TestFlight de Apple es una herramienta creada para ayudar a los desarrolladores a distribuir sus aplicaciones beta a los usuarios antes de que se publiquen en la App Store para todos.
Lamentablemente, los estafadores han estado usando la plataforma para distribuir apps maliciosas sin el conocimiento de Apple.
Según la empresa de seguridad Sophos una organización llamada «CryptoRom» ha estado distribuyendo aplicaciones de criptomonedas falsas a usuarios de iOS y Android.
Si bien es más fácil instalar aplicaciones fuera de Google Play en Android debido al proceso de carga lateral, los usuarios de iOS solo pueden descargar e instalar aplicaciones desde la App Store en teoría.
Desafortunadamente, los estafadores se dieron cuenta de que pueden usar una plataforma oficial de Apple (TestFlight) para crear y distribuir las mismas aplicaciones maliciosas a los usuarios de iPhone y iPad.
Con TestFlight, los desarrolladores pueden invitar hasta 10 mil testers para instalar sus aplicaciones beta, que no pasan por el proceso de revisión de la App Store, ya que la plataforma está diseñada para probar el software de versión preliminar.
Como resultado, Apple no tiene idea de que los estafadores están distribuyendo una aplicación maliciosa como una aplicación beta, y cualquier usuario de iOS con TestFlight instalado puede descargar la aplicación. El proceso de instalación de una aplicación a través de TestFlight es bastante sencillo, ya que el desarrollador puede incluso crear un enlace de descarga público en lugar de invitar a cada usuario con su correo electrónico.
El informe también revela que los estafadores también promocionan aplicaciones web maliciosas (que son sitios web que se pueden agregar a la pantalla de inicio de un dispositivo iOS para ejecutarse como aplicaciones) para eludir el proceso de revisión de la App Store.
Dado que cambiar el funcionamiento de TestFlight afectaría a los desarrolladores, Apple enfatiza que los usuarios pueden evitar las estafas al no descargar ni instalar ningún software de fuentes desconocidas, incluso si se distribuye a través de TestFlight.