Se encontró que algunas aplicaciones de la App Store recopilan información personal, Apple actúa rápidamente

iOS 7 (avance de la App Store 002)

Se descubrió que hasta 256 aplicaciones de iPhone, iPod touch y iPad en la App Store, la mayoría de ellas de desarrolladores chinos, violan la política de privacidad de Apple al recopilar información personal como direcciones de correo electrónico, aplicaciones instaladas e incluso números de serie, un análisis por el inicio de análisis de seguridad que SourceDNA descubrió.

Además, se descubrió que las aplicaciones ofensivas, que obviamente pasaron desapercibidas para el equipo editorial de la App Store de Apple, recopilan otra información de identificación personal que se puede utilizar para rastrear a los usuarios.

“Hemos encontrado cientos de aplicaciones en la App Store que extraen información de identificación personal del usuario a través de API privadas a las que Apple les ha prohibido llamar”, advierte SourceDNA.

El descubrimiento marca la primera vez que SourceDNA ve que las aplicaciones de iOS omiten con éxito el proceso de revisión de Apple. Estas aplicaciones incorporan el SDK de publicidad de Youmi de China para aprovechar las API privadas.

Luego, el SDK hace lo siguiente en silencio:

  • Enumere la lista de aplicaciones instaladas u obtenga el nombre de la aplicación principal
  • Obtenga el número de serie de la plataforma
  • Enumerar dispositivos y obtener números de serie de periféricos
  • Obtenga el ID de Apple (correo electrónico) del usuario

La información del usuario se carga en el servidor de Yom, no en la aplicación.

Apple ha proporcionado la siguiente declaración:

Hemos identificado un grupo de aplicaciones que están utilizando un SDK de publicidad de terceros, desarrollado por Youmi, un proveedor de publicidad móvil, que utiliza API privadas para recopilar información privada, como direcciones de correo electrónico de usuarios e identificadores de dispositivos, y enrutar datos a su servidor de la empresa Esto es una violación de nuestras pautas de seguridad y privacidad.

Nuevamente, la mayoría de las aplicaciones ofensivas se distribuyen a través de la tienda de aplicaciones china y una de ellas incluye la aplicación oficial McDonald’s para hablantes de chino.

Apple dice que ya ha eliminado estas aplicaciones de la venta:

Las aplicaciones que usan el SDK de Youmi se han eliminado de la App Store y se rechazarán todas las aplicaciones nuevas que se envíen a la App Store que utilicen este SDK. Estamos trabajando en estrecha colaboración con los desarrolladores para ayudarlos a obtener versiones actualizadas de sus aplicaciones que sean seguras para los clientes y que cumplan con nuestras directrices rápidamente en la App Store.

Apple prohíbe a los desarrolladores acceder a sus API privadas en iOS y las ha estado bloqueando desde iOS 8. Sin embargo, hace dos años, los desarrolladores de Yuomi comenzaron a experimentar ofuscando una llamada para obtener el nombre de la aplicación principal y pudieron hacerlo a través del proceso de revisión de Apple.

Más tarde, Yummy usó el mismo truco para ocultar las llamadas y recuperar la identificación publicitaria de que “podrían estar usándola para otros fines ya que se tomaron la molestia de ofuscar esto”.

La última versión del SDK de Youmi (v5.3.0), publicada hace un mes, aún recopila toda la información anterior. Las 256 aplicaciones que usan una de las versiones de Youmi que viola la privacidad del usuario se han descargado un millón de veces.

La mayoría de estas aplicaciones se encuentran en la tienda de aplicaciones china y sus desarrolladores probablemente desconocen que su software viola la política de privacidad de Apple ya que el SDK se entrega en forma binaria y se ofusca.

Fuente: SourceDNA a través de ArsTechnica

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *