Apps bancários vietnamitas flagrados usando APIs privadas do iOS para espionar usuários
Dois aplicativos bancários vietnamitas populares, BIDV SmartBanking e Agribank Plus, foram descobertos usando APIs privadas ocultas do iOS para detectar outros aplicativos instalados nos iPhones dos usuários. Pesquisadores de segurança descobriram que os aplicativos, desenvolvidos pela VNPay, utilizam um software comercial de proteção de aplicativos móveis e um código personalizado chamado "VNPay Runtime Protection". Este código explora uma vulnerabilidade de canal lateral em uma API privada do iOS para identificar aplicativos e usa uma criptografia XOR fraca para ocultar strings de API. Isso viola as políticas da App Store da Apple e corre o risco de remoção do aplicativo, afetando milhões de usuários. O incidente não tem relação com uma solução de segurança móvel, BShield.