Es cierto que la ciberseguridad de los iPhone de Apple está fuera de toda duda, pero los teléfonos de Apple no están exentos de ser objetivo de hackers y espías. En España, de hecho, ya hemos visto varias veces lanzamientos de parches para solucionar vulnerabilidades graves. Ha aparecido un nuevo problema; según apuntan nuevas investigaciones, se estarían usando tanto los anuncios en apps como las notificaciones push para espiar a los usuarios de iPhone.
Así lo expone 9to5Mac, que revela varios reportes de cómo se estarían usando tanto las notificaciones automáticas o push así como los anuncios in-app para recabar datos e información de sus usuarios. Por ejemplo es el caso de Patternz, que el portal 404 Media define como una "herramienta de espionaje basada en publicidad que monitorea a millones de personas".
Por otro lado están los investigadores de seguridad de Mysk, que descubrieron que, de manera similar a Patternz, numerosas plataformas están aprovechando las notificaciones push para enviar análisis de apps e incluso información del dispositivo a sus servidores remotos. Todo ello sin necesidad de que esas aplicaciones se estén ejecutando en el iPhone.
Patternz: una herramienta de espionaje
La investigación de 404 Media especifica cómo Patternz se habría convertido en una industria publicitaria que rastrea miles de millones de perfiles de usuarios. Aplicaciones tan populares como 9gag o Kik, así como "una serie de aplicaciones de identificación de llamadas" son parte de una capacidad "de vigilancia global". Todo comienza con los anuncios de las aplicaciones.
Si bien esta herramienta ya había sido denunciada por el Irish Council for Civil Liberties, han sido tanto 404 Media como el instituto de investigación austríaco Cracked Labs los que han revelado su funcionamiento con detalle. La investigación menciona un vídeo en el que aparecía el supuesto responsable de la herramienta hablando de sus bondades al público. Entre ellas, mencionó la capacidad de analizar el comportamiento de 600.000 aplicaciones.
El actual responsable, llamado Rafi Ton, explicaba en el vídeo que el smartphone se convierte "en un brazalete de seguimiento de facto" con cualquier aplicación "que tenga anuncios". Ton llega incluso a afirmar que Patternz está dirigido específicamente a las agencias de seguridad nacional.
El absurdo llega hasta niveles insospechados, cuando Ton muestra qué cantidad de información son capaces de conseguir con Patternz. Coordenadas GPS, ubicación con precisión de hasta un metro, la identidad del dueño de esas coordenadas e incluso su dirección de casa y trabajo. No se queda ahí; descubre la marca de su smartphone, el sistema operativo y hasta una lista de otros usuarios cercanos al objetivo.
[El falso aviso de la policía sobre esta nueva función de Apple: así se usa y puedes desactivarla]
Patternz puede monitorear a escala y se estima que es capaz de analizar más de 90 terabytes de datos todos los días, así como tener perfiles de más de 5.000 millones de identificaciones pertenecientes a usuarios. Ton asegura que cada uno de estos dispositivos obedece a un usuario, que cuenta con una identificación única. Esta cobertura es totalmente global, y no solo sirve para identificar a usuarios; se pueden enviar todo tipo de virus, desde anuncios hasta troyanos.
La herramienta se encarga de recabar datos de aplicaciones de importantísimo calado, como 9gag, Kik o FUTBIN. Lo peor es que Patternz no necesita establecer ningún tipo de relación con los desarrolladores de la app, ya que todo se maneja a través de las redes y plataformas publicitarias que están conectadas a las aplicaciones. Ton dice que no es necesario, siquiera, instalar nada en el teléfono.
Todos estos datos son comercializados a los llamados brokers de datos, y la precisión con la que actúa casi da miedo. Se pueden hacer análisis completos de los usuarios para determinar su estado psicológico o su estado financiero. Todo tiene que ver con la industria publicitaria, ya que Patternz se beneficia directamente del RTB, o Real Time Bidding. Un proceso que permite que los anunciantes puedan pujar sobre espacios publicitarios en Internet, y que implica el envío de información sensible del usuario.
Tanto 404 Media como Cracked Labs identificaron hasta 61.894 aplicaciones de iOS que usan este sistema sin conocimiento directo del usuario. Pero no es el único, ya que además de la publicidad en aplicaciones, estos sistemas también se aprovechan de las notificaciones automáticas.
Notificaciones push
Mysk es básicamente un dúo de desarrolladores que, además, cuentan con conocimientos en investigación de ciberseguridad. Ambos han resaltado en Twitter y en un completo vídeo de YouTube la forma en la que las aplicaciones aprovechan las llamadas notificaciones push para realizar envíos de datos sensibles del usuario mientras se ejecutan en segundo plano.
Un poco de contexto. Por como funcionan las apps en iOS, estas acaban suspendidas cuando no se ejecutan en primer plano. Es decir, iOS acaba por 'cerrar' apps que no estén activas, por cuestiones de rendimiento y privacidad. En iOS 10, Apple añadió una función que permitía que las aplicaciones pudieran gestionar y personalizar sus notificaciones automáticas si no se estaban ejecutando.
Cuando una app recibe una de estas notificaciones, iOS activa la app en segundo plano y le permite por un tiempo limitado personalizarla antes de que llegue al usuario. Cuando el proceso termina, iOS provee la notificación y la aplicación se acaba cerrando. Esto es básicamente un agujero que permite a aplicaciones consumir datos privados.
Ese tiempo limitado de ejecución en segundo plano es el espacio en el que operan estas aplicaciones. De hecho, los investigadores denuncian que se puede "ejecutar código en segundo plano bajo demanda" usando este sistema. Solo tienen que enviar notificaciones automáticas a sus usuarios. "Muchas aplicaciones usan esta función como una oportunidad para enviar información detallada del dispositivo mientras se ejecutan silenciosamente en segundo plano", señalan.
Esta información incluye el tiempo de actividad del sistema, idioma del teclado, configuración regional, estado de la batería, brillo de la pantalla o incluso el modelo del dispositivo. Y esta es una práctica tremendamente común. "La frecuencia con la que muchas aplicaciones envían información del dispositivo después de recibir una notificación es alucinante". Y no son precisamente pequeñas, ya que menciona apps como Facebook o TikTok, entre otras.
Afortunadamente, tanto Google como Apple han respondido a estas cuestiones. Apple implementará una medida en primavera de este año que exigirá a los desarrolladores que declaren los motivos para usar las API que devuelven señales de dispositivo únicas. Google, por su parte, ya ha afirmado que ha cortado relaciones con compañías que usaban anuncios para ejecutar herramientas como Patternz.
También te puede interesar...
- Actualiza tu iPhone ya: así puedes blindarlo contra robos impidiendo a los ladrones utilizarlo
- Actualiza tu iPhone ya: Apple corrige dos peligrosos fallos en los que vuelve a colarse Pegasus
- Así puedes saber si tu iPhone está infectado con Pegasus: la herramienta para hacerlo en segundos
- Apple evitará que espíen lo que ves en tu iPhone gracias a estas nuevas e ingeniosas patentes