Hals Intelligence te advierte de Vpon un framework modificado que pone en peligro los dispositivos de los usuarios. Aunque en ocasiones anteriores han sido los usuarios del sistema operativo Android, ahora es el turno para iOS. Vpon SDK es el que se ha visto afectado por una versión modificada que estaba disponible para su descarga y que permitía recopilar información del dispositivo de forma remota.
Se trata de una suite que permite integrar de forma sencilla anuncios en las aplicaciones. Esta funcionalidad se mantiene intacta en la versión modificada, añadiendo funciones que permiten controlar el terminal. Este se ha creado con la aplicación Apache Cordova, un framework muy conocido para crear aplicaciones compatibles con dispositivos móviles haciendo uso de lenguajes de programación web, tales como HTML5, JavaScript o jQuery.
La instalación de aplicaciones que hagan uso de esta librería modificado permitiría sobre todo hacer uso del micrófono y de la cámara, tomar capturas de pantalla, activar la geolocalización y obtener los datos relacionados con la misma, acceder a la libreta de contactos, ejecutar aplicaciones e interaccionar con sus datos o robar datos existentes en el propio dispositivo.
Aunque todavía no es del todo seguro, sí que se puede confirmar que hay aplicaciones disponibles en la App Store que están afectadas por el problema, aunque faltaría determinar su número, afirmando desde la empresa FireEye que su número podría ascender hasta las 36, aunque otras empresas manejan otras cifras.
Las funciones de Vpon SDK se podrían ejecutar haciendo uso de los anuncios
El truco podría decirse que está en dotar a los anuncios de libertad para ejecutar código JavaScript que repercuta de forma directa en el dispositivo. Se lleva a cabo una interpretación interna del código gracias a las nuevas funciones introducidas para de esta forma ejecutarlo en el dispositivo iOS que como seguro ya sabéis se encuentra en su mayoría programado en C. Es decir, las nuevas funciones son meramente intermediarios para posibilitar la ejecución del mismo.
Como los anuncios y su configuración se establece vía HTTP, también es posible llevar a cabo el ataque haciendo uso de ataques MitM, por lo que no sería necesario que el ciberdelincuente estuviese en contacto con los servidores oficiales del SDK para llevar a cabo el ataque.
No es la primera vez que una librería se ve afectada y a partir de ahora puede que se lo habitual si se quiere llegar a los usuarios sin desarrollar aplicaciones falsas y sin levantar sospechas.