Como todos sabemos, la App Store de iOS es un bonito jardín vallado controlado por Apple, con estrictas reglas para los desarrolladores, que garantizan que las Apps que podemos descargar desde esta tienda online son totalmente seguras. Sin embargo, ellos no son perfectos, y en ocasiones algún desarrollador con pocos escrúpulos consigue colar una App cuyo objetivo es, directamente, estafar a los usuarios que la descargan. La inmensa mayoría de desarrolladores siguen las reglas y no tienen malas intenciones, pero una muy pequeña minoría mancha en algunas ocasiones la reputación de este colectivo. En este artículo te explicamos cómo un desarrollador malintencionado ha conseguido colar una estafa en la App Store. Es el caso de la App iHeart Rate.
En este caso, lo que ha ocurrido exactamente es que esta App, que supuestamente mide el ritmo cardíaco utilizando el flash de la cámara al poner el dedo encima de la lente como ya hemos visto en muchos otros casos, reducía el brillo de la pantalla al máximo al tiempo que mostraba el aviso de pago integrado, casi invisible debido a la falta de brillo. El mensaje de sistema pedía un pago de 90 dólares que hay que autorizar con Touch ID, poniendo el dedo sobre el botón Home. Como sabemos, Touch ID es rapidísimo, así que tan pronto el usuario ponía el dedo sobre el botón, se autorizaba ese pago sin más, y generalmente sin que el usuario se diera cuenta de lo que había pasado, por supuesto, hasta que llegaba la factura.
La App ya ha sido retirada de la App Store, pero el desarrollador Guilherme Rambo ha encontrado en el código fuente de la misma una lista de IPs de las oficinas de Apple… justo las oficinas en donde hacen las evaluaciones de las Apps. Dicho de otra manera, la App tenía mecanismos para saber si estaba funcionando en las oficinas de Apple y, si ese era el caso, esconder su verdadero objetivo. Cuando se conecta desde una dirección ajena a todas las de esa lista, el resultado es el intento de estafa.
Está claro que en Apple tienen que mejorar sus métodos de pruebas de Apps con direcciones IP que no sean conocidas externamente, o directamente, sin utilizar un iPhone o iPad conectado a una red Wi-Fi, sino a su red de telefonía móvil, en cuyo caso la IP es mucho más difícil de adscribir a un lugar determinado. Así, se podría haber evitado que una App así se hubiera colado en la App Store. Otro de los problemas que tienen en las revisiones de Apple es que hay que revisar los pagos integrados, pero la cuantía de los mismos puede cambiar después de la revisión, cuando la App ya está publicada en la App Store. Por ejemplo se puede pasar la prueba con un pago de 99 céntimos, y luego, subirlo a 90 dólares una vez que está publicada sin que eso suponga ningún problema para Apple… al menos por ahora. Casos como este probablemente les hará replantearse este tipo de casos en los que un desarrollador malintencionado, puede hacer daño.