„Ide jednoznačne o druh softvéru, ktorý mal Apple zachytiť“, hovorí výskumník zo spoločnosti SourceDNA, ktorá škodlivé aplikácie objavila.
Celá platforma okolo Apple pôsobí bezpečným dojmom. Nenapadá ju toľko vírusov, malvéru a aplikácie v App Store sú kontrolované Apple-om. Napriek tomu mu však pomedzi prsty prešlo až 256 aplikácii, ktoré našli bezpečnostní výskumníci a označili ich ako nebezpečné. Aplikácie nielen že prenikli prísnou kontrolou Apple a dostali sa na App Store, ale predstavujú bezpečnostné riziko pre asi 1 milión používateľov, ktorí si ich stiahli.
Čím sú tieto aplikácie nebezpečné? Aplikácie sťahujú osobné údaje zákazníkov ako napríklad emailové adresy, sériové číslo zariadenia, zoznam inštalovaných aplikácii a tieto dáta zasielajú tvorcom softvéru. „Je to vôbec prvýkrát čo sme našli existujúce aplikácie v App Store, ktoré narušovali súkromie používateľov vyťahovaním dát zo súkromných API“, povedal Nate Lawson, zakladateľ analytickej startup firmy SourceDNA. „Ide v podstate o sadu nástrojov pre extrahovanie takého množstva súkromných informácii ako sa len dá. Ide jednoznačne o druh softvéru, ktorý mal Apple zachytiť“.
Ohľadom nájdených aplikácii sa vyjadril už aj Apple. „Identifikovali sme skupinu aplikácii, ktoré používali inzerujúce SDK tretích strán, ktoré vyvinula čínska firma Youmi, čo je poskytovateľ mobilných inzercií a toto SDK využíva privátne API na zber súkromných informácii, ako napríklad emailových adries, identifikátorov zariadení a dáta o smerovaní, a odosiela ich na server spoločnosti. Ide o porušenie našich bezpečnostných pravidiel. Aplikácie používajúce SDK od Youmi budú odstránené z App Store a každá nová aplikácia, ktorá bude chcieť vstúpiť na App Store a bude používať SDK od Youmi bude odmietnutá. Úzko spolupracujeme s vývojármi aby sme im pomohli rýchlo dostať na App Store aktualizované verzie ich aplikácii, ktoré sú bezpečné pre zákazníkov a v súlade s našimi pravidlami“.
Nie je však celkom jasné, ako aplikácie prešli výberovým procesom Apple a dostali sa na App Store. SourceDNA si myslí, že Youmi experimentovala s iOS API celé roky kým nenašla cestu, ako obísť kontrolu a nespustiť alarm. SourceDNA objavila, že aplikácie zbierali konkrétne tieto dáta:
- zoznam všetkých aplikácii nainštalovaných na telefóne
- sériové číslo iPhone alebo iPadu
- zoznam hardvérových komponentov zariadenia, ktoré používali novšie verzie iOS spolu so sériovými číslami týchto komponentov
- emailové adresy asociované s Apple ID kontom
Zber dát však nezačal naraz na všetkých frontoch, ale postupne v priebehu asi jedného roka. Aplikácie najprv začali zbierať zoznam inštalovaných aplikácii a až neskôr sa pridali ostatné dáta až do súčasnej podoby. SourceDNA nezverejnila zoznam aplikácii, o ktorých je reč, poskytla ho však Apple. Škoda, že zoznam nie je verejný nakoľko v opačnom prípade by si zákazníci mohli patričné aplikácie odinštalovať. Apple aplikácie zrejme stiahne z App Store. Pre používateľov, ktorí ich však už majú v telefónoch ostáva však už len dúfať, že vývojári zapracujú na aktualizáciách, ktoré odstránia špehovanie z mobilov používateľov.
Zdroj: theverge
Pridať nový komentár