Acharam que a polêmica dos certificados empresariais usados indevidamente por desenvolvedores da App Store tinha acabado? Pois acharam errado.
Os analistas de segurança da Lookout descobriram mais um conjunto de aplicativos que utilizava os certificados de forma inapropriada, e desta vez com objetivos ainda mais problemáticos: espionar os usuários, coletando dados como chamadas, fotos, localizações e mais — tudo isso se passando como apps legítimos de operadoras.
Os apps em questão eram distribuídos na Itália e no Turcomenistão, e eram oferecidos para download diretamente pelo Safari — os certificados empresariais, como bem se sabe, são utilizados para que os apps sejam instalados por fora da App Store, geralmente por funcionários de uma empresa.
Esses aplicativos, se passando por utilitários das operadoras, fingiam oferecer funções extras para os planos de telefonia dos usuários, mas podiam basicamente capturar todos os dados do aparelho e até mesmo gravar ligações.
Não se sabe exatamente quem está por trás dos apps, mas acredita-se que haja um envolvimento de uma empresa italiana chamada Connexxa, a qual anteriormente criou um aplicativo de vigilância para Android — chamado Exodus — que é atualmente usado pelo governo italiano. Ambos os apps usam o mesmo backend, o que indica que estejamos falando dos mesmos criadores.
O TechCrunch enviou as descobertas à Apple e a empresa repetiu o comunicado padrão de que esse tipo de uso do certificado representa uma violação das suas regras. Os apps em questão já foram inutilizados e o certificado de desenvolvedor, revogado.
Ninguém está surpreso que, após as descobertas relativas ao Google, ao Facebook e aos apps de jogos e pornografia, os certificados empresariais continuassem sendo utilizados indevidamente. O que chama atenção aqui é a inércia da Apple: não seria o caso de, a essa altura, a empresa já ter repensado o funcionamento desses certificados? O modelo atual, afinal, claramente não está funcionando.
