250개 이상의 iOS 앱이 Apple의 App Store에서 사용자 데이터를 수집하고 있음

연구자들이 Apple의 App Store에 나열된 250개 이상의 앱이 사용자 데이터를 수집하고 있음을 발견

Youmi SDK를 사용하여 제작된 앱들이 사용자에게 수백 달러의 비용을 초래하는 대량의 데이터를 수집하고 있는 것으로 연구자들에 의해 발견되었습니다. Youmi는 중국에 본사를 둔 모바일 광고 제공업체로, 소프트웨어 개발 키트(SDK)는 SourceDNA 연구자들에 따르면 사용자 및 장치 정보를 수집하기 위해 비공식 API를 사용합니다.

Youmi SDK가 포함된 앱들은 Apple이 앱 개발자에게 비공식 API를 호출하는 앱을 만들지 못하도록 명시적으로 금지하고 있음에도 불구하고 나열된 것으로 확인되었습니다. Apple은 일반적으로 앱이 App Store에 포함되기 위해 승인 요청을 제출할 때 이러한 행동을 감지합니다.

보안 분석 회사 SourceDNA에 따르면, 이 문제를 Apple에 알린 결과, 약 250개 이상의 앱이 문제가 있는 SDK를 기반으로 구축되었으며, 총 다운로드 수는 약 100만 건에 달합니다.
“[SDK의] 이전 버전은 비공식 API를 호출하지 않으므로, 이를 사용하는 142개 앱은 괜찮습니다. 하지만 거의 2년 전, Youmi 개발자들이 최상위 앱 이름을 가져오는 호출을 난독화하는 실험을 시작했다고 믿고 있습니다.”라고 SourceDNA 연구자들은 언급했습니다.

연구자들에 따르면, 앱이 검토를 통과한 후, 다음과 같은 행동을 추가하기 시작했으며, 설치된 앱 목록을 나열하거나 최상위 앱 이름을 가져오고, 플랫폼 일련 번호를 가져오고, 장치를 나열하고 주변 장치의 일련 번호를 가져오며, 사용자의 AppleID(이메일)를 가져오는 기능을 갖추게 되었습니다.

“그들은 또한 광고 클릭 추적을 위해 허용되는 광고 ID를 검색하는 호출을 숨기기 위해 동일한 난독화를 사용하지만, 이를 난독화할 정도로 수고를 들였기 때문에 다른 목적으로 사용하고 있을 가능성이 있습니다.”라고 연구자들은 밝혔습니다.

Apple은 이미 Purdue University에 의해 Youmi SDK와 결함이 있는 앱 심사 프로세스에 대해 통보했습니다. 인디애나주 퍼듀 대학교의 연구자 그룹은 동일한 패턴을 발견하고 이를 Youmi SDK에 귀속시켰습니다. 그들은 또한 이러한 유형의 공격을 감지할 수 있는 새로운 iOS 애플리케이션 심사 시스템을 제안했습니다.

SourceDNA와 Purdue University의 발견에 따라, Apple은 이 발견 이후 App Store에서 불특정 수의 앱을 이미 제거한 것으로 보고되었습니다.

“우리는 사용자 이메일 주소 및 장치 식별자와 같은 개인 정보를 수집하기 위해 비공식 API를 사용하는 Youmi라는 모바일 광고 제공업체가 개발한 제3자 광고 SDK를 사용하는 앱 그룹을 확인했습니다. 이는 우리의 보안 및 개인 정보 보호 지침을 위반하는 것입니다.”라고 회사는 밝혔습니다.

“유미의 SDK를 사용하는 앱은 App Store에서 제거될 것이며, 이 SDK를 사용하는 새로운 앱이 App Store에 제출되면 거부될 것입니다. 우리는 개발자들과 긴밀히 협력하여 고객에게 안전하고 우리의 지침을 준수하는 앱의 업데이트 버전을 신속하게 App Store에 다시 올릴 수 있도록 도와주고 있습니다.”

제거된 앱의 개발자들은 자신의 앱이 이 정보를 추출하여 SDK 제작자에게 전송하고 있다는 사실조차 인식하지 못했을 가능성이 높습니다.