研究人员表示,他们已经发现超过250 iOS应用违反了苹果的App Store隐私政策所禁止的电子邮件地址,安装的应用程序,序列号等个人身份信息收集用于跟踪用户。
这些应用程序,最近的统计数据总计为256个,受到了特别关注,因为它们暴露了苹果App Store用于授权条款的专门的审批过程中的严重过失。他们还表示侵犯隐私的问题已经波及了下载过的应用程序的大约100万人。数据采集的过程是如此隐秘,以至于甚至是与其有关的应用程序的开发者个人都可能不知道这件事,因为个人信息只发送到用于发广告的软件开发工具的制作者。
“这是我们第一次发现App Store的应用程序通过私人的API获取数据并侵犯用户的隐私,”内特·劳森,安全分析公司SourceDNA的创始人在谈及iOS应用程序构建的编程接口时告诉Ars。 “这实际上是一种模糊化的工具,只要提取尽可能多的私人信息就可以了。这绝对是那种苹果公司本应该抓住的伎俩。”
在Ars得到上面的消息不久后,苹果针对SourceDNA的发现发布了以下声明:
“我们已经发现了一组正在由Youmi(一个手机广告供应商)开发的使用第三方广告SDK的应用程序使用了私人API来收集私人信息,例如用户的电子邮件地址和设备标识符,并路由数据到其公司的服务器上。这是绝对违反我们的安全和隐私指南的行为。使用Youmi的SDK的应用程序将从App Store中删除,并且任何新提交的使用该SDK的应用程序将被App Store拒绝。为了保证客户的安全,我们正协助开发者迅速将应用程序更新版本,并且一切都将遵守我们在App Store中设立的指导原则。”
此前,一家独立的安全公司报告了几十个收集包括操作系统的版本,时区的用户数据的iOS应用程序,并正给出了这些应用程序的具体名称,而本文的发现来自这份报告生成的5周后。劳森说,这些应用程序都不需要访问个人框架和正常广告数据库就能够定期做同样的事情。劳森还指出,所有这些所谓的XcodeGhost应用程序所收集的信息是被苹果允许的东西,并没有涉及使用被限制的iOS内置的编程接口。
这个XcodeGhost应用程序也必须具有打开一个命令和控制服务器指定的URL的能力,并可能已被用于开展影响到iPhone的恶意操作。但是再一次的,劳森说到,没有私有的API额参与,且URL的开启是由合法的应用程序执行的。 “当你在浏览器中点击一个URL和Yelp应用程序打开那家餐厅时,这就是它所做的,”他解释说。苹果最终删除了那些应用程序,因为所有的动作都在未知的第三方的控制下被完成。
这一发现还使得一周后苹果移除了具有窥探加密流量能力的几个应用程序。苹果公司承认其App Store托管了这种根证书的安装可以绕过其他应用程序的传输层安全保护,几乎可以肯定地说这暴露了苹果公司安全审查程序的一个漏洞。
劳森说,与此相反的,通过SourceDNA公司检测到256个应用程序在访问被苹果App Store的规定明确禁止的数据。广告工具使用Youmi获取数据,Youmi公司不容易被查到,因为它的网站上的内容几乎完全用中文书写的。大多数或基本所有使用该工具的应用程序都是中国的,包括麦当劳餐厅的中国官方应用程序。
SourceDNA研究人员发现的信息中表示,通过使用Youmi广告SDK应用程序收集四大类信息。它们包括:
安装在该手机上的所有应用程序的列表;
在iPhone或ipad上运行老版本的iOS时公司本身的平台序列号;
运行的新版本的IOS时设备的硬件组件和这些组件的序列号列表;
与用户的Apple ID相关联的电子邮件地址。
数据的采集过程已经在过去持续了一年左右的时间。开始,它相对温和的只收集应用程序列表。随着时间的推移,数据采集已变得越来越具有侵入性,直到它变成了目前的版本,它收集设备、硬件序列号和电子邮件地址。序列号,摄像头和其它硬件组件的集合是苹果锁定iPhone和iPad的唯一标识符。最终,劳森说,这些都导致没有任何隐私保护的提供。通过收集各组序列号,Youmi仍然能够得到这些苹果附属设备的唯一指纹。
该开发套件制成一个二进制文件,使用数字排序的外衣掩盖其数据收集的功能,程序开发者将该功能整合到Youmi的代码中。 Youmi的代表声称“并不知道他们正在做这些功能的开发,”劳森解释道。 “中国麦当劳应用并不是故意这样做的。他们安装了该SDK来显示广告,而SDK的供应商恰好行使了收集所有用户相关数据的“特权”。”
除了麦当劳的应用程序, SourceDNA公司在其博客文章中宣布这项发现并不包括列出所有应用程序的名称,虽然劳森表示,该公司曾私下给苹果的代表提供名单。看到苹果从App Store中删除这些或者至少要求开发商提供不使用Youmi SDK的更新版本并不令人惊讶。不过,即使这些应用程序被删除了,此事件让人不禁担忧是否有其他iOS应用程序都在飞快地做着同样的事情。
发表评论
您还未登录,请先登录。
登录