Apple Brass discutió la divulgación de 128 millones de hacks de iPhone y luego decidió no hacerlo


Apple Brass discutió la divulgación de 128 millones de hacks de iPhone y luego decidió no hacerlo

imágenes falsas

En septiembre de 2015, los gerentes de Apple tenían un dilema en sus manos: ¿deberían informar a 128 millones de usuarios de iPhone sobre lo que sigue siendo el peor compromiso masivo de iOS o no? En última instancia, toda la evidencia mostró que optaron por permanecer en silencio.

El ataque masivo salió a la luz por primera vez cuando los investigadores descubrieron 40 aplicaciones maliciosas de la App Store, un número que se elevó a 4.000 a medida que más investigadores hurgaban. Las aplicaciones contenían código que hizo que los iPhones y iPads fueran parte de una botnet que robaba información de usuario potencialmente sensible.

128 millones de infectados.

Un correo electrónico llevado a juicio esta semana en la demanda de Epic Games contra Apple muestra que en la tarde del 21 de septiembre de 2015, los ejecutivos de Apple descubrieron 2.500 aplicaciones maliciosas descargadas 203 millones de veces por 128 millones de usuarios, 18 millones de los cuales estaban en los EE. UU.

«Joz, Tom y Christine: debido a la gran cantidad de clientes potencialmente afectados, ¿queremos enviar un correo electrónico a todos?» Matthew Fischer, vicepresidente de la App Store, escribió en referencia a Greg Joswiak, vicepresidente senior de marketing global de Apple, y al personal de relaciones públicas de Apple, Tom Neumayr y Christine Monaghan. El correo electrónico continuó:

Si es así, Dale Bagwell de nuestro equipo de experiencia del cliente estará disponible para gestionar esto de nuestro lado. Tenga en cuenta que esto presenta algunos desafíos en términos de localización del idioma del correo electrónico, ya que estas aplicaciones se descargaron de una variedad de tiendas de App Store en todo el mundo (por ejemplo, no queremos enviar un correo electrónico en inglés a un cliente que ha descargado uno o más de estas aplicaciones de la App Store de Brasil, siendo el portugués brasileño el idioma más apropiado).

El perro se comió nuestra revelación

Aproximadamente 10 horas después, Bagwell analiza la logística de notificar a los 128 millones de usuarios afectados, ubicar las notificaciones en el idioma de cada usuario y «incluirlas con precisión».[ing] los nombres de las aplicaciones para cada cliente. «

Desafortunadamente, Apple nunca parece haber implementado sus planes. Un representante de Apple no pudo señalar ninguna evidencia de que se haya enviado un correo electrónico de este tipo. En declaraciones que el representante envió en segundo plano, lo que significa que no puedo citarlas, se indicó que Apple solo publicó esta publicación, que ahora ha sido eliminada.

La publicación tiene información muy general sobre la campaña de aplicaciones maliciosas y, finalmente, solo enumera las 25 aplicaciones más descargadas. «Si los usuarios tienen alguna de estas aplicaciones, deben actualizar la aplicación afectada para solucionar el problema en el dispositivo del usuario», dijo la publicación. «Cuando la aplicación esté disponible en [the] Se actualizó la App Store. Si no está disponible, debería actualizarse muy pronto. «

Fantasma de Xcode

Las infecciones fueron el resultado de desarrolladores legítimos que escribieron aplicaciones utilizando una copia falsa de Xcode, la herramienta de desarrollo de aplicaciones iOS y OS X de Apple. La herramienta reempaquetada llamada XcodeGhost insertó en secreto código malicioso junto con las funciones normales de la aplicación.

A partir de ahí, las aplicaciones solicitaban a los iPhones que informaran a un servidor de comando y control y proporcionaran una variedad de información del dispositivo, incluido el nombre de la aplicación infectada, el ID del paquete de la aplicación, la información de red, los detalles del «identifierForVendor» del dispositivo y el nombre del dispositivo, Tipo e identificador único.

XcodeGhost ha demostrado ser más rápido de descargar en China que Xcode, que está disponible en Apple. Para que los desarrolladores ejecuten la versión falsa, tuvieron que hacer clic en una advertencia de Gatekeeper, la función de seguridad de macOS que requiere que las aplicaciones estén firmadas digitalmente por un desarrollador conocido.

La falta de seguimiento es decepcionante. Apple siempre ha hecho de la seguridad de los dispositivos que vende una prioridad. También ha hecho de la privacidad una parte fundamental de sus productos. Hubiera sido correcto notificar a los afectados directamente. Ya sabíamos que Google normalmente no notifica a los usuarios cuando descargan aplicaciones maliciosas de Android o extensiones de Chrome. Ahora sabemos que Apple hizo lo mismo.

Dr. Detén a Jekyll

El correo electrónico no era el único que mostraba problemas de seguridad solucionados por Apple Brass. Un artículo separado enviado al Apple Fellow Phil Schiller y otros en 2013 envió una copia del artículo de Ars titulado «La aplicación Jekyll aparentemente inofensiva aprueba la revisión de Apple y luego se vuelve mala».

El artículo analiza la investigación realizada por científicos informáticos que encontraron una manera de introducir programas maliciosos en la tienda de aplicaciones sin ser detectados por el proceso de verificación obligatorio que está diseñado para marcar automáticamente dichas aplicaciones. Schiller y las otras personas que recibieron el correo electrónico querían saber cómo aumentar su protección ante el descubrimiento de que el analizador estático utilizado por Apple era ineficaz contra el método recién descubierto.

«Este analizador estático observa más de cerca los nombres de API que las API reales a las que se llaman, por lo que existe un problema común con los falsos positivos», escribió Eddy Cue, vicepresidente senior de software y servicios de Internet de Apple. “Con Static Analyzer podemos interceptar el acceso directo a las API privadas, pero las aplicaciones que utilizan métodos indirectos para acceder a estas API privadas están completamente ausentes. Esto es lo que los autores utilizaron en sus aplicaciones Jekyll. «

El correo electrónico discutió las limitaciones de otras dos defensas de Apple, una llamada proxy de privacidad y la otra llamada interruptor de puerta trasera.

«Necesitamos ayuda para convencer a otros equipos de que implementen esta funcionalidad por nosotros», escribió Cue. «Hasta entonces, es más brutal y un poco ineficaz».

Las demandas que involucran a grandes corporaciones a menudo ofrecen portales sin precedentes para el funcionamiento interno de su trabajo y el de sus ejecutivos. Como en este caso, estas opiniones a menudo están en desacuerdo con lo que están hablando las empresas. El proceso continuará la semana que viene.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *