Plus de 250 applications iOS répertoriées sur l'App Store d'Apple ont été trouvées en train de siphonner des données utilisateur

Les chercheurs trouvent plus de 250 applications répertoriées sur l’App Store d’Apple siphonnant des données utilisateur

Des applications créées avec le SDK Youmi ont été trouvées en train de siphonner une quantité massive de données coûtant aux utilisateurs des centaines de dollars, selon des chercheurs. Youmi est un fournisseur de publicité mobile basé en Chine dont le kit de développement logiciel (SDK) utilise des API privées pour recueillir des informations sur les utilisateurs et les appareils, selon les chercheurs de SourceDNA.

Des applications avec le SDK Youmi ont été trouvées sur la liste bien qu’Apple interdise explicitement aux développeurs d’applications de faire appel à des API privées. Apple repère normalement ce genre de comportement lorsque l’application est soumise pour approbation afin d’être incluse dans l’App Store.

Selon la société d’analyse de sécurité SourceDNA, qui a alerté Apple à propos de ce problème, plus de 250 applications avec un total estimé à 1 million de téléchargements ont été construites sur le SDK problématique.
« Les anciennes versions [du SDK] n’appellent pas d’API privées, donc les 142 applications qui les ont sont correctes. Mais il y a presque deux ans, nous croyons que les développeurs de Youmi ont commencé à expérimenter l’obfuscation d’un appel pour obtenir le nom de l’application au premier plan », ont noté les chercheurs de SourceDNA.

Selon les chercheurs, une fois que les applications ont passé la révision, elles ont commencé à ajouter les comportements suivants, rendant les applications capables d’énumérer la liste des applications installées ou d’obtenir le nom de l’application au premier plan, d’obtenir le numéro de série de la plateforme, d’énumérer les appareils et d’obtenir les numéros de série des périphériques, et d’obtenir l’AppleID de l’utilisateur (email).

« Elles utilisent également la même obfuscation pour cacher les appels pour récupérer l’ID publicitaire, ce qui est autorisé pour le suivi des clics sur les publicités, mais elles peuvent l’utiliser à d’autres fins puisqu’elles ont pris la peine d’obfusquer cela », ont déclaré les chercheurs.

Apple a déjà été informé des SDK Youmi et de son processus de validation d’applications défectueux par l’Université Purdue. Un groupe de chercheurs de l’Université Purdue, dans l’Indiana, a découvert le même schéma et l’a attribué au SDK Youmi. Ils ont également proposé un nouveau système de validation d’applications iOS qui devrait détecter ce type d’attaque.

Agissant sur les résultats de SourceDNA et de l’Université Purdue, Apple aurait déjà retiré un nombre non spécifié d’applications de l’App Store suite à cette découverte.

« Nous avons identifié un groupe d’applications utilisant un SDK publicitaire tiers, développé par Youmi, un fournisseur de publicité mobile, qui utilise des API privées pour recueillir des informations privées, telles que les adresses email des utilisateurs et les identifiants des appareils, et acheminer des données vers son serveur d’entreprise. Cela constitue une violation de nos directives de sécurité et de confidentialité », a déclaré la société.

« Les applications utilisant le SDK de Youmi seront retirées de l’App Store et toutes les nouvelles applications soumises à l’App Store utilisant ce SDK seront rejetées. Nous travaillons en étroite collaboration avec les développeurs pour les aider à obtenir des versions mises à jour de leurs applications qui sont sûres pour les clients et conformes à nos directives afin de les remettre rapidement dans l’App Store. »

Il est très probable que les développeurs de ces applications retirées n’étaient même pas au courant du fait que leurs applications extrayaient ces informations et les envoyaient aux créateurs du SDK.