12Aug
חוקרים מצאו שיותר מ-250 אפליקציות הרשומות ב-App Store של אפל גוררות נתוני משתמשים
אפליקציות שנוצרו באמצעות Youmi SDK התגלו כגוזלות כמות עצומה של נתונים בעלות של מאות דולרים למשתמשים, התגלו על ידי חוקרים. Youmi היא ספקית פרסום סלולרית מבוססת סין, שערכת פיתוח התוכנה שלה (SDK) משתמשת בממשקי API פרטיים כדי לאסוף מידע על משתמשים ומכשירים על פי חוקרי SourceDNA.
אפליקציות עם Youmi SDK נמצאו ברשימה למרות שאפל אוסרת במפורש על מפתחי אפליקציות להתקשר לאפליקציות שלהם ממשקי API פרטיים. אפל בדרך כלל מזהה סוג כזה של התנהגות, כאשר האפליקציה מוגשת לאישור להיכלל באפליקציה חנות.
לפי חברת ניתוח האבטחה SourceDNA, שהתריעה לאפל על בעיה זו, כ-250+ אפליקציות עם הערכה כוללת של מיליון הורדות נבנו על ה-SDK הבעייתי.
"הגרסאות הישנות יותר [של SDK] אינן מתקשרות לממשקי API פרטיים, אז 142 האפליקציות שיש להן הן בסדר. אבל לפני כמעט שנתיים, אנו מאמינים שמפתחי Youmi החלו להתנסות בטשטוש שיחה כדי לקבל את שם האפליקציה הקדמי ביותר", חוקרי SourceDNA ציינתי.
לדברי החוקרים, לאחר שהאפליקציות עברו את הסקירה, הם התחילו להוסיף את ההתנהגויות הבאות, וגרמו לאפליקציות למנות את רשימת המותקנות אפליקציות או קבל את שם האפליקציה הקדמי ביותר, קבלת המספר הסידורי של הפלטפורמה, ספירת מכשירים וקבלת מספרים סידוריים של ציוד היקפי, וקבלת AppleID של המשתמש (אימייל).
"הם גם משתמשים באותה ערפול כדי להסתיר שיחות כדי לאחזר את מזהה הפרסום, המותר למעקב אחר מודעה קליקים, אבל אולי הם משתמשים בו למטרות אחרות מכיוון שהם טרחו לטשטש זאת", החוקרים נָקוּב.
אפל כבר הודיעה על Youmi SDK ועל תהליך בדיקת האפליקציות הפגום שלה על ידי אוניברסיטת Purdue. קבוצת חוקרים מאוניברסיטת Purdue, אינדיאנה, גילתה את אותו דפוס וייחסה אותו ל-Youmi SDK. גם הם מוּצָע מערכת חדשה לבדיקת יישומי iOS שאמורה לזהות סוג זה של התקפה.
על פי הדיווחים, אפל כבר הסירה מספר לא מוגדר של אפליקציות מחנות האפליקציות בעקבות גילוי זה, תוך כדי נקיטת פעולה על ממצאי SourceDNA ואוניברסיטת Purdue.
"זיהינו קבוצה של אפליקציות שמשתמשות ב-SDK של צד שלישי לפרסום, שפותחה על ידי Youmi, ספקית פרסום לנייד, ש משתמשת בממשקי API פרטיים כדי לאסוף מידע פרטי, כגון כתובות דוא"ל של משתמשים ומזהי מכשירים, ולנתב נתונים לחברה שלה שרת. זוהי הפרה של הנחיות האבטחה והפרטיות שלנו", נמסר מהחברה.
"האפליקציות המשתמשות ב-SDK של Youmi יוסרו מ-App Store וכל אפליקציות חדשות שיישלחו ל-App Store באמצעות SDK זה יידחו. אנו עובדים בשיתוף פעולה הדוק עם מפתחים כדי לעזור להם לקבל גרסאות מעודכנות של האפליקציות שלהם בטוחות ללקוחות ותואמות להנחיות שלנו בחזרה ב-App Store במהירות."
סביר יותר מאשר לא, מפתחי האפליקציות שהוסרו אלו כלל לא היו מודעים לעובדה שהאפליקציות שלהם מחלצות את המידע הזה ושולחות אותו ליוצרי ה-SDK.