SourceDNA, serwis analityczny, który śledzi kod iOS i Androida, odkrył setki aplikacji iOS, które zbierają dane osobowe użytkowników, w tym adresy e-mail w Apple ID i identyfikatory urządzeń, poprzez chińskie SDK firmy trzeciej o nazwie Youmi, które jest zabronione przez wytyczne App Store.
Firma, wykorzystując nowe narzędzie deweloperskie Searchlight, znalazła 256 aplikacji z łączną liczbą około jednego miliona pobrań, korzystających z wersji Youmi naruszającej prywatność użytkowników. Raport twierdzi, że większość deweloperów, którzy korzystali z SDK znajduje się w Chinach, a wielu z nich było prawdopodobnie nieświadomych zagrożenia, ponieważ zestaw narzędzi dostarczany jest w postaci binarnej i ukrytej.
Ars Technica wyjaśnia bardziej szczegółowo temat informacji zbieranych „stopniowo w ciągu ostatniego roku” przez aplikacje z wykorzystaniem Youmi:
Naukowcy SourceDNA znaleźli cztery główne kategorie informacji gromadzonych przez aplikacje, które korzystają z SDK Youmi. Zawierają one:
- Listę wszystkich zainstalowanych w telefonie aplikacji
- Numer seryjny iPhone’a oraz iPada kiedy uruchomiony jest na nich starsza wersja iOS
- Wykaz składników sprzętowych na urządzeniach z nowszą wersją systemu iOS i numery seryjne tych składników, oraz
- Adres e-mail związany z Apple ID użytkownika
Informacje osobiste zbierane są podobno przez prywatne API, a następnie kierowane na serwery Youmi w Chinach.
Apple wydał oświadczenie o usunięciu z aplikacji z Youmi z App Store i odrzuci przyszłe zgłoszenia za pomocą tego SDK:
„Zidentyfikowaliśmy grupę aplikacji, które korzystają z reklamowego SDK innej firmy, opracowanego przez Youmi, dostawcę reklamy mobilnej, która używa prywatnego API do zbierania informacji prywatnych, takich jak adresy e-mail i identyfikatory urządzeń użytkowników i przesyłania na swoje serwery. Jest to naruszenie naszych wytycznych bezpieczeństwa i prywatności. Aplikacje wykorzystujące SDK Youmi zostały usunięte z App Store, a wszelkie nowe aplikacje złożone do App Store za pomocą tego zestawu SDK zostaną odrzucone. Ściśle współpracujemy z deweloperami, aby pomóc im uzyskać zaktualizowane wersje swoich aplikacji, które są bezpieczne dla klientów i zgodnie z naszymi wytycznymi”
SourceDNA wysłał pełną listę dotkniętych aplikacji do Apple, na której znalazła się nawet oficjalna aplikacja McDonalda w Chinach, jednak nie udostępniła jej publicznie. Programiści mogą sprawdzić, czy ich aplikacje są dotknięte problemem przy użyciu narzędzia Searchlight.