Webs asiáticas popularizan un método para descargar aplicaciones pirata en iPhone y iPad sin recurrir al 'jailbreak'

    • Los terminales con iOS6, que no permiten 'jailbreak', pueden ejecutar 'apps' no oficiales.
    • Los sistemas asocian firmas válidas a las aplicaciones para que el terminal no las rechace.

Webs asiáticas popularizan un método para descargar 'apps' pirata en terminales Apple sin recurrir al 'jailbreak'
Webs asiáticas popularizan un método para descargar 'apps' pirata en terminales Apple sin recurrir al 'jailbreak'
lainformacion.com
David G. Ortiz
David G. Ortiz

Por cada agujero que Apple cierra, los 'hackers' encuentran dos boquetes. La firma de la manzana mordida y la enorme comunidad de desarrolladores que trabajan produciendo 'apps' para su sistema operativo móvil estaban de enhorabuena: nadie ha encontrado una forma de obtener un 'jailbreak untethered' para los dispositivos con procesador A5 (que corren iOS 6 de serie) y uno de los servicios más conocidos para obtener software pirata en dispositivos desbloqueados, Installous, echó el cierre a finales de 2012.

Pero el juego del gato y el ratón, como Steve Jobs se refería a esta carrera entre los expertos en seguridad de su compañía y los que se esforzaban por abrir brechas, está viviendo un nuevo episodio en las últimas semanas con la popularización de dos métodos de origen asiático para instalar aplicaciones 'no oficiales' sin necesidad de 'jailbreak'. Es decir, un sistema que funciona en todos los modelos de móviles y tabletas de la firma de la manzana mordida, iPhone 5, iPad Mini y iPad 4 incluidos.

Los terminales de Apple, en condiciones normales, ejecutan exclusivamente las aplicaciones firmadas por la compañía, que llevan asociada una protección DRM de forma permanente. Cuando el usuario arranca el programa, el sistema realiza una comprobación. Si la protección hubiera sido eliminada, la firma de la aplicación se invalida y la 'app' no se inicia. Ahí es donde entra el famoso 'jailbreak', que desactiva este proceso.

Dos cerrajeros distintos para un mismo candado

El primero de los sistemas que permiten descagar y ejecutar aplicaciones pirata sin necesidad de 'jailbreak' es Zeusmos, cuya página web no se encuentra disponible en el momento de escribir esta noticia. No obstante, lleva varios meses en funcionamiento y ha experimentado un fuerte incremento de usuarios tras el cierre de Installous.

El servicio es gratuito para dispositivos con 'jailbreak', pero cobra 15 euros a los usuarios que no hayan efectuado o no puedan efectuar el desbloqueo. El precio cubre, en principio, el uso de los servidores y el soporte técnico, pero también las firmas de las 'apps', cuya comercialización es completamente ilegal y viene siendo perseguida por Apple desde hace años.

No está claro cómo hace Zeusmos para saltarse la restricción del DRM, pero se conoce en líneas generales la cadena de acontecimientos. Cuando el usuario escoge la aplicación que quiere descargarse, un software instalado en el servidor de la web y conocido como InstaSign le asocia una firma (con fecha de caducidad de un año) que permite al usuario descargarla y posteriormente ejecutarla en su terminal.

¿Y de dónde sale esa firma? Podría provenir de las certificaciones que Apple otorga a los desarrolladores de 'apps' y que estos no tienen permitido traspasar a terceros. The Next Web afirma haber encontrado conexiones entre Zeusmos y UDIDRegistrations.com, una web dedicada a la reventa de firmas para desarrolladores. En ese supuesto, podrían estar burlando la seguridad de iOS eliminando el DRM de las 'apps' y empleando esas licencias para que la comprobación no dé un resultado negativo.

¡Pero si la 'app' es siempre la misma!

El sitio chino Kuaiyong (completamente gratuito) ofrece un servicio similar para instalar 'apps' pirata sin 'jailbreak'. Lo curioso es que en este caso, según informa The Next Web, miles de usuarios descargan exactamente la misma copia de la aplicación, con las mismas credenciales, algo que recuerda al mecanismo del programa para empresas de Apple.

La firma de la manzana mordida, tras efectuar minuciosas investigaciones, ofrece a determinados clientes corporativos la posibilidad de firmar aplicaciones saltándose la revisión imprescindible para su venta en la App Store. Dicho privilegio se concede con cuentagotas, y siempre bajo el compromiso de que las 'apps' firmadas por este procedimiento no saldrán del ámbito interno de la empresa.

Algunos expertos en seguridad especulan que Kuaiyong podría estar haciendo un uso ilícito de esta clase de certificados, pero otras fuentes, como los expertos de la web Heise Security, han analizado las 'apps' sin encontrar indicio alguno que apoye esta teoría. El mecanismo no está claro, pero ya han surgido varios clones en la Red.

Mucho cuidado con lo que hacemos

Es importante entender esto: cualquier aplicación que te descargues tiene acceso potencial a datos de tu dispositivo que no quieres ver en manos de terceros con moral dudosa. Además, estos sistemas permiten expandir virus y otro 'malware' con una facilidad nunca antes vista en el sistema operativo móvil de Apple. Podrían recoger información o incluso registrar cada paso que dé tu móvil.

Expertos en seguridad informática alertan también de la posibilidad, para nada remota, de que estos sistemas estén empleando licencias robadas o que incluso estén financiando las licencias con las que firman las aplicaciones por medio de algún tipo de fraude en el que tu tarjeta de crédito podría acabar viéndose implicada.

Mostrar comentarios