Seulement quelques semaines après la découverte du malware connu sous le nom de XcodeGhost, qui affectait des applications sur l’App Store, Apple a supprimé 256 applications découvertes à collecter des informations personnelles des utilisateurs. Le service d’analyse, SourceDNA, a découvert que des centaines d’applications sur l’App Store utilisaient un kit de développement logiciel (SDK) publicitaire chinois pour collecter des données personnelles, telles que les adresses e-mail des ID Apple et d’autres informations privées utilisées pour suivre les utilisateurs. On estime qu’environ un million de personnes ont téléchargé ces applications.
« C’est la première fois que nous avons trouvé des applications en ligne sur l’App Store qui violaient la confidentialité des utilisateurs en extrayant des données à partir d’API privées », a déclaré Nate Lawson, le fondateur de l’entreprise de sécurité SourceDNA, à Ars Technica. « C’est en fait un kit d’outils obscurci pour extraire le plus d’informations privées possible. C’est clairement le genre de chose que Apple aurait dû détecter. »
Apple a publié la déclaration suivante peu après que SourceDNA a rendu ses découvertes publiques. « Nous avons identifié un groupe d’applications qui utilisent un kit de développement logiciel publicitaire tiers, développé par Youmi, un fournisseur de publicité mobile, qui utilise des API privées pour collecter des informations privées, telles que les adresses e-mail des utilisateurs et les identifiants de périphérique, et achemine les données vers son serveur d’entreprise. C’est une violation de nos directives de sécurité et de confidentialité. Les applications qui utilisent l’SDK Youmi seront supprimées de l’App Store et toute nouvelle application soumise à l’App Store en utilisant cet SDK sera rejetée. Nous travaillons en étroite collaboration avec les développeurs pour les aider à obtenir des versions mises à jour de leurs applications qui sont sécurisées pour les clients et conformes à nos directives, et à les remettre rapidement sur l’App Store. »
Les applications en question ont violé la politique de confidentialité de l’App Store d’Apple en collectant une liste de toutes les applications installées sur un périphérique utilisateur, les adresses e-mail associées à un ID utilisateur et une liste de numéros de série de périphérique, selon Ars Technica.
Lawson a également noté que les développeurs d’applications ne réalisaient pas que l’SDK collectait des informations. « McDonald’s en Chine n’a pas fait cela intentionnellement », a expliqué Lawson. « Ils ont installé cet SDK pour afficher des publicités, et le fournisseur de l’SDK utilise cette position privilégiée dans l’application pour collecter des données sur tous les utilisateurs qui utilisent leur application. »