Более 250 приложений iOS, перечисленных в App Store Apple, обнаружены, собирающими данные пользователей

Исследователи обнаружили более 250 приложений, перечисленных в App Store Apple, собирающими данные пользователей

Приложения, созданные с использованием Youmi SDK, были обнаружены, собирающими огромное количество данных, что стоило пользователям сотни долларов. Youmi — это китайский поставщик мобильной рекламы, чей набор средств разработки программного обеспечения (SDK) использует закрытые API для сбора информации о пользователях и устройствах, согласно исследователям SourceDNA.

Приложения с Youmi SDK были обнаружены в списке, хотя Apple явно запрещает разработчикам приложений делать так, чтобы их приложения вызывали закрытые API. Apple обычно обнаруживает такое поведение, когда приложение подается на утверждение для включения в App Store.

Согласно компании по аналитике безопасности SourceDNA, которая уведомила Apple об этой проблеме, более 250 приложений с оценочным общим количеством 1 миллиона загрузок были созданы на проблемном SDK.
“Старые версии [SDK] не вызывают закрытые API, поэтому 142 приложения, которые их имеют, в порядке. Но почти два года назад, как мы полагаем, разработчики Youmi начали экспериментировать с обфускацией вызова для получения имени приложения на переднем плане,” отметили исследователи SourceDNA.

Согласно исследователям, как только приложения прошли проверку, они начали добавлять следующее поведение и сделали приложения способными перечислять список установленных приложений или получать имя приложения на переднем плане, получать серийный номер платформы, перечислять устройства и получать серийные номера периферийных устройств, а также получать AppleID пользователя (электронную почту).

“Они также используют ту же обфускацию, чтобы скрыть вызовы для получения идентификатора рекламы, который разрешен для отслеживания кликов по рекламе, но они могут использовать его для других целей, так как они потратили время на обфускацию этого,” заявили исследователи.

Apple уже проинформировала о Youmi SDK и его недостаточном процессе проверки приложений, проведенном Университетом Пердью. Группа исследователей из Университета Пердью, штат Индиана, обнаружила ту же схему и отнесла ее к Youmi SDK. Они также предложили новую систему проверки приложений iOS, которая должна обнаруживать этот тип атаки.

В ответ на выводы SourceDNA и Университета Пердью, Apple, как сообщается, уже удалила неопределенное количество приложений из App Store после этого открытия.

“Мы идентифицировали группу приложений, которые используют сторонний рекламный SDK, разработанный Youmi, поставщиком мобильной рекламы, который использует закрытые API для сбора личной информации, такой как адреса электронной почты пользователей и идентификаторы устройств, и перенаправляет данные на сервер своей компании. Это нарушение наших руководящих принципов безопасности и конфиденциальности,” заявила компания.

“Приложения, использующие SDK Youmi, будут удалены из App Store, и любые новые приложения, поданные в App Store с использованием этого SDK, будут отклонены. Мы тесно сотрудничаем с разработчиками, чтобы помочь им быстро получить обновленные версии своих приложений, которые безопасны для клиентов и соответствуют нашим руководящим принципам, обратно в App Store.”

Скорее всего, разработчики этих удаленных приложений даже не подозревали о том, что их приложения извлекают эту информацию и отправляют ее создателям SDK.