ロジャー・フィンガス
· 1分で読めます
Appleは、中国企業Youmiが開発したサードパーティの広告SDKが、公式App Storeガイドラインに違反してプライベートAPIを使用してユーザー情報を記録していたことが発覚したことを受け、App Storeから多数のアプリを削除した。
影響を受けたアプリで発見されたAPIは、メールアドレスやデバイスIDなどのデータを収集し、Youmiが運営するサーバーに送信していたことを、Appleはコード分析会社SourceDNAに対し確認した。今後、このSDKを採用したアプリはすべて拒否される。
アップルは「当社は開発者と緊密に協力し、顧客にとって安全で当社のガイドラインに準拠したアプリのアップデート版を速やかにApp Storeに戻す支援を行っている」と付け加えた。
SourceDNAのバイナリ解析により、SDKをベースにしたアプリが256個発見され、累計ダウンロード数は約100万回に達している。同社は、APIがシリアル番号やメールアドレスに加え、インストール済みアプリのリストも収集していることを指摘した。
Youmi のデータ収集活動は 2 年近く前から行われているようで、活動を隠したり Apple のセキュリティ対策を回避したりするための新しい手口を駆使して、時とともにさらに大胆になっている可能性がある。
App Store の安全な避難場所としての評判は、コンテンツブロッカーの脆弱性や、YiSpecter および XcodeGhost マルウェア感染などの事件によって信頼が損なわれ、過去 1 か月で深刻な批判にさらされています。
