Imagen de US-China Perception Monitor. Uso no comercial.

Un nuevo malware de iOS llamado XcodeGhost, que ha infectado a miles de aplicaciones de iOS incluyendo WeChat, fue descubierto por desarrolladores chinos a mediados de setiembre. Palo Alto Networks dirigió una profunda investigación y reveló más detalles del incidente.

XcodeGhost es una versión maliciosa de Xcode (la suite de Apple de herramientas de desarrollo de software) distribuida entre los desarrolladores chinos de iOS que, sin saberlo, construyeron el código al compilar sus aplicaciones y lo distribuyeron a través de la tienda de aplicaciones de Apple.

Una vez que las aplicaciones estuvieron instaladas en los dispositivos iOS, el malware recogió información acerca de los dispositivos y subió los datos al servidor del atacante. El atacante también pudo leer y escribir datos en una carpeta del usuario, además de controlar las aplicaciones para robar credenciales de los usuarios mediante phishing, incluyendo contraseñas. Se estima que XcodeGhost ha afectado potencialmente a cientos de millones de usuarios, ya que WeChat, una de las aplicaciones de mensajería más populares en el continente chino, fue una de las aplicaciones infectadas.

Supuestamente el malware de XcodeGhost ha sido elaborado por un grupo de personas, y uno de los sospechosos principales es un graduado de la Universidad de Ciencias y Tecnología de Shandong. El sospechoso afirmó que el malware fue un experimento, aunque programadores chinos han contraargumentado que fue un acto organizado para minar la reputación de iOS, ya que el código fue subido a varias plataformas de intercambio de códigos. Mientras tanto, Apple ha eliminado las aplicaciones infectadas de la tienda.

¿Qué causó esta brecha de seguridad? Si las aplicaciones infectadas hubiesen sido clasificadas como malware en el proceso de revisión de código de Apple, no habrían sido distribuidas a los usuarios en primer lugar. Pero Gatekeeper también planteó una pregunta en sus FAQs acerca de XcodeGhost:

Why would a developer put customers at risk by downloading counterfeit software?
Sometimes developers search for our tools on other, non-Apple sites in an effort to find faster downloads of developer tools.

¿Por qué un desarrollador pondría a los clientes en riesgo por descargar software falso?
A veces los desarrolladores buscan nuestras herramientas en otros sitios que no son de Apple para encontrar descargas más rápidas de herramientas de desarrolladores.

El usuario de Twitter Larry Salibra explicó que la censura china de Internet, por ejemplo el Gran Cortafuegos que bloquea el acceso a sitios web del extranjero, es la culpable de las bajas velocidades de conexión que empujan a los desarrolladores chinos a conseguir Xcode de Apple de otras plataformas de intercambio de códigos:

XcodeGhost is a consequence of Beijing's policies making CN internet slow & annoying http://t.co/97I0vSaktU pic.twitter.com/f51nC4Hwdd

— Larry Salibra (@larrysalibra) September 24, 2015

XcodeGhost es una consecuencia de las políticas de Pekín que hacen que la conexión a Internet sea lenta y molesta.

El destacado blogger tecnológico chino Huo Ju coincidió con tal punto de vista y explicó más detalladamente la situación en China:

这次的事件之所以影响巨大，就是因为通过苹果官方渠道升级Xcode速度太慢，少则10多个小时，多则几十个小时，其间还有可能中断和重新下载。从国内随便下载一个Xcode用当然是错的，但在这样的环境下也不是完全不能理解，考虑一下互联网的下载速度只有50K，企业内网速度能高达10M的时候，谁会不从内网下载呢？

El impacto del incidente es generalizado porque descargar Xcode del sitio oficial de Apple lleva demasiado tiempo. Lleva más de 10 horas y a veces más de algunas docenas de horas conseguir la descarga, ya que la conexión se puede cortar y tienes que empezar de nuevo desde el principio. Por supuesto que es un error descargar Xcode de otros sitios en China, pero es comprensible. Imagínate que la velocidad de Internet fuese de unos 50K, mientras que la de la red doméstica es de 10MB, desde luego la gente lo descargaría de la red doméstica.

Huo Ju explicó con más detalle el impacto del Gran Cortafuegos en la seguridad de Internet:

GFW让中国本来开放的互联网环境，变成了一个巨大的企业内网，或者叫做中国局域网。除了速度和难以访问的影响，各种各样的DNS投毒，电信运营商干扰也是严重问题，你拿回来的DNS结果往往也未必是可信的，而运营商试图在HTTP请求中插入广告的行为，又经常会导致正常的应用表现不正常，而这些乱七八糟的毛病还经常变化，今天你可以这样对付，下周可能就需要换一个办法。要维持一个可信的软件环境，需要付出巨大的精力，能愿意付出这个代价的人越来越少。

El Gran Cortafuegos ha convertido el Internet abierto en una red doméstica o la supuesta red regional de China. Además de restricciones en la velocidad de Internet, [los usuarios de Internet en China] también sufren de envenenamiento del DNS e interferencias directas de los ISP. Ni siquiera puedes confiar en el DNS al que te refieren. Además, muy a menudo, los proveedores de contenido insertarán anuncios mediante peticiones HTTP, dando lugar a un rendimiento muy malo de la red. Todas estas condiciones evolucionan a diario, hoy sabes cómo enfrentarte a la situación, la semana que viene tienes que encontrar otra solución. Tienes que dedicar un montón de energía para mantener un entorno de software fiable, y muy pocos están dispuestos a pagar tal coste.

Después el blogger abordó la cuestión de la confianza en el negocio de Internet chino:

在这个环境中，我们能信任的什么呢？网络链接不可信，运营商不可信，DNS不可信，大企业不可信。[…] 但在中国，如果你敢信任百度，基本意味着你生活各方面都会出问题，用百度查个搬家公司，骗死你没商量，用百度查个快递电话，骗死你也没商量，用百度查个医院，你猜会怎么样？那是真要骗死你没商量，这里的骗死都不再是比喻了。你要信任百度的软件，更好玩了，它莫名其妙就给你把百度出的所有软件都装在你机器上了，人们管这个不请自来的大礼叫做百度全家桶。如此致力于坑害自己用户的大公司，在中国之外还真是罕见。

En tal entorno, ¿de qué podemos fiarnos? No podemos fiarnos de la conexión a Internet. No podemos fiarnos de los operadores de Internet. No podemos fiarnos del DNS ni de las grandes compañías de Internet. […] En China, si te fías de Baidu, te enfrentarás a un problema enorme. Si buscas una compañía de servicios de mudanzas a través del motor de búsqueda de Baidu, te estafarán. Si buscas una compañía de servicios de entregas a través de Baidu, te estafarán. Si buscas un hospital a través de Baidu, adivina. Estás condenado a morir. Si te fías del software de Baidu, te divertirás más. Instalará toda una colección de software de Baidu en tu ordenador. La gente llama a tales regalos gratuitos un «paquete familiar de Baidu.» Este tipo de compañías que trabajan tan duro para dañar a sus clientes no se podrían encontrar en ningún sitio excepto China.

La extensión del malware de iOS, sin embargo, indica que los problemas de seguridad y confianza se han extendido desde la red doméstica de China al Internet abierto fuera de China a través de compañías extranjeras que se consideran más fiables.

Como han señalado varios bloggers tecnológicos, Apple se habría dado cuenta del problema de las velocidades de descarga extremadamente lentas en China si hubiese monitorizado y abordado la cuestión reflejada en la distribución geográfica del número de descargas de Xcode. Además, la tienda de aplicaciones de Apple ha hecho que sea técnicamente imposible ejecutar una aplicación de detección de malware que monitorice otras aplicaciones.

Mientras que Apple tiene un sistema de revisión y los usuarios de dispositivos iOS pueden seguir descargando de la tienda de aplicaciones oficial, el problema de malware en dispositivos Android es aún más severo, ya que la tienda de Google play ha estado desbaratada desde hace años y bloqueada en China desde mayo de 2014.

El incidente es una llamada de atención a las compañías de Internet extranjeras que quieren tener una cuota de mercado en un país como China, donde la inseguridad en Internet se ha convertido en norma debido a la política doméstica. Si quieren seguir siendo fiables para los clientes, tienen que desarrollar una política y un sistema para dirigirse al sistema de seguridad distintivo en su red doméstica.