Esto abre una puerta enorme a posibles abusos o intenciones maliciosas por parte de otros usuarios, al igual que un gran riesgo de seguridad. La técnica es una variación del parcheo en caliente que se desarrolló para solucionar bugs dinámicamente en un sistema o aplicación sin tener que reiniciarlo. En este caso, una aplicación iOS se actualiza sin que el desarrollador tenga que enviar una nueva versión a la tienda oficial de iOS y esperar el proceso de revisión de Apple.
Figura 1: JSPatch para iOS
El proyecto de código abierto JSPatch proporciona un motor para que los desarrolladores de aplicaciones puedan integrar en sus aplicaciones, lo que se llama puentes de códigos Javascript para Objective-C. Por ejemplo, después de añadir el motor JSPatch a su aplicación, se requieren sólo 7 líneas de código, los desarrolladores pueden configurar la aplicación para cargar siempre el código Javascript desde un servidor remoto. Este código es interpretado por el motor JSPatch y convertido a Objective-C.
El problema es que los parches en caliente están totalmente desalineados con el modelo de seguridad de iOS, que se basa en la revisión por parte de Apple del código. Estaremos atentos a todo lo que ocurra, y a la posible aparición de malware que se aproveche de los parches en caliente.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...