Oltre 250 app iOS elencate nell'App Store di Apple trovate a raccogliere dati degli utenti

I ricercatori trovano più di 250 app elencate nell’App Store di Apple che raccolgono dati degli utenti

Le app realizzate utilizzando il Youmi SDK sono state trovate a raccogliere enormi quantità di dati, costando agli utenti centinaia di dollari, come scoperto dai ricercatori. Youmi è un fornitore di pubblicità mobile con sede in Cina il cui kit di sviluppo software (SDK) utilizza API private per raccogliere informazioni sugli utenti e sui dispositivi, secondo i ricercatori di SourceDNA.

Le app con Youmi SDK sono state trovate elencate anche se Apple vieta esplicitamente agli sviluppatori di app di far chiamare API private alle loro app. Apple normalmente rileva questo tipo di comportamento quando l’app viene inviata per approvazione per essere inclusa nell’App Store.

Secondo la società di analisi della sicurezza SourceDNA, che ha avvisato Apple di questo problema, circa 250+ app con un totale stimato di 1 milione di download sono state costruite sul problematico SDK.
“Le versioni più vecchie [dello SDK] non chiamano API private, quindi le 142 app che le hanno sono a posto. Ma quasi due anni fa, crediamo che gli sviluppatori di Youmi abbiano iniziato a sperimentare con l’oscuramento di una chiamata per ottenere il nome dell’app in primo piano,” hanno osservato i ricercatori di SourceDNA.

Secondo i ricercatori, una volta che le app hanno superato la revisione, hanno iniziato ad aggiungere i seguenti comportamenti, rendendo le app capaci di enumerare l’elenco delle app installate o ottenere il nome dell’app in primo piano, ottenere il numero di serie della piattaforma, enumerare i dispositivi e ottenere i numeri di serie delle periferiche, e ottenere l’AppleID dell’utente (email).

“Utilizzano anche lo stesso oscuramento per nascondere le chiamate per recuperare l’ID pubblicitario, che è consentito per il tracciamento dei clic sugli annunci, ma potrebbero usarlo per altri scopi poiché si sono presi la briga di oscurarlo,” hanno dichiarato i ricercatori.

Apple è già stata informata riguardo agli SDK di Youmi e al suo difettoso processo di verifica delle app da parte della Purdue University. Un gruppo di ricercatori della Purdue University, Indiana, ha scoperto lo stesso schema e lo ha attribuito allo SDK di Youmi. Hanno anche proposto un nuovo sistema di verifica delle applicazioni iOS che dovrebbe rilevare questo tipo di attacco.

In seguito alle scoperte di SourceDNA e della Purdue University, Apple ha già rimosso un numero non specificato di app dall’App Store dopo questa scoperta.

“Abbiamo identificato un gruppo di app che utilizzano un SDK pubblicitario di terze parti, sviluppato da Youmi, un fornitore di pubblicità mobile, che utilizza API private per raccogliere informazioni private, come indirizzi email degli utenti e identificatori dei dispositivi, e instradare i dati al server della sua azienda. Questa è una violazione delle nostre linee guida sulla sicurezza e sulla privacy,” ha dichiarato l’azienda.

“Le app che utilizzano lo SDK di Youmi saranno rimosse dall’App Store e qualsiasi nuova app inviata all’App Store utilizzando questo SDK sarà rifiutata. Stiamo lavorando a stretto contatto con gli sviluppatori per aiutarli a ottenere versioni aggiornate delle loro app che siano sicure per i clienti e conformi alle nostre linee guida per tornare rapidamente nell’App Store.”

È probabile che gli sviluppatori di queste app rimosse non fossero nemmeno a conoscenza del fatto che le loro app stessero estraendo queste informazioni e inviandole ai creatori dello SDK.