Foto: Un pantallazo de una aplicación que decía ofrecer noticias de Georgia Tech pero en realidad estaba cargada con 'malware'.

Desde siempre, un velo de misterio oculta el proceso que usa Apple para vetar las aplicaciones para iPhone, iPad e iPod por cuestiones de seguridad. Ahora, investigadores que han conseguido colocar una aplicación maliciosa para la venta en la App Store, han determinado que el proceso de evaluación de la empresa ejecuta algunos programas solo durante unos segundos antes de darles la luz verde.

Estos segundos no fueron tiempo suficiente para que Apple se diera cuenta de que una aplicación que en teoría servía para ofrecer noticias de la Universidad Georgia Tech (EE.UU.) en realidad contenía fragmentos de código que luego se autoensamblaban para crear una criatura digital maliciosa. Este malware, bautizado como Jekyll por los investigadores, era capaz de mandar tuits en secreto, enviar correos electrónicos y textos, robar información personal y números de identificación de dispositivos, sacar fotos y atacar a otras aplicaciones. Contaba incluso con una forma de magnificar sus efectos, porque era capaz de dirigir a Safari, el navegador por defecto de Apple, a un sitio web con más malware.

"La aplicación llamaba a casa una vez instalada pidiendo órdenes. Esto nos da la posibilidad de generar nuevo comportamiento de la lógica de la aplicación que no existía cuando se instaló", explica Long Lu, investigador de la Universidad Stony Brook (EE.UU.), que forma parte del equipo de Georgia Tech dirigido por Tielei Wang que escribió la aplicación para burlar a Apple.  

La aplicación Jekyll solo estuvo disponible durante unos minutos en el mes de marzo y ninguna víctima inocente se la instaló, afirma Lu. Durante ese breve periodo, los investigadores la instalaron en sus propios dispositivos Apple para atacarse a sí mismos y después retiraron la aplicación antes de que pudiera causar daños.

Lu explica que, haciendo un seguimiento de la aplicación, pudieron saber que Apple solo la había ejecutado durante unos segundos antes de darle el visto bueno. Durante el proceso de revisión el código malicioso se descompuso en "aparatos de código" ocultos bajo la tapadera de operaciones legítimas que se podían unir después de la aprobación. "El mensaje que queremos transmitir es que ahora mismo el proceso de revisión de Apple básicamente hace un análisis estadístico de la aplicación y afirmamos que no es suficiente porque la lógica generada dinámicamente no es fácil de ver", explica Lu (ver "El 'malware' se pasa del PC a los dispositivos móviles").

El artículo se presentó el pasado viernes en la conferencia Usenix celebrada en Washington D.C. (EE.UU.). Tom Neumayr, portavoz de Apple, afirma que la empresa hizo algunos cambios en su sistema operativo iOS en respuesta a los problemas identificados en el artículo. Neumayr no quiso hacer declaraciones sobre el proceso de revisión de las aplicaciones.

Apple ha vendido más de 600 millones de dispositivos que operan con el sistema iOS (iPhones, iPads e iPod Touch), pero solo se han descubierto un puñado de aplicaciones maliciosas. La nueva investigación demuestra que es posible que haya más aplicaciones maliciosas instaladas en los dispositivos Apple sin haber sido detectadas.

Para saber si ese es el caso, el proceso de vetado de aplicaciones tendría que incluir un seguimiento continuo de los teléfonos de los clientes, afirma Marc Rogers, investigador principal de Lookout, una empresa de seguridad móvil. Rogers hizo hincapié en que "todos los sistemas operativos son vulnerables a este tipo de ataques, ya sean móviles o no".

Xuxian Jiang, investigador en seguridad móvil de la Universidad del Estado de Carolina del Norte (EE.UU.) que ha investigado la seguridad de los dispositivos Android y la tienda de aplicaciones de Google, Google Play, añade que esta nueva investigación "simplemente nos recuerda que ningún proceso de vetado de aplicaciones será perfecto".

Este artículo se revisó para aclarar que durante el test realizado por Apple, la aplicación solo se ejecutó unos segundos. La revisión también amplió el contexto del comentario de Neumayr.