Mais de 250 Apps iOS listados na App Store da Apple encontrados coletando dados de usuários

Pesquisadores encontram mais de 250 Apps listados na App Store da Apple coletando dados de usuários

Apps feitos com o Youmi SDK foram encontrados coletando uma quantidade massiva de dados, custando aos usuários centenas de dólares, conforme descoberto por pesquisadores. Youmi é um provedor de publicidade móvel baseado na China, cujo kit de desenvolvimento de software (SDK) usa APIs privadas para coletar informações de usuários e dispositivos, de acordo com os pesquisadores da SourceDNA.

Apps com Youmi SDK foram encontrados listados, embora a Apple proíba explicitamente os desenvolvedores de aplicativos de fazer suas aplicações chamarem APIs privadas. A Apple normalmente detecta esse tipo de comportamento quando o aplicativo é enviado para aprovação para ser incluído na App Store.

De acordo com a empresa de análise de segurança SourceDNA, que alertou a Apple sobre esse problema, cerca de 250+ aplicativos com um total estimado de 1 milhão de downloads foram construídos sobre o SDK problemático.
“As versões mais antigas [do SDK] não chamam APIs privadas, então os 142 aplicativos que as possuem estão ok. Mas quase dois anos atrás, acreditamos que os desenvolvedores do Youmi começaram a experimentar a ofuscação de uma chamada para obter o nome do aplicativo em primeiro plano,” observaram os pesquisadores da SourceDNA.

De acordo com os pesquisadores, uma vez que os Apps passaram pela revisão, começaram a adicionar os seguintes comportamentos, tornando os aplicativos capazes de enumerar a lista de aplicativos instalados ou obter o nome do aplicativo em primeiro plano, obter o número de série da plataforma, enumerar dispositivos e obter números de série de periféricos, e obter o AppleID do usuário (e-mail).

“Eles também usam a mesma ofuscação para esconder chamadas para recuperar o ID de publicidade, que é permitido para rastrear cliques em anúncios, mas podem estar usando para outros fins, já que se deram ao trabalho de ofuscar isso,” afirmaram os pesquisadores.

A Apple já foi informada sobre os SDKs do Youmi e seu processo de verificação de aplicativos falho pela Universidade de Purdue. Um grupo de pesquisadores da Universidade de Purdue, Indiana, descobriu o mesmo padrão e o atribuiu ao Youmi SDK. Eles também propuseram um novo sistema de verificação de aplicativos iOS que deve detectar esse tipo de ataque.

Tomando medidas com base nas descobertas da SourceDNA e da Universidade de Purdue, a Apple já removeu um número não especificado de aplicativos da App Store após essa descoberta.

“Identificamos um grupo de aplicativos que estão usando um SDK de publicidade de terceiros, desenvolvido pela Youmi, um provedor de publicidade móvel, que usa APIs privadas para coletar informações privadas, como endereços de e-mail de usuários e identificadores de dispositivos, e direcionar dados para o servidor da empresa. Isso é uma violação de nossas diretrizes de segurança e privacidade,” afirmou a empresa.

“Os aplicativos que usam o SDK do Youmi serão removidos da App Store e quaisquer novos aplicativos submetidos à App Store usando esse SDK serão rejeitados. Estamos trabalhando em estreita colaboração com os desenvolvedores para ajudá-los a obter versões atualizadas de seus aplicativos que sejam seguras para os clientes e em conformidade com nossas diretrizes de volta à App Store rapidamente.”

Mais provável do que não, os desenvolvedores desses aplicativos removidos nem estavam cientes do fato de que seus aplicativos estavam extraindo essas informações e enviando-as para os criadores do SDK.