水曜日, 10月 21, 2015

これ大丈夫なの? 個人情報を収集していた256個のiOSアプリが一気に削除される

恐怖。個人情報を収集していた256個のiOSアプリが一気に削除される



ストアの審査が厳しいことから、一般に安全だと思われているiOSのアプリ。しかし昨日、アップル個人情報を収集していた256個ものアプリを一気に削除しました。
これらのアプリはすべて、中国の広告会社「Youmi」が作成したソフトウェア開発キット(SDK)を利用していました。そしてこのSDKで作成されたアプリはユーザーのアプリ情報やメールアドレス、スマートフォンのシリアルナンバーなどに密かにアクセスし、収集してYoumiのサーバーに送信していたそうです。アプリはすべて合わせると100万回もダウンロードされていたんだとか。まったく、物騒な話です。

このSDKを利用したアプリの多くは中国で配布されていました。セキュリティ関連会社のSourceDNAによると、メーカーはおそらくこの悪意あるソフトウェアに気づいていなかっただろうとのこと。ええ、ぜひそうあってほしいものです。また、通常不可能な個人情報ののぞき見を行なったYoumiは、iOSのAPIについてかなり熟知していたみたいです。
アップルによれば、すでにこのSDKで作成されたアプリはすべて削除されたそうです。ストアで配布されていたアプリにこのような落とし穴があったのは意外ですが、今後はそのようなリスクも頭の片隅に入れておく必要があるのかもしれませんね。

source: The Verge

 

アップル、個人データの収集を行っていた256アプリを規約違反でApp Storeから削除 アプリ名は公表せず

アップルが、利用者の個人データを収集していた問題のある256のアプリを、App Storeから削除したことをセキュリティベンダーカスペルスキーのブログthreat postが伝えています。


Apple said it will remove 256 misbehaving apps from its App Store that were using private APIs to pull personal and device information that would allow a user to be tracked.
Apple to Remove Apps Using Private APIs | Threatpost | The first stop for security news
発見したのは、今年8月にアプリのコードの問題を突き止めることができる開発者向けのツール「Searchlight」をローンチした SourceDNA。この「Searchlight」によりアプリの解析を行ったところ、中国のYoumiが提供する広告用SDK(ソフトウェア開発キッ ト)がユーザーのメールアドレスや端末IDなどの個人データを勝手に収集していることを発見したとのこと。
 

We’ve found hundreds of apps in the App Store that extract personally identifiable user information via private APIs that Apple has forbidden them from calling. This is the first time we’ve seen iOS apps successfully bypass the app review process. But, based on what we learned, it might not be the last.
iOS Apps Caught Using Private APIs
アップルの規約では、プライベートAPIを利用したユーザーデータ収集は違反となります。SourceDNAから報告を受けたアップルは、この規約に従 い、256個のアプリを削除しました。また、Youmiが提供する広告用SDKを利用したアプリが今後App Storeに提出されても却下するとのこと。

SourceDNAによると、今回削除された256のアプリは100万回以上ダウンロードされているそうです。ということは、それらのアプリがインストールされている端末も少なからずあるでしょう。

それらはユーザが自分で削除しない限り、個人データ漏えいのリスクにさらされることになるのではないでしょうか?

アップルはApp Storeから該当のアプリを削除しましたが、アプリ名の公表にはいたっていません。
 
真にユーザのことを考えるのであれば、アップルはアプリ名を公表すべきではないのでしょうか?

 

Apple to Remove 256 iOS Apps Using Private APIs, Collecting Personal Data - See more at: https://threatpost.com/apple-to-remove-256-ios-apps-using-private-apis-collecting-personal-data/115098/#sthash.EXIuZfeA.dpuf
Apple to Remove 256 iOS Apps Using Private APIs, Collecting Personal Data - See more at: https://threatpost.com/apple-to-remove-256-ios-apps-using-private-apis-collecting-personal-data/115098/#sthash.EXIuZfeA.dpuf
Apple to Remove 256 iOS Apps Using Private APIs, Collecting Personal Data - See more at: https://threatpost.com/apple-to-remove-256-ios-apps-using-private-apis-collecting-personal-data/115098/#sthash.EXIuZfeA.dpuf

Apple to Remove 256 iOS Apps Using Private APIs, Collecting Personal Data