Altro giro, altro regalo: un kit di sviluppo cinese consente a sviluppatori poco rispettosi della privacy, di rubare informazioni personali comel’ indirizzo email dell’Apple ID e il numero che identifica in modo univoco il dispositivo, ed Apple interviene, rimuovendole. La vicenda, eufemisticamente parlando, controversa, che arriva a poche settimane di distanza dal caso XcodeGhost, viene portata alla luce da Ars Technica che offre dettagli sul problema.
A scoprire il tutto, SourceDNA, società specializzata in servizi di analytics di codice iOS e Android, che ha individuato, grazie ad un tool denimato Searchlight, il comportamento anomalo di alcune applicazioni iOS. Queste sfruttano un kit di sviluppo software cinese denominato Youmi, vietato dalle linee guida di Apple. In tutto si tratta di 256 app, scaricate – secondo le stime – circa 1 milione di volte. Grazie a Youmi è possibile ottenere informazioni quali: l’elenco delle app installate sullo smartphone, il numero di serie del dispositivo (se su questi sono presenti vecchie versioni di iOS), una lista dei componenti hardware aggiuntivi utilizzati, i rispettivi numeri di serie, indirizzo email associato con l’Apple ID.
Le informazioni in questione, secondo quanto riferito, ottenute sfruttando API riservate verrebbero reindirizzate ai server cinesi di Youmi. Nel report si afferma che la maggior parte degli sviluppatori che ha sfruttato l’SDK è residente in Cina e molti di questi non erano probabilmente consapevoli del problema visto che il toolkit è distribuito in modalità binaria e con meccanismi che offuscano il codice sottostante.
Apple ha rilasciato una dichiarazione, spiegando che tutte le app identificate sono state rimosse dall’App Store e saranno rifiutate future app che sfruttano l’SDK in questione:
“Abbiamo identificato un gruppo di app che sfrutta un SDK di terze parti per l’advertising sviluppato da Youmi, provider di mobile advertising che usa API private per ottenere informazioni quali l’indirizzo email e l’identificatore del dispositivo, dirottando i dati al server aziendale. È una violazione della nostra sicurezza e delle linee guida sulla tutela della privacy. Le app che sfruttano l’SDK di Youmi sono state rimosse dall’App Store e qualsiasi nuova app inviata all’App Store che sfrutta questo SDK sarà rifiutata. Stiamo lavorando a stretto contatto con gli sviluppatori per aiutarli ad aggiornare le versioni delle loro app, renderle sicure per i clienti e conformi alle nostre linee guida”.
SourceDNA ha inviato ad Apple un elenco delle app “incriminate”; sembra che tra queste c’è anche l’app ufficiale di McDonald’s in Cina, ma la lista in questione non è stata resa pubblica. Gli sviluppatori possono verificare se le loro app sono “intaccate”, sfruttando il tool di analisi Searchlight.