250以上のiOSアプリがAppleのApp Storeにリストされており、ユーザーデータを収集していることが判明

研究者がAppleのApp Storeにリストされている250以上のアプリがユーザーデータを収集していることを発見

Youmi SDKを使用して作成されたアプリが、ユーザーに数百ドルのコストをかける大量のデータを収集していることが研究者によって発見されました。Youmiは、中国に拠点を置くモバイル広告プロバイダーで、そのソフトウェア開発キット（SDK）は、SourceDNAの研究者によると、ユーザーおよびデバイス情報を収集するためにプライベートAPIを使用しています。

Youmi SDKを使用したアプリは、Appleがアプリ開発者にプライベートAPIを呼び出すことを明示的に禁止しているにもかかわらず、リストされていることが判明しました。Appleは通常、アプリがApp Storeに含まれるための承認を申請する際に、この種の行動を見つけます。

セキュリティ分析会社SourceDNAによると、Appleにこの問題を警告したところ、推定100万回のダウンロードがある250以上のアプリが問題のあるSDKで構築されているとのことです。
「SDKの古いバージョンはプライベートAPIを呼び出さないため、それを持つ142のアプリは問題ありません。しかし、約2年前、Youmiの開発者が最前面のアプリ名を取得するための呼び出しを難読化する実験を始めたと考えています」とSourceDNAの研究者は述べました。

研究者によると、アプリがレビューを通過すると、次のような動作を追加し、インストールされたアプリのリストを列挙したり、最前面のアプリ名を取得したり、プラットフォームのシリアル番号を取得したり、デバイスを列挙して周辺機器のシリアル番号を取得したり、ユーザーのAppleID（メール）を取得できるようになりました。

「彼らはまた、広告クリックを追跡するために許可されている広告IDを取得する呼び出しを隠すために同じ難読化を使用していますが、これを難読化する手間をかけたため、他の目的で使用している可能性があります」と研究者は述べました。

AppleはすでにYoumi SDKとその欠陥のあるアプリ審査プロセスについて、パデュー大学から通知を受けています。インディアナ州のパデュー大学の研究者グループは、同じパターンを発見し、それをYoumi SDKに帰属させました。彼らはまた、この種の攻撃を検出する新しいiOSアプリケーション審査システムを提案しました。

SourceDNAとパデュー大学の調査結果に基づいて、Appleはこの発見に続いて、すでに不特定の数のアプリをApp Storeから削除したと報告されています。

「私たちは、ユーザーのメールアドレスやデバイス識別子などのプライベート情報を収集し、自社のサーバーにデータをルーティングするプライベートAPIを使用するYoumiが開発したサードパーティの広告SDKを使用しているアプリのグループを特定しました。これは私たちのセキュリティおよびプライバシーガイドラインに違反しています」と同社は述べました。

「YoumiのSDKを使用しているアプリはApp Storeから削除され、このSDKを使用して新たにApp Storeに提出されたアプリは拒否されます。私たちは、顧客に安全で、私たちのガイドラインに準拠したアプリの更新版を迅速にApp Storeに戻すために、開発者と密接に協力しています。」

削除されたアプリの開発者は、自分たちのアプリがこの情報を抽出し、SDKの作成者に送信していることを知らなかった可能性が高いです。