Alrededor de 1.000 aplicaciones alojadas en la App Store de Apple utilizan la tecnología JSPatch, que pone en riesgo a los usuarios. Más de 1.000 aplicaciones iOS en la App Store utilizan una tecnología que podría permitir a los atacantes llevar a cabo acciones poderosas en terminales comprometidos sin el consentimiento del usuario. Este marco de uso, conocido como JSPatch, es un proyecto de código abierto que permite a los desarrolladores aplicar un arreglo de varios bugs en sus aplicaciones, saltándose el proceso de revisión de Apple para las aplicaciones actualizadas. Este proceso de revisión tarda al menos siete días antes de aprobar el código actualizado; y, aunque muchos desarrolladores buscan forma de saltárselo, esto pone en peligro a los usuarios. Este fallo en la seguridad del marco podría permitir a los atacantes acceder a las fotos, el micrófono o el clipboard, entre otras características. Según la firma de seguridad cibernética FireEye, al menos 1.220 aplicaciones en la App Store utilizan JSPatch. Aunque no pudo proporcionar el nombre de las aplicaciones, afirma haber notificado ya a sus desarrolladores.
La tecnología JSPatch
La tecnología JSPatchJSPatch se originó en China y ha tenido un gran éxito en ese mercado desde su lanzamiento en 2015. Muchas aplicaciones populares y de importancia chinas han adoptado esta tecnología, pero no son los únicos: FireEye ha descubierto que los desarrolladores fuera de ese país también han comenzado a adoptar JSPatch. El fallo de seguridad en JSPatch permite a los atacantes evitar la protección que otorga el proceso de revisión de la App Store y realizar acciones arbitrarias y poderosas en el dispositivo comprometido, sin el conocimiento del usuario. Además, el propio código del marco dificulta bastante pillar la acción maliciosa.
“JSPatch es una bendición para los desarrolladores en iOS. En las manos adecuadas, puede usarse para lanzar parches y actualizaciones del código de manera rápida y efectiva. Pero en el mundo distópico en el que vivimos, tenemos que asumir que malas manos jugarán con esta tecnología para propósitos que no eran los intencionados. Específicamente, si un atacante puede jugar con el contenido de un archivo JavaScript que acaba cargado en una aplicación, una serie de ataques podrían llevarse a cabo de manera satisfactoria contra una aplicación de la App Store” afirma FireEye en una entrada de blog.
Según esta firma de seguridad, JSPatch es uno de varios ofreciendo un proceso de parcheado a bajo coste para los desarrolladores de iOS: otras tecnologías similares también son vulnerables a estos ataques.
Cómo evitar esta vulnerabilidad
El líder de FireEye, Josh Goldfarb, ha hablado con The Telegraph y ha afirmado lo siguiente:
“Un atacante taimado podría escribir una aplicación legítima y no maliciosa usando esté marco y, una vez pase por el proceso de Aple, utilizarla para enviar instrucciones no legítimas y maliciosas al dispositivo.”
También ha ofrecido avisos de seguridad a los usuarios de iOS:
“Las recomendaciones son bastante estándar: descargad sólo aplicaciones que necesitéis, que conozcáis, y en las que confiéis. Tened cuidado con las aplicaciones que piden una cantidad alta de permisos, y conceded sólo aquellos que sean necesarios” añade Goldfarb.
Esta no es la primera vez que los usuarios de iOS se enfrentan al peligro. En octubre de 2015, SourceDNA descubrió que cientos de aplicaciones iOS estaban recogiendo datos privados de los usuarios y violando la seguridad y privacidad de Apple. El descubrimiento llegó justo un mes después del ataque del malware XcodeGhost en la App Store. ¿Y por qué los móviles son tan propensos a los ataques externos? Goldfarb nos lo explica.
“Los dispositivos móviles son un objetivo atractivo para los atacantes, porque están relativamente poco protegidos en comparación con portátiles y ordenadores. Vamos a empezar a ver mucha más actividad en esta área. Los atacantes van donde está el dinero: así que vamos a ver muchos más objetivos móviles”.
