Apple continúa dando a conocer las amplias medidas que toma para proteger las aplicaciones y la App Store. Tiene un ejército de revisores humanos y herramientas para revisar las solicitudes enviadas. Sin embargo, los desarrolladores aún permiten que las aplicaciones maliciosas pasen la inspección. Estas son algunas de las técnicas que utilizan y lo que Apple puede hacer para detenerlas.
Apple utiliza medidas de seguridad integrales para proteger sus aplicaciones del malware y la manipulación. Los usuarios sólo pueden descargar aplicaciones de iOS y iPadOS desde la AppStore, que primero se someten a una revisión exhaustiva. Este esfuerzo integral combina sistemas automatizados y revisores humanos para mantener altos estándares de seguridad. El equipo de revisión de aplicaciones de la empresa está formado por más de 500 expertos que deben evaluar aproximadamente 132.500 aplicaciones enviadas cada semana y utilizar una variedad de herramientas para detectar posibles fraudes y violaciones de la privacidad. A pesar de estos esfuerzos, algunas aplicaciones maliciosas todavía pasan desapercibidas.
A principios de este verano, 9to5Mac informó sobre una aplicación de streaming pirateada disfrazada de herramienta de gestión de fotografías que logró eludir al equipo de revisión de la App Store de Apple utilizando funciones basadas en la ubicación para ocultar su verdadero propósito.
Un producto llamado "Collect Cards: StoreBox" estuvo en la App Store durante más de un año y finalmente se convirtió en la segunda aplicación gratuita más descargada en Brasil. Posteriormente fue retirado de los estantes. La aplicación presenta una interfaz sencilla para los críticos de Apple en los EE. UU. y ofrece contenido pirateado de Netflix, Disney+, Amazon Prime Video, HBO Max e incluso AppleTV+ de otras regiones. Al ocultar todas las funciones relacionadas con la transmisión a los usuarios de EE. UU., los empleados de Apple solo vieron una versión simplificada centrada en fotos y videos.
A pesar de todas las precauciones y medidas de detección implementadas, Apple continúa participando en un juego constante del gato y el ratón, tratando de identificar y frustrar las tácticas engañosas de los desarrolladores antes de poner sus aplicaciones en la tienda. No es difícil imaginar que Google enfrenta un problema similar, ya que elimina cientos de aplicaciones malas de Google Play cada año.
Sin embargo, Apple ha bloqueado muchas actividades fraudulentas. El año pasado, Apple bloqueó más de 153 millones de cuentas de usuarios falsas y suspendió casi 374 millones de cuentas de desarrolladores debido a fraude y abuso. Apple también dijo que en los últimos 12 meses, identificó y bloqueó más de 47.000 aplicaciones ilegales en tiendas pirateadas para que no llegaran a los usuarios. Desafortunadamente, los malos actores continúan mejorando sus métodos, tratando de eludir las protecciones de Apple mediante técnicas sofisticadas como tácticas de engaño y funciones ocultas.
Otro caso de suplantación de identidad basada en la ubicación ocurrió en 2017, cuando Uber fue acusado de establecer una "geocerca" alrededor de la sede de Apple en Cupertino. Para cualquiera que use la aplicación dentro de esa zona, incluido el equipo de revisión de Apple, la aplicación desactiva automáticamente el código que Uber usa para tomar huellas digitales y rastrear a los usuarios en toda la red.
Además de las funciones basadas en la ubicación, existen muchos más métodos que los desarrolladores sin escrúpulos pueden aprovechar. Estos métodos aprovechan las limitaciones del proceso de revisión de Apple, que es la incapacidad de probar aplicaciones exhaustivamente en diferentes ubicaciones o durante largos períodos de tiempo.
Una estrategia es utilizar ReactNative y CodePushSDK de Microsoft, que permite a los desarrolladores actualizar partes de una aplicación después de su aprobación sin tener que enviar una nueva compilación. Otro enfoque es retrasar las llamadas a la API de geolocalización durante unos segundos para evadir la detección durante la revisión automática.
Algunos desarrolladores solo brindan funcionalidad de cumplimiento básica durante el proceso de revisión y luego usan CodePush para introducir funcionalidades ocultas o maliciosas. También hay desarrolladores que publican múltiples aplicaciones con bases de código compartidas a través de diferentes cuentas de desarrollador, lo que hace que la tarea de rastrear y eliminar todas las instancias sea más compleja.
En casos más engañosos, las aplicaciones pretenden ser software inocente pero se convierten en algo completamente diferente una vez aprobadas. Es casi imposible impedir que los desarrolladores utilicen estos trucos.
Sin embargo, Apple podría mejorar su proceso de envío de aplicaciones. Por ejemplo, el equipo de revisión puede implementar pruebas adicionales para comprobar cómo se comporta el software en otros lugares. Apple también podría ser más proactiva a la hora de identificar y eliminar el fraude en la App Store, en lugar de aceptar pasivamente la orientación de los investigadores de seguridad.