少なくとも250件の「iOS」アプリが個人データを収集していることが明らかになった。開発者もその事実を知らなかった可能性がある。

SourceDNAは先週末、開発者向けに同社の「Searchlight」プラットフォームをアップデートした際にこの問題を発見した。これを受け、Appleは次のような声明を出し、問題のあるアプリをApp Storeから削除したとしている。

多数のアプリが、モバイル広告プロバイダーであるYoumiの開発したサードパーティーの広告SDKを使用していることを特定した。非公開のAPIを使用して、ユーザーの電子メールアドレスやデバイスIDなどの個人情報を収集し、同社の企業サーバにデータを転送している。これは、われわれのセキュリティおよびプライバシーに関するガイドラインに違反している。YoumiのSDKを使用するアプリをApp Storeから削除した。また、今後App Storeに提出される新しいアプリがこのSDKを使用していれば、すべて却下される。

Appleは非公開APIの使用やデータ収集を禁止しているが、Youmiの広告SDKはこれにうまく対応し、このSDKを使用する開発者はこの問題を認識していなかった。YoumiのSDKは基本的に、実行時に作成される一連のデータでAPIを呼び出し、データ収集の意図を隠ぺいしている。そのため、App Storeの審査でこの問題が検出されなかったようだ。

SoureDNAは独自の調査に基づき、YoumiのSDKを使用するアプリは、「iOS」端末上に登録されているApple IDや電子メールアドレスに加えて、インストールされているアプリケーションのリストを収集できると述べている。SecureDNAは、256件の感染アプリを特定し、合計約100万回ダウンロードされていると見積もっている。ほとんどのアプリは、中国の開発者らが作成したものだという。



