Über 250 iOS-Apps im App Store von Apple entdeckt, die Benutzerdaten sammeln

Forscher finden mehr als 250 Apps im App Store von Apple, die Benutzerdaten sammeln

Apps, die mit dem Youmi SDK erstellt wurden, wurden von Forschern entdeckt, die massive Datenmengen sammeln und den Nutzern Hunderte von Dollar kosten. Youmi ist ein in China ansässiger Anbieter von mobiler Werbung, dessen Software Development Kit (SDK) private APIs verwendet, um Benutzer- und Geräteinformationen zu sammeln, so die Forscher von SourceDNA.

Apps mit Youmi SDK wurden gefunden, obwohl Apple Entwicklern ausdrücklich untersagt, private APIs in ihren Apps zu verwenden. Apple erkennt normalerweise solches Verhalten, wenn die App zur Genehmigung eingereicht wird, um im App Store aufgenommen zu werden.

Laut der Sicherheitsanalysefirma SourceDNA, die Apple auf dieses Problem aufmerksam gemacht hat, wurden über 250 Apps mit geschätzten insgesamt 1 Million Downloads auf dem problematischen SDK entwickelt.
„Die älteren Versionen [des SDK] rufen keine privaten APIs auf, daher sind die 142 Apps, die sie haben, in Ordnung. Aber vor fast zwei Jahren glauben wir, dass die Youmi-Entwickler damit begonnen haben, einen Aufruf zur Abfrage des vordersten App-Namens zu obfuscieren“, bemerkten die Forscher von SourceDNA.

Laut den Forschern, nachdem die Apps die Überprüfung bestanden hatten, begannen sie, die folgenden Verhaltensweisen hinzuzufügen und machten die Apps fähig, die Liste der installierten Apps aufzulisten oder den vordersten App-Namen zu erhalten, die Plattform-Seriennummer abzurufen, Geräte aufzulisten und Seriennummern von Peripheriegeräten zu erhalten sowie die AppleID des Benutzers (E-Mail) zu erhalten.

„Sie verwenden auch die gleiche Obfuskation, um Aufrufe zum Abrufen der Werbe-ID zu verbergen, die für die Verfolgung von Anzeigenklicks zulässig ist, aber sie könnten sie für andere Zwecke verwenden, da sie sich die Mühe gemacht haben, dies zu obfuscieren“, erklärten die Forscher.

Apple hat bereits über die Youmi SDKs und seinen fehlerhaften App-Prüfungsprozess durch die Purdue University informiert. Eine Gruppe von Forschern der Purdue University in Indiana entdeckte dasselbe Muster und führte es auf das Youmi SDK zurück. Sie schlugen auch ein neues iOS-Anwendungsgenehmigungssystem vor, das diesen Typ von Angriff erkennen sollte.

In Reaktion auf die Erkenntnisse von SourceDNA und der Purdue University hat Apple Berichten zufolge bereits eine unbestimmte Anzahl von Apps aus dem App Store entfernt, nachdem diese Entdeckung gemacht wurde.

„Wir haben eine Gruppe von Apps identifiziert, die ein Drittanbieter-Werbe-SDK verwenden, das von Youmi, einem Anbieter mobiler Werbung, entwickelt wurde, das private APIs verwendet, um private Informationen wie Benutzer-E-Mail-Adressen und Gerätekennungen zu sammeln und Daten an den Server des Unternehmens weiterzuleiten. Dies verstößt gegen unsere Sicherheits- und Datenschutzrichtlinien“, erklärte das Unternehmen.

„Die Apps, die Youmis SDK verwenden, werden aus dem App Store entfernt, und alle neuen Apps, die mit diesem SDK im App Store eingereicht werden, werden abgelehnt. Wir arbeiten eng mit Entwicklern zusammen, um ihnen zu helfen, aktualisierte Versionen ihrer Apps, die sicher für Kunden sind und unseren Richtlinien entsprechen, schnell wieder in den App Store zu bringen.“

Wahrscheinlich waren die Entwickler dieser entfernten Apps sich nicht einmal bewusst, dass ihre Apps diese Informationen extrahierten und an die Ersteller des SDK sendeten.