Die betroffenen Apps nutzen ein Werbe-SDK des chinesischen Anbieters Youmi, das unter anderem die Apple-ID mit E-Mail-Adresse und eine Liste aller installierten Apps sammelt.

Das Software Devolopment Kit (SDK) Youmi sammelt persönliche Informationen und leitet sie an Server des SDK-Herausgebers in China weiter, wie Ars Technica berichtet. Apple hat jetzt die Entfernung von iOS-Apps aus seinem App Store angekündigt, die dieses Werbe-SDK nutzen, das laut Apples Richtlinien verboten ist.

SourceDNA, ein Analytics-Service für iOS- und Android-Code, hatte die Apps entdeckt. Dessen Tool Searchlight fand dem Bericht zufolge insgesamt 256 betroffene Anwendungen. Die meisten Entwickler, die Youmi einsetzen, kommen offenbar aus China. Da das SDK nur in Binärform ausgeliefert werde und zudem seine Funktionen verschleiere, seien vielen Entwicklern die Schnüffelfunktionen wahrscheinlich gar nicht bekannt, heißt es in dem Bericht.

Das SDK erstellt SourceDNA zufolge eine Liste mit allen auf einem iPhone oder iPad installierten Apps. Außerdem erfasst es die Apple-ID und die damit verknüpfte E-Mail-Adresse. Bei Geräten mit neueren iOS-Versionen liest Youmi auch eine Liste mit allen Hardwarekomponenten und deren Seriennummern aus. Ist eine ältere iOS-Version installiert, gibt das SDK nur die Plattform-Seriennummer weiter.

„Wir haben eine Gruppe von Apps identifiziert, die ein Werbe-SDK von Youmi, einem Anbieter von mobiler Werbung, nutzt, das private APIs zur Sammlung persönlicher Informationen wie E-Mail-Adressen und Gerätebezeichnungen sammelt und die Daten an seine Firmenserver übermittelt“, zitiert Ars Technica aus einer Stellungnahme von Apple. „Das ist ein Verstoß gegen unsere Sicherheits- und Datenschutzrichtlinien. Die Apps, die Youmis SDK verwenden, wurden aus dem App Store entfernt, und neu eingereichte Apps mit dem SDK werden abgelehnt.“

Nach eigenen Angaben arbeitet Apple nun mit den betroffenen Entwicklern zusammen, um das Youmi-SDK aus ihren Apps zu entfernen. Aktualisierte Versionen der Anwendungen sollen schon in Kürze wieder im App Store erhältlich sein.

Welche Apps das SDK enthielten, teilen weder Apple noch SourceDNA mit. Letzteres habe Apple eine Liste mit allen Anwendungen übergeben, darunter die offizielle chinesische McDonalds-App, so Ars Technica weiter. Entwickler könnten mithilfe des Searchlight-Tools von SourceDNA zudem selber herausfinden, ob ihre App das Youmi-SDK verwendet.

Es ist nicht das erste Mal, dass schädliche oder unerwünschte Programme Apples Kontrollen überwinden und ihren Weg in den App Store finden. Im September hatte der iPhone-Hersteller eine nicht näher genannte Zahl von Apps gelöscht, die mit der Malware XcodeGhost infiziert waren. Hackern war es gelungen, die Malware mithilfe einer modifizierten Version von Apples Entwicklungsumgebung Xcode in den App Store einzuschleusen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.