Aplicaciones bancarias vietnamitas sorprendidas usando APIs privadas de iOS para espiar a los usuarios
Dos aplicaciones bancarias vietnamitas populares, BIDV SmartBanking y Agribank Plus, han sido descubiertas usando APIs privadas ocultas de iOS para detectar otras aplicaciones instaladas en los iPhones de los usuarios. Investigadores de seguridad descubrieron que las aplicaciones, desarrolladas por VNPay, utilizan un software comercial de protección de aplicaciones móviles y un código personalizado llamado "VNPay Runtime Protection". Este código explota una vulnerabilidad de canal lateral en una API privada de iOS para identificar aplicaciones y usa un cifrado XOR débil para ocultar cadenas de API. Esto viola las políticas de la App Store de Apple y corre el riesgo de eliminación de la aplicación, afectando a millones de usuarios. El incidente no tiene relación con una solución de seguridad móvil, BShield.
Leer más