Ранее сегодня российская компания по кибербезопасности «Лаборатория Касперского» сообщила, что ей стало известно о приложении, доступном как в App Store от Apple, так и в магазине Google Play для Android, которое незаметно собирало контакты из адресной книги пользователей и отправляло их на серверы разработчика. Системы разработчика затем отправляли текстовые сообщения этим контактам, рекламируя приложение, при этом в поле «От кого» подставлялся номер мобильного телефона исходного пользователя.
Приложение Find and Call в основном нацеливалось на российских пользователей из-за использования русского языка в описании, однако приложение было доступно в магазинах приложений по всему миру. В отчете отмечается, что, хотя ранее уже были случаи неправомерной передачи личной информации из приложений App Store, это, по-видимому, первый случай использования такой информации в злонамеренных целях.
Вредоносное ПО в Google Play — не новость, но это первый случай, когда мы увидели вредоносное ПО в Apple App Store. Стоит отметить, что инцидентов с вредоносным ПО в iOS Apple App Store не было с момента его запуска 5 лет назад. Но главная проблема здесь — снова конфиденциальность пользователя. Это не первый случай, когда мы сталкиваемся с инцидентами, связанными с личными данными пользователей и их утечкой. И это первый подтвержденный случай злонамеренного использования таких данных.
В нескольких обновлениях к оригинальному посту «Лаборатория Касперского» отмечает, что спам-приглашения также рассылаются по электронной почте. Одному из пользователей также удалось связаться с автором приложения, который утверждает, что такое поведение является ошибкой, хотя это объяснение, безусловно, выглядит подозрительно.
Теперь, похоже, Apple удалила Find and Call из App Store, поскольку ссылки на приложение в американском и российском магазинах приложений показывают, что оно недоступно. Однако приложение существовало некоторое время, так как дебютировало в App Store 13 июня.
Apple работает над ограничением доступа сторонних приложений к личным данным и внедряет усиленные требования к разрешениям в iOS 6, чтобы предупреждать пользователей о доступе к их данным.
Обновление: Apple выпустила заявление для The Loop, подтвердив, что приложение было удалено.
«Приложение Find & Call было удалено из App Store из-за несанкционированного использования данных адресной книги пользователей, что является нарушением правил App Store», — сообщил представитель Apple изданию The Loop.
