セキュリティ分析スタートアップ企業SourceDNAの分析によると、App StoreにあるiPhone、iPod touch、iPad向けアプリケーション256個(大半は中国の開発者によるもの)が、電子メールアドレス、インストール済みアプリケーション、さらにはシリアル番号などの個人情報を収集し、Appleのプライバシーポリシーに違反していることが判明した。
さらに、明らかにAppleのApp Store編集チームの監視をすり抜けていた問題のあるアプリが、ユーザーを追跡するために使用できるその他の個人識別情報を収集していることが判明した。
「Appleが呼び出しを禁止しているプライベートAPIを介して個人を特定できるユーザー情報を抽出するアプリがApp Storeで数百件発見されました」とSourceDNAは警告している。
SourceDNAがiOSアプリがAppleの審査プロセスを回避しているのを確認したのは今回が初めてです。これらのアプリは、中国のYoumi広告SDKを組み込んでおり、プライベートAPIにアクセスしています。
次に、SDK は次の処理をサイレントに実行します。
- インストールされているアプリのリストを列挙するか、最前面のアプリ名を取得します
- プラットフォームのシリアル番号を取得する
- デバイスを列挙し、周辺機器のシリアル番号を取得する
- ユーザーのAppleID(メールアドレス)を取得する
ユーザー情報はアプリではなくYomのサーバーにアップロードされます。
Appleは次のような声明を発表しました。
モバイル広告プロバイダーであるYoumiが開発したサードパーティ製の広告SDKを使用しているアプリ群が確認されました。これらのアプリは、プライベートAPIを使用してユーザーのメールアドレスやデバイスIDなどの個人情報を収集し、自社サーバーにデータをルーティングしています。これは、当社のセキュリティおよびプライバシーに関するガイドラインに違反しています。
繰り返しになりますが、問題となっているアプリの大部分は中国の App Store を通じて配布されており、その 1 つに中国語話者向けのマクドナルドの公式アプリが含まれています。
Appleは、すでにこれらのアプリを販売から削除したと述べている。
YoumiのSDKを使用しているアプリはApp Storeから削除されました。このSDKを使用してApp Storeに提出された新規アプリはすべて却下されます。私たちは開発者と緊密に連携し、お客様にとって安全で、ガイドラインに準拠したアプリのアップデート版を速やかにApp Storeに再リリースできるよう支援しています。
Appleは、開発者がiOSのプライベートAPIにアクセスすることを禁止しており、iOS 8以降はAPIをロックダウンしている。しかし、Yuomiの開発者は2年前、最前面のアプリ名を取得するための呼び出しを難読化する実験を開始し、Appleの審査プロセスを通過することに成功した。
Yummy はその後、同じトリックを使用して広告 ID を取得するための呼び出しを隠しており、「わざわざ難読化していたので、他の目的にも使用している可能性があります」と述べています。
1か月前に公開されたYoumi SDKの最新バージョン(v5.3.0)でも、上記のすべての情報が収集されます。ユーザーのプライバシーを侵害するYoumiのバージョンを使用している256個のアプリは、合計100万回ダウンロードされています。
これらのアプリのほとんどは中国の App Store で見つかりますが、SDK がバイナリ形式で難読化されて配信されているため、開発者は自分のソフトウェアが Apple のプライバシー ポリシーに違反していることに気付いていない可能性があります。
出典: SourceDNA(ArsTechnica経由)
