EN SEPTIEMBRE DE 2015, los gerentes de Apple tenían un dilema en sus manos: ¿Deberían o no notificar a 128 millones de usuarios de iPhone sobre lo que sigue siendo el peor compromiso masivo de iOS registrado? En última instancia, según muestra toda la evidencia, decidieron guardar silencio.
El ataque masivo salió a la luz por primera vez cuando los investigadores descubrieron 40 aplicaciones maliciosas de la App Store, un número que aumentó rápidamente a 4.000 a medida que más investigadores hurgaban. Las aplicaciones contenían código que hizo que los iPhones y iPads fueran parte de una botnet que robaba información de usuario potencialmente sensible.
Un correo electrónico que llegó al tribunal la semana pasada en la demanda de Epic Games contra Apple muestra que, en la tarde del 21 de septiembre de 2015, los gerentes de Apple habían descubierto 2.500 aplicaciones maliciosas que habían sido descargadas un total de 203 millones de veces por 128 millones de usuarios, 18 millones. de los cuales estaban en los EE. UU.
“Joz, Tom y Christine: debido a la gran cantidad de clientes potencialmente afectados, ¿queremos enviarles un correo electrónico a todos ellos?” El vicepresidente de la App Store, Matthew Fischer, escribió, refiriéndose al vicepresidente senior de marketing mundial de Apple, Greg Joswiak, y al personal de relaciones públicas de Apple, Tom Neumayr y Christine Monaghan. El correo electrónico continuó:
En caso afirmativo, Dale Bagwell de nuestro equipo de experiencia del cliente estará a punto para gestionar esto de nuestro lado. Tenga en cuenta que esto planteará algunos desafíos en términos de localización de idiomas del correo electrónico, ya que las descargas de estas aplicaciones se llevaron a cabo en una amplia variedad de tiendas de App Store en todo el mundo (por ejemplo, no quisiéramos enviar un correo electrónico en inglés a un cliente que descargó una o más de estas aplicaciones de la App Store de Brasil, donde el portugués de Brasil sería el idioma más apropiado).
Aproximadamente 10 horas después, Bagwell analiza la logística de notificar a los 128 millones de usuarios afectados, localizar las notificaciones al idioma de cada usuario e “incluir con precisión los nombres de las aplicaciones para cada cliente”.
Por desgracia, todo parece indicar que Apple nunca cumplió con sus planes. Un representante de Apple no pudo señalar ninguna evidencia de que se haya enviado un correo electrónico de este tipo. Las declaraciones que envió el representante en segundo plano, lo que significa que no se me permite citarlas, señalaron que Apple, en cambio, publicó solo esta publicación ahora eliminada.
La publicación proporciona información muy general sobre la campaña de aplicaciones maliciosas y, finalmente, enumera solo las 25 aplicaciones más descargadas. “Si los usuarios tienen una de estas aplicaciones, deben actualizar la aplicación afectada, lo que solucionará el problema en el dispositivo del usuario”, decía la publicación. “Si la aplicación está disponible en [la] App Store, se ha actualizado, si no está disponible, debería actualizarse muy pronto”.
Las infecciones fueron el resultado de desarrolladores legítimos que escribieron aplicaciones utilizando una copia falsificada de Xcode, la herramienta de desarrollo de aplicaciones iOS y OS X de Apple. La herramienta reempaquetada, denominada XcodeGhost, insertó subrepticiamente código malicioso junto con las funciones normales de la aplicación.
A partir de ahí, las aplicaciones hicieron que los iPhones informaran a un servidor de comando y control y proporcionaran una variedad de información del dispositivo, incluido el nombre de la aplicación infectada, el identificador del paquete de la aplicación, la información de la red, los detalles del “identifierForVendor” del dispositivo y el nombre del dispositivo, tipo e identificador único.
XcodeGhost se anunció a sí mismo como más rápido de descargar en China, en comparación con Xcode disponible en Apple. Para que los desarrolladores hayan ejecutado la versión falsificada, tendrían que hacer clic en una advertencia enviada por Gatekeeper, la función de seguridad de macOS que requiere que las aplicaciones estén firmadas digitalmente por un desarrollador conocido.
La falta de seguimiento es decepcionante. Apple ha priorizado durante mucho tiempo la seguridad de los dispositivos que vende. También ha hecho de la privacidad una pieza central de sus productos. Notificar directamente a los afectados por este lapso habría sido lo correcto. Ya sabíamos que Google no notifica habitualmente a los usuarios cuando descargan aplicaciones maliciosas de Android o extensiones de Chrome. Ahora sabemos que Apple ha hecho lo mismo.
El correo electrónico no fue el único que mostró a los jefes de Apple resolviendo problemas de seguridad. Otro, enviado al compañero de Apple Phil Schiller y otros en 2013, envió una copia del artículo de Ars titulado “La aplicación aparentemente benigna ‘Jekyll’ aprueba la revisión de Apple y luego se convierte en ‘malvada'”.
El artículo analiza la investigación de científicos informáticos que encontraron una manera de introducir programas maliciosos en la App Store sin ser detectados por el proceso de revisión obligatorio que se supone que marca automáticamente dichas aplicaciones. Schiller y las demás personas que recibieron el correo electrónico querían descubrir cómo reforzar sus protecciones a la luz de su descubrimiento de que el analizador estático que Apple usó no era efectivo contra el método recién descubierto.
“Este analizador estático examina los nombres de las API en lugar de las verdaderas API que se llaman, por lo que a menudo existe el problema de los falsos positivos”, escribió Eddy Cue, vicepresidente senior de software y servicios de Internet de Apple. “El analizador estático nos permite detectar el acceso directo a las API privadas, pero omite por completo las aplicaciones que utilizan métodos indirectos para acceder a estas API privadas. Esto es lo que los autores utilizaron en sus aplicaciones Jekyll “.
El correo electrónico pasó a discutir las limitaciones de otras dos defensas de Apple, una conocida como Privacy Proxy y la otra como Backdoor Switch.
“Necesitamos ayuda para convencer a otros equipos de que implementen esta funcionalidad para nosotros”, escribió Cue. “Hasta entonces, es más fuerza bruta y algo ineficaz”.
Las demandas que involucran a grandes empresas a menudo proporcionan portales nunca antes vistos sobre el funcionamiento interno de la forma en que ellos y sus ejecutivos trabajan. A menudo, como ocurre aquí, esas opiniones están en desacuerdo con los puntos de conversación de las empresas. El juicio se reanuda esta semana.
