SourceDNA, аналитическая служба, отслеживающая код для iOS и Android, обнаружила сотни приложений для iOS, которые собирают личную информацию пользователей, включая адреса электронной почты Apple ID и идентификаторы устройств, посредством китайского стороннего рекламного SDK под названием Youmi, запрещенного правилами App Store.

Аналитическая фирма, используя свой новый инструмент для разработчиков Searchlight, обнаружила 256 затронутых приложений с общей оценкой в 1 миллион загрузок, использующих одну из версий Youmi в нарушение политики конфиденциальности пользователей. Согласно отчету, большинство разработчиков, использовавших SDK, находятся в Китае, и многие, вероятно, не знали об угрозе, поскольку инструментарий поставляется в бинарном виде и обфусцирован.

Ars Technica более подробно рассказали о собранной приложениями с использованием Youmi информации, которая «постепенно собиралась в течение последнего года»:

Исследователи SourceDNA выявили четыре основных класса информации, собираемой приложениями, использующими рекламный SDK Youmi. К ним относятся:

1. Список всех приложений, установленных на телефоне.
2. Серийный номер платформы iPhone или iPad при использовании старых версий iOS.
3. Список аппаратных компонентов устройств, использующих более новые версии iOS, и серийные номера этих компонентов, и
4. Адрес электронной почты, связанный с Apple ID пользователя.

Личная информация, как сообщается, собирается через частные API, а затем перенаправляется на серверы Youmi в Китае.

Apple опубликовала заявление, в котором говорится, что приложения с Youmi будут удалены из App Store, а новые заявки с использованием данного SDK будут отклонены:

«Мы выявили группу приложений, использующих сторонний рекламный SDK, разработанный Youmi, поставщиком мобильной рекламы, который использует частные API для сбора конфиденциальной информации, такой как адреса электронной почты пользователей и идентификаторы устройств, и перенаправляет данные на свой сервер. Это является нарушением наших правил безопасности и конфиденциальности. Приложения, использующие SDK Youmi, были удалены из App Store, и любые новые приложения, отправленные в App Store с использованием этого SDK, будут отклонены. Мы тесно сотрудничаем с разработчиками, чтобы помочь им как можно скорее вернуть в App Store обновленные версии своих приложений, безопасные для клиентов и соответствующие нашим правилам».

SourceDNA отправила Apple полный список затронутых приложений, включая официальное приложение McDonald’s в Китае, но не стала публиковать его. Разработчики могут проверить, затронуты ли их приложения, с помощью инструмента Searchlight аналитической фирмы.

Это открытие произошло через несколько недель после раскрытия информации о вредоносном ПО XcodeGhost для iOS, которое возникло из-за вредоносной версии Xcode, официального инструмента Apple для разработки приложений для iOS и OS X. Apple также исправила вредоносное ПО YiSpecter в iOS 8.4.