A Apple sempre defendeu o iOS com unhas e dentes. Por isso, sempre exaltou o alto controle e a segurança oferecidos pelo software. É verdade que a empresa adotou uma política de supervisão forte para a aprovação de aplicativos na App Store — foram mais de 2 milhões de aprovações com base em critérios rígidos.

Mesmo assim, nada é perfeito: já há algum tempo, sabe-se que é possível burlar esses processos — tanto pelo jailbreak quanto pelo uso indevido de certificados corporativos, que são projetados para grandes empresas distribuírem aplicativos internamente e permitem a instalação direta do software em um iPhone.

O aplicativo TutuApp engana a segurança da Apple como poucos. Trata-se de uma App Store falsificada que, até há pouco tempo, podia ser encontrada na própria App Store. Para usá-lo, porém, o usuário precisa estar disposto a entregar suas chaves de segurança e privacidade a uma entidade desconhecida. Nele, é possível encontrar republicações populares da Nintendo e versões pirateadas de outros aplicativos e vários tipos de spyware, malware e outros softwares disfarçados maliciosamente.

Na semana passada, a Reuters revelou que algumas empresas, como TutuApp, TweakBox e a agora extinta App Valley, distribuíam jogos pirateados e cópias sem anúncios do Spotify para iPhones. Tudo isso é feito abusando do programa de certificação da Apple — Facebook e Google fizeram isso com seus aplicativos VPN sugadores de dados.

Fazer o download do TutuApp burlando a App Store é realmente muito simples. Basta entrar no perfil do app no Twitter, escolher um tweet que esteja anunciando um app para iOS e clicar no link de Download.

A página do TutuApp fornece um QR Code e, ao escaneá-lo com a câmera do iPhone ou do iPad, uma aba com o passo a passo da instalação do aplicativo é aberta para o usuário no Safari. Simples assim. 

Reprodução

É importante enfatizar que a instalação de aplicativos desse tipo exige que o usuário entregue suas chaves de segurança e privacidade a uma entidade desconhecida — o que não é recomendável. O sinal de alerta para a Apple é a forma de uso dos certificados corporativos. Esse recurso foi projetado para empresas testarem aplicativos beta e distribuírem softwares de internet para funcionários. No entanto, ele tem sido usado para burlar a App Store e possibilitar a distribuição de apps que nunca seriam permitidos pela Apple se ela os revisasse previamente.

O jornalista Nick Statt, do The Verge, baixou o TutuApp para conferir seu funcionamento. “A vitrine do app é extremamente bem feita, não muito diferente da App Store. Ela contém até um sistema de classificação por estrelas e resenhas de usuários”, conta. “Lá, encontrei uma versão sem anúncios do Spotify, uma cópia gratuita do Minecraft para iOS (que custa US$ 6,99) e dezenas de jogos para celular baseados em PokémonOs Simpsons e outras franquias populares. (…) Uma versão pirata do PokémonGo, da Niantic, permite que se imite a própria localização para acessar partes do mundo em que não se está fisicamente e, assim, fraudar software para jogos populares como o Battle Royale Shooter PUBG Mobile“.

Reprodução

 A cada novo download pelo TutuApp, um certificado corporativo separado é instalado no aparelho. Eles têm o potencial de garantir ao desenvolvedor do aplicativo um controle mais direto sobre os dados disponíveis naquele telefone. O TutuApp não deixa claras quais permissões o usuário concede nesse processo.

Essas lojas de aplicativos geralmente ganham dinheiro com anúncios. Além desse app, o TweakBox e o Panda Helper oferecem “assinaturas VIP”: elas são gratuitas, mas têm jogos exclusivos e dão acesso a outros softwares difíceis de obter sem custo.

O proprietário médio do iPhone não procura softwares como o TutuApp. Ou seja, é razoável supor que a maioria dos usuários da Apple desconfiaria de um desenvolvedor que instala algo diretamente em seu dispositivo. Porém, não é improvável que haja adolescentes curiosos ou aqueles ansiosos para encontrar software pirata sem custo. Basta consultar o Google para achar a ‘solução’: o ponto fraco do iOS. Como o TutuApp passou praticamente despercebido pela Apple por tanto tempo é um mistério.

Em comunicado enviado pela empresa à Reuters na semana passada, ela diz que planeja ser mais proativa. “Desenvolvedores que abusam de nossos certificados corporativos violam o Contrato do Programa Apple Developer Enterprise e terão seus certificados cassados. Além disso, podem ser removidos do programa de desenvolvedores completamente”, disse um porta-voz da companhia. “Avaliamos continuamente os casos de uso indevido e estamos preparados para agir imediatamente.”

Além disso, a Apple planeja exigir a verificação das identidades de desenvolvedores com autenticação de dois fatores. Isso pode impedir que algumas entidades obscuras revendam seus certificados corporativos para softwares piratas.