App Store: Mehr als 250 Apps hatten Zugriff auf persönliche Daten

Holger Eilhard

Was eigentlich im Rahmen von Apples Review-Prozess unmöglich sein sollte, ist nun doch geschehen: Mehr als 250 Apps hatten illegalen Zugriff auf E-Mail-Adressen, installierte Apps und weitere persönliche Daten. Betroffene Apps hat Apple bereits aus dem Store entfernt.

Die Forscher von SourceDNA (via Ars Technica) hatten am vergangenen Wochenende in ihrem Blog über 256 Apps berichtet, die mit Hilfe von privaten Programmschnittstellen (APIs) Zugriff auf persönliche Daten der Anwender hatten.

Diese Zugriffe werden in der Regel von Apple während des Review-Prozesses entdeckt. Im aktuellen Fall war es den Entwicklern des SDKs jedoch gelungen diese Aufrufe zu verstecken, wodurch die Apps im App Store veröffentlicht wurden.

Bilderstrecke starten(8 Bilder)
Kostenlose und reduzierte Apps für iPhone, iPad & Mac zum Wochenende

Diese APIs erlaubten Zugang zu:

  • Liste der installierten Apps oder der zuletzt geöffneten App
  • Auslesen der Seriennummer des iPad oder iPhone (bei älteren iOS-Versionen)
  • Auslesen der Hardware-Komponenten des Geräts sowie deren Seriennummern (neuere iOS-Versionen)
  • Auslesen der Apple ID (E-Mail) des Anwenders

Bei den Nachforschungen wurde eine gemeinsame Code-Basis entdeckt, die auf ein Werbe-SDK von Youmi aus China zurückgeführt werden konnte. Im Rahmen dieser konnte auch nachvollzogen werden, wann Youmi mit dem Aufruf der privaten APIs begonnen hatte.

Mit Hilfe der Seriennummern der Geräte beziehungsweise der einzelnen Komponenten kann Youmi einen eindeutigen Fingerabdruck eines Geräts erzeugen.

Laut SourceDNA soll Youmi vor rund zwei Jahren damit begonnen haben, mit den privaten APIs zu experimentieren. In folgenden Updates des SDKs – nachdem es ihnen gelungen war erste Apps an Apple vorbei zu schleusen – wurden die Entwickler mutiger und weiteten ihre Suche nach persönlichen Daten aus.

SourceDNA schätzt, dass Apps, die das SDK von Youmi eingesetzt haben, eine Million Mal heruntergeladen wurden. Die Entwickler, deren Apps das Youmi-SDK einsetzten stammen primär aus China. Es wird vermutet, dass diese Entwickler keine Ahnung von den Eingriffen in die Privatsphäre ihrer Nutzer hatten. Die gesammelten Informationen wurden direkt an die Server von Youmi übermittelt.

Apple ist bereits aktiv geworden und hat die betroffenen Apps aus dem App Store entfernt. Alle neuen Apps, die in Zukunft das SDK einsetzen wollen, werden abgelehnt. Apple arbeitet des Weiteren eng mit den Entwicklern zusammen, um aktualisierte Versionen ihrer Apps ohne das SDK wieder in den App Store zu bringen.

Eine Liste der betroffenen Apps hat SourceDNA nicht veröffentlicht, nannte jedoch gegenüber Ars Technica als Beispiel die chinesische Version der McDonalds App.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung