趋势网(微博|微信)讯:这256个应用程序具有重大意义,因为他们公开承认道其高度精心组织策划的应用程序在商店苹果的审批过程中失效。他们也是估计已下载应用程序入侵隐私的 100 万人的代表。数据收集是这样躲躲闪闪,甚至受影响的应用程序的个别开发商不可能知道这件事,因为只能通过开发者的软件用于传递广告的开发工具包发送个人信息。
“这是我们第一次发现应用程序通过数据提取私人Api ,在软件商店里侵犯用户隐私,"Nate Lawson,安全分析计划 SourceDNA创始人告诉Arstechnica,并指出应用程序编程接口内置于 iOS。”这可以提取很多的私人信息,因为它可以实际上经过模糊处理的工具包。这绝对是苹果公司应该有处理好的。
更新在 2015 年 10 月 19 日 6:19 上午 PDT (14:19 BST): 这篇文章面世后,苹果公司发布了确认 SourceDNA 调查结果的声明如下:
王宝强被举报涉嫌欺诈 贫困生一年旅游20多地引争议 百雀羚化妆品疑似涉嫌添加禁用原料 金正恩:朝鲜半岛核战争一触即发 恩波格斗声明
“我们已经确定了一组正在使用第三方广告 SDK的应用程序,它们通过Youmi,手机广告提供商,使用私人 Api 来收集私人信息,如用户电子邮件地址和设备标识符和路由数据到其公司服务器开发的应用程序。这是违反我们的安全和隐私准则的。应用程序在使用 Youmi 的 SDK 将从 App Store删除,任何新的应用程序提交到 App Store 使用此 SDK 将被拒绝。我们正在密切与开发人员联系,帮助他们更新有利于顾客的程序”。
这一发现来自一个独立安全公司报道几十个应用程序收集用户数据五个星期后。包括操作系统版本、 时区和收集数据的 iOS 应用程序。 Lawson说: 这些都不需要访问私人框架和 这些所谓的 XcodeGhost 应用程序所收集的所有信息都由苹果公司允许和不涉及使用受限制的内置于 iOS的编程接口。
XcodeGhost 应用程序有通过一个命令和控制服务器,打开指定的 Url 的能力,那可以被用来进行恶意操作受影响的 iPhone 上。但再次,Lawson说没有私有 API 涉及和开放的 Url 已经是合法的应用程序。"当你在浏览器中点击一个 URL 和 Yelp 应用打开去那家餐厅,那就是它在做的事,"他解释。苹果最终删除应用程序,因为所有的操作进行控制在一个未知的第三方。
这一发现公布一周后苹果删除了加密交通的监视能力的几个应用程序。苹果公司承认其 App Store 承载的应用程序,安装这种可以绕过传输层安全保护的其他应用程序的根证书几乎可以肯定暴露在该公司的安全审核过程中另一个洞口。
Lawson说,256应用程序用SourceDNA侦测,相比之下,检测到的应用程序访问明确禁止的苹果公司的 App Store 规则的数据 。获取数据的广告工具工具包是由Youmi提供一家不是那么容易接触的公司,因为其网站是几乎完全用中文写的。大部分或全部的应用程序使用该工具包是同样中文为主,包括官方的中文版麦当劳餐厅的app 。
除了麦当劳的 app, SourceDNA 博客宣布发现没有列出的违规的应用程序的名字,虽然 Lawson表示,该公司向苹果代表私下提供了清单。这不会令人惊讶——如果苹果公司从 App Store 中删除它们,或至少要求开发商提供的更新的版本,并且不使用 Youmi SDK。尽管如此,即使这些应用程序被删除,其他 iOS 应用程序是否会出现这样的事情?