta actualización también amplió el contexto del comentario de Neumayr.