コード分​​析プラットフォームSourceDNAは、App Storeで数百のアプリがプライベートAPIを使用してメールアドレスやデバイスIDなどのユーザーの個人データを収集しているのを発見しました。これらのアプリはAppleの承認プロセスをすり抜けていました。これらのコードは、悪意のあるサードパーティの広告SDKを組み込むことで侵入し、これらのデータを秘密裏に保存して自社のサーバーに送信していました。

AppleはSourceDNAの報告を検証し、広告SDKを含むすべてのアプリをストアから削除しました。プライベートAPI呼び出しの使用はApp Reviewガイドラインに違反するためです。また、Appleは承認プロセスにパッチを適用し、この手法を用いてApp Storeに配信されるアプリを今後一切阻止しました。

調査対象のSDKは、中国の広告会社Youmiが提供している。SourceDNAは独自のバイナリサーチツールを用いて、不正なSDKを含むアプリを256個発見した。これらのアプリのダウンロード数は合計100万回を超えている。

このSDKは、様々な手法とAPIを用いて、通常は収集できないはずの個人情報を収集していました。収集された情報には、シリアル番号、周辺機器のシリアル番号、インストール済みアプリのリスト、ユーザーのApple IDメールアドレスの取得などが含まれます。分析会社は、Youmiが2年間かけてデータ収集コードを徐々に追加し、時間の経過とともにその手法に自信を深めていったと推測しています。

今回のケースでは、問題となったアプリのほぼすべてが中国市場をターゲットとしていました。しかし、Appleのアプリ審査プロセスの回避が数ヶ月にわたって続いていることを踏まえ、SourceDNAは、App Store上で未だ検出されていない同様の不正行為が既に存在する可能性があると懸念しています。

以下は、この件に関する Apple の完全な声明です。

モバイル広告プロバイダーであるYoumiが開発したサードパーティ製の広告SDKを使用しているアプリ群を特定しました。これらのSDKは、プライベートAPIを使用してユーザーのメールアドレスやデバイスIDなどの個人情報を収集し、自社サーバーにデータをルーティングしています。これは、当社のセキュリティおよびプライバシーガイドラインに違反しています。YoumiのSDKを使用しているアプリはApp Storeから削除され、このSDKを使用してApp Storeに提出された新規アプリはすべて却下されます。当社は開発者と緊密に連携し、お客様にとって安全で、当社のガイドラインに準拠したアプリのアップデート版が速やかにApp Storeに戻ってくるよう支援しています。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。