Apple-chefer berättade inte för användarna om ett hack på 128 miljoner iPhones 2015, enligt en ny rapport.
Hacket avslöjades först när Apple-anställda började titta på skadliga App Store-appar, enligt Ars Technica. Så småningom hittade företaget 2 500 skadliga appar som hade laddats ner 203 miljoner gånger.
Nyheter om att Apple kände till hackningen kom nyligen under Epic Games pågående rättegång. Ett mejl som inkom i domstolen visar att chefer var medvetna om problemet. "…På grund av det stora antalet kunder som kan påverkas, vill vi skicka ett e-postmeddelande till dem alla?" Matthew Fischer, vice vd för App Store, skrev i mejlet. Hacken offentliggjordes dock aldrig av Apple.
De skadliga apparna utvecklades med en förfalskad kopia av Apples apputvecklingsverktyg för iOS och OS X, Xcode. Den falska programvaran placerade skadlig kod vid sidan av vanliga appfunktioner.
När koden väl hade installerats, gled iPhones utom kontroll av sina ägare. Iphonen kommunicerade med en fjärrserver och avslöjade enhetsinformation, inklusive den infekterade appens namn, app-paketets identifierare, nätverksinformation, enhetens "identifierare för leverantör" och enhetsnamn, typ och unik identifierare, rapporterade Ars Technica.
Observatörer var kritiska till Apples beslut att inte informera användarna om hacket.
De verkar vara rädda för allmänhetens upprördhet och motreaktioner mer än att stå upp och berätta för kunderna om de potentiella riskerna.
"Nyckeln här för Apple är att tydligt beskriva effekten för slutanvändaren och inte bara skicka ut en teknisk varning och uppdatering som är inbäddad i deras release notes," Setu Kulkarni, vice VD på cybersäkerhetsföretaget WhiteHat Security, sa i en e-postintervju.
Hacken belyser potentiella säkerhetsproblem med appar, sa Dirk Schrader, vice VD på cybersäkerhetsföretaget New Net Technologies, i en e-postintervju.
"Båda stora appbutiker, Googles Play Store, såväl som Apples, är i grunden en stor distributionsplattform för skadlig programvara om den inte hanteras väl", tillade han. "Det e-postmeddelandet, och Apples beslut att inte informera kunder och allmänheten, visar vad det betyder. De verkar vara rädda för allmänhetens upprördhet och motreaktioner mer än att stå upp och berätta för kunderna om de potentiella riskerna."
