App Storeのアプリ数百本がユーザー情報収集、Appleが対応表明
中国のモバイル広告プロバイダーYoumiのSDKを使ったアプリが、ユーザー情報を収集してYoumiのサーバに送信していることが分かった。
セキュリティ分析の新興企業SourceDNAは10月18日、Appleの「App Store」で禁止されているはずのプライベートAPIを呼び出して、ユーザーの個人情報を収集しているアプリが数百本見つかったと伝えた。
この指摘を受けてAppleは、中国のモバイル広告プロバイダーYoumiが開発したサードパーティー広告SDKの問題を確認、このSDKを使ったアプリをApp Storeから削除すると表明した。
SourceDNAによると、問題のプライベートAPIではインストールされたアプリの一覧やプラットフォームのシリアル番号、ユーザーのAppleIDといった情報を収集していることが分かった。この機能は難読化され、Appleによる審査をかわしてApp Storeにアップロードされていたという。
原因は全て中国製の広告SDK「Youmi」にあることを突き止めたと、同社は報告。1カ月前に公開されたYoumi SDKの最新バージョン5.3.0でも、依然としてこれらの情報を収集しているとして、アプリ開発者に使用停止を勧告している。
Youmiを使っているアプリはSourceDNAがこれまでに発見しただけで256本、ダウンロード回数は合計で100万回に上る。問題のSDKは難読化されているため、こうしたアプリの開発者は問題に気付いておらず、取集されたユーザー情報はアプリのサーバではなく、Youmiのサーバに送られているという。
Appleはこの問題について、「モバイル広告プロバイダーYoumiのサードパーティー広告SDKを使っているアプリが、プライベートAPIを利用してユーザーのメールや端末の識別番号などの情報を収集し、同社のサーバに送信していたことが分かった」とのコメントを発表。YoumiのSDKを使ったアプリをApp Storeから削除するなどの対応に乗り出したことを明らかにした。
ITmedia エンタープライズ編集部からのお知らせ
プロフェッショナルトークにこの連載でおなじみ、萩原 栄幸氏をお招きして、「内部脅威にも外部脅威に対抗可能な情報漏洩対策」をテーマに勉強会を開催いたします。
日 時:2015年11月12日(木) 18:00〜20:10(受付 17:30〜)
会 場:アイティメディア セミナールーム
参加費:無料(事前登録制)
関連記事
- Apple、App Storeからアプリを削除 SSL/TLS通信傍受の恐れ
複数アプリをApp Storeから削除したが、名称は明らかにしていない。 - Apple、マルウェア感染アプリ25本を公表
「WeChat」など主に中国で人気のアプリに被害が集中している。 - iOSアプリがマルウェア感染、App Storeで4000本流通か
米Appleのソフトウェア開発ツールを改ざんした「XcodeGhost」が中国で出回り、マルウェアに感染したiOSアプリがApp Storeで配信されていたことが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.