logo_pro_apple La plate-forme iOS est plutôt bien protégée contre les attaques de malwares grâce à une plate-forme très encadrée qui laisse peu de marge de manoeuvre. Malgré tout, certains épisodes récents ont montré que la surveillance au sein du portail App Store pouvait parfois en partie être prise en défaut, généralement quand les outils des développeurs sont eux-mêmes vérolés.

Apple a dû gérer récemment la présence d'applications qui avaient été conçues avec une version dénaturée de l'environnement Xcode qui ajoutait aux logiciels des éléments permettant potentiellement la récupération d'informations personnelles.

Cette fois, c'est la plate-forme d'analyse de code SourceDNA qui s'est aperçue que certaines applications de l'App Store, et qui avaient donc passé les processus automatiques de vérification, utilisaient des APIs privées pour collecter discrètement des données personnelles.

Ces APIs proviennent du SDK de la société chinoise YouMi qui fournit des solutions d'intégration de publicités et elles sont intégrées dans les applications sans doute sans que les développeurs en aient conscience.

applications appstore Elles visent à récupérer transférer sur les serveurs de la société diverses informations comme la liste des applications installées d'un appareil, le numéro de série, la liste et les numéros de série des composants et l'identifiant AppleID, qui correspond à l'adresse email des utilisateurs.

SourceDNA suggère que les auteurs du SDK sont allés par étape dans la collecte de ces informations et ont sans doute pris confiance en constatant que leurs premières tentatives de récupération de données passaient inaperçues.

Pas moins de 256 applications sont concernées et SourceDNA invite les développeurs à cesser d'utiliser le SDK de YouMi...qui avait déjà fait l'objet d'un signalement dans un rapport de sécurité la semaine dernière, aboutissant aux mêmes conclusions (avec une méthode pour contrer ce problème) par un cheminement différent.

Apple a réagi en confirmant qu'il s'agit d'une "violation de nos pratiques en matière de sécurité et de respect de la vie privée. Les applications embarquant le SDK de Youmi ont été retirées de l'App Store et toute nouvelle application soumise dans l'App Store utilisant ce SDK sera rejetée ".

Le groupe indique qu'il compte aider les développeurs touchés par cette mesure à réintroduire rapidement dans l'App Store une nouvelle version de leur application débarrassée du SDK incriminé.

Source : SourceDNA