Исследователи из частной компании, занимающейся информационной безопасностью — Lookout, в этот понедельник сообщили, что одно из приложений злоупотребило корпоративным сертификатом iOS для, чтобы обойти правила, созданные Apple, обязательные к выполнению для размещения приложений на площадке App Store. Данное приложение называется Assistenza SIM. По заявлению интернет-издания TechCrunch, его главная проблема заключается в том, что оно может украсть контакты, видео, фотографии и даже данные о местоположении в режиме реального времени у пользователей, которые установили вышеуказанное приложение на своё устройство. Так же помимо всего вышеперечисленного Assistenza SIM также может даже удалённо прослушивать телефонные звонки людей.
После того, как исследователи из Lookout связались с руководством корпорации Apple, компания сразу же аннулировала корпоративный сертификат данного приложения, сделав невозможным его дальнейшую установку на устройства на базе операционной системы iOS. Сертификат предприятия позволил приложению Assistenza SIM обойти сертификацию Apple и оставаться доступным для загрузки через фишинговые сайты за пределами App Store.
Кроме того, более ранняя версия данного «шпионского» приложения так же была обнаружена на просторах магазина от Google в прошлом году. Версия этого приложения для операционной системы Android получила root-доступ к смартфонам огромного количества жертв, в связи с чем его разработчики могли получать полный доступ и информацию касательно паролей от Wi-Fi, а так же читать электронные письма пользователей и считывать данные из таких личных и конфиденциальных приложений, как Facebook, Gmail, WhatsApp, Viber и WeChat. Исследователи из Lookout в прошлом году также связались и с Google, после чего они начали вместе работать над удалением подобных приложений из Play Store.
Примечателен факт того, что приложения для обеих операционных систем замаскировались под приложения от итальянских и туркменских операторов мобильной связи. Изначально данные приложения претендовали на то, чтобы их использовали в качестве «телефона службы поддержки», которые пользователи могли устанавливать, чтобы моментально и без задержек связаться с операторами. Однако недавно выяснилось, что настоящим разработчиком был Connexxa, известный в узких кругах производитель шпионских программ.
К огромному сожалению это не единственное приложение, которое успешно воспользовалось данной лазейкой. Существует целый «подпольный рынок» незаконных приложений, которые используют нелегальные корпоративные сертификаты для того, чтобы «оставаться незамеченным радаром Apple». Подобные приложения предлагают различный пиратский контент, порно, азартные игры, а так же и все другие виды материалов, которые Apple, как правило, не пропускает на свою площадку App Store.