Apple a dû gérer récemment la présence d'applications qui avaient été conçues avec une version dénaturée de l'environnement Xcode qui ajoutait aux logiciels des éléments permettant potentiellement la récupération d'informations personnelles.
Cette fois, c'est la plate-forme d'analyse de code SourceDNA qui s'est aperçue que certaines applications de l'App Store, et qui avaient donc passé les processus automatiques de vérification, utilisaient des APIs privées pour collecter discrètement des données personnelles.
Ces APIs proviennent du SDK de la société chinoise YouMi qui fournit des solutions d'intégration de publicités et elles sont intégrées dans les applications sans doute sans que les développeurs en aient conscience.
SourceDNA suggère que les auteurs du SDK sont allés par étape dans la collecte de ces informations et ont sans doute pris confiance en constatant que leurs premières tentatives de récupération de données passaient inaperçues.
Pas moins de 256 applications sont concernées et SourceDNA invite les développeurs à cesser d'utiliser le SDK de YouMi...qui avait déjà fait l'objet d'un signalement dans un rapport de sécurité la semaine dernière, aboutissant aux mêmes conclusions (avec une méthode pour contrer ce problème) par un cheminement différent.
Apple a réagi en confirmant qu'il s'agit d'une "violation de nos pratiques en matière de sécurité et de respect de la vie privée. Les applications embarquant le SDK de Youmi ont été retirées de l'App Store et toute nouvelle application soumise dans l'App Store utilisant ce SDK sera rejetée ".
Le groupe indique qu'il compte aider les développeurs touchés par cette mesure à réintroduire rapidement dans l'App Store une nouvelle version de leur application débarrassée du SDK incriminé.