Appleは、プライベートAPIを使って勝手にユーザーの個人データを収集していた256のアプリを、App Storeから削除しました。

中国のモバイル広告プロバイダYoumiが犯人

現地時間18日、コード分析プラットフォームのSourceDNAが、App Store内にある大量のアプリがプライベートAPIを使い、ユーザーのメールアドレスや端末IDなどのデータを勝手に収集している事実を発見しました。
 
SourceDNAが調べたところ、中国のモバイル広告プロバイダYoumiが開発したサードパーティーの広告用SDK（ソフトウェア開発キット）が勝手にこれらのデータを保存、同社のサーバへ転送していることが明らかになりました。このSDKはApp Store内の256ものアプリに使われており、これらアプリは累計で100万回以上ダウンロードされていました。
 
プライベートAPIを利用したユーザーデータ収集は、App Storeの規約違反となります。AppleはSourceDNAの報告が正しいことを確認したうえ、これら250以上のアプリを削除するとともに、同じ手口を使えないよう、アプリの承認プロセスを修正しました。

他にもあるかも？データ盗むSDK

SDKはさまざまな手法とAPIを使い、通常では収集できない個人情報を集めることができます。こうした情報にはシリアル番号、周辺機器シリアル番号、インストールされたアプリ一覧、ユーザーのApple IDメールアドレスなども含まれます。SourceDNAは、Youmiが2年ほど前からこのSDKを使って少しずつ収集するデータの種類を増やしていったようだと推測しています。
 
またSourceDNAは、今回の一件がAppleのアプリレビュープロセスをすり抜け、何ヵ月も放置されていたことから、他にも同様の事例があるのではと懸念を表明しています。
 
 
Source:9to5Mac
(lunatic)