数百のiOSアプリがApp Storeから削除された。 アナリティクスサービスを提供するSourceDNAの調査で、これらのアプリがユーザーを特定する情報を引き抜いていたことが発覚したからだ。情報の中にはEメールアドレスとそれに紐づくApple ID、端末や周辺機器のシリアル番号、そして端末にインストールされたアプリのリストといった情報を含んでいた。問題のアプリは中国の広告会社Youmi のSDKを使用していた。調査はこのSDKがプライベートAPI経由で情報にアクセスしていたことを発見した。
問題のアプリの開発者のほとんどは中国にまとまっていたため、現状は地域限定の問題のようだ。しかし、不正行為がどれくらい前から行われてきたかによっては大きな問題へと発展するだろう。また、App Storeのレビュープロセスで不審な動きを検知することができず、サードパーティに警告を受けるまで発覚しなかったことも重要な問題だ。
SourceDNAによると、Youmiは以前からユーザーの端末から引き抜くことができる情報の種類を検証していた。およそ2年前、Youmiはコールに細工をして、ユーザーの端末でその時動いているアプリの名前を取得することを試していた。App Storeに細工したコードを忍び込ませることができるかどうかを知るための小さな検証だった。そして、それがAppleのアプリのレビュープロセスを通過することを確かめた後、同じように細工したコールを使用して、広告IDを含めたデータの取得を行っていた。
広告IDは広告クリックをトラックするためにアクセスすることができるが、Youmiが不正行為をして集めていたことから、Youmiは別の目的のために使用していたのかもしれないとSourceDNAのレポートは推測している。
また、SourceDNAは、AppleがiOS 8でプラットフォームのシリアル番号をアプリに抜き取られることを防ぐためにプライベートAPIを閉鎖していたが、Youmiは周辺機器、例えばバッテーリーシステムの情報を先に得ることでそれをかいくぐっていたと伝えた。取得した周辺機器のシリアル番号をハードウェアを識別するために送信していたという。
SourceDNAは開発者のコードを改善したり、セキュリティー上の問題を検知する企業で同社はプライベートAPIを使用しているアプリを検知するSearchlight のプロダクトを更新していた際にYoumiの企みに気がついたという。プライベートAPIを使用するアプリはApp Storeから削除される。驚くことに、まとまった数のアプリがレビュープロセスをかいくぐっていたことを発見した。
SourceDNAはユーザーのプライバシーに違反するYoumi SDKを使用するアプリは合計256個あり、累計ダウンロード数およそ100万に上ると報告している。ただし、個別の開発者はSDKが実行していたことを認識していないことも考えられるとSourceDNAは伝える。ユーザーデータはYoumiのサーバーにアップロードされていたからだ。
SourceDNAの発見は今後の課題を示唆する。このコードを細工する方法は比較的シンプルなもので、それらのアプリは長いことをそのコードを使用していたとSourceDNAは指摘する。SourceDNAのファウンダーであるNate Lawsonは1年半ほど使われていたと伝える。
「他にも異なるもので、似たアプローチを使って不正行為を隠しているアプリが掲載されているのではないかと疑っています」とSoureDNAのブログ投稿は伝える。「私たちは不審な動きをするアプリコードが含まれていないかを検出するエンジンをプロダクトに新たに追加し、それが事実かどうかを検証します」。
SourceDNAはAppleに調査結果を提出し、Appleは問題のアプリを削除したことを声明で伝えた。Appleは現在YoumiのSDKを使用していた開発者にAppleのガイドラインに沿うアプリのアップデートを促し、App Storeに再掲するために協力している。
Appleの声明文:
私たちはYoumiが開発したサードパーティの広告SDKを利用するアプリを複数特定しました。このSDKは、プライベートAPIを使用して、Eメールアドレス、端末の識別子、ルートデータを同社のサーバーに集めていました。これは私たちのセキュリティーとプライバシーガイドラインに反するものです。YoumiのSDKを使用するアプリはApp Storeから削除し、今後もそのSDKを使用するアプリをApp Storeに掲載することはできません。私たちは削除したアプリの開発者が、それぞれのアプリを私たちのガイドラインに沿うカスタマーにとって安全なアプリへとアップデートを施し、App Storeに再掲するために協力します。
[原文へ]