2015-10-20 amdin
近日,iOS中APP再出事故,苹果公司紧急下架了App Store上超256款应用。据苹果官方透露,下架这些应用是由于使用过名为有米(Youmi)的广告SDK,其中存在安全漏洞。截至发稿,这些存在安全隐患的应用总下载量已达100万次。
图1:iOS再曝安全事件
据网络安全机构SourceDNA的调查报告称,App Store上256款应用违反了苹果相关隐私条例,存在暗中收集用户邮件地址、装机应用、序列号以及其它私人信息等行为,而造成本次安全问题的根本原因,是由于这些应用都使用了一款国内移动广告提供商——有米所提供的第三方广告SDK。
360手机安全专家指出,虽然存在不安全因素的256款APP已经被苹果紧急叫停下架,但目前为止,这些存在安全隐患的应用总下载量已达100万次。
图2:读取Apple ID的有米广告代码
360手机安全专家分析,存在安全漏洞的有米SDK存在以下行为:收集用户安装在手机上的应用列表信息;在用户运行旧版iOS时,收集手机设备的平台序列号;在运行新版iOS时,收集手机设备的硬件组件及组件序列号;收集用户的Apple ID邮箱地址。
据360手机安全专家介绍,苹果公司一直禁止使用私有API,iOS 8中就禁止应用读取设备序列号,而有米通过枚举电池系统等外部设备,突破了苹果的限制,以硬件标识符的方式搜集发送这些序列号。此次也是第一次有人成功绕过了苹果的应用审核机制。
图3:256款APP遭苹果下架
360手机安全专家了解到,此次被下架的256款应用,均使用了有米来展示广告,而有米则借此收集用户信息。并且,这些数据收集行为已持续大概一年之久,比较初从收集App列表开始,直至发展到现在的版本。
对此,苹果方面发表声明称:
“我们发现一批App涉嫌使用私人API收集用户个人信息,包括邮件地址、设备认证信息以及路由数据,而这些App都使用了有米开发的第三方广告SDK。此行为违反了我们的安全和隐私准则,因而凡使用有米SDK的App均将做下架处理,新App如果使用了该SDK也将遭到拒绝。
目前,我们正和开发者紧密联系,以帮助他们升级到安全的版本,早日回归App Store。”
360手机安全专家称,此次涉事应用不乏中国版麦当劳APP这类常用应用,这也是继XcodeGhost事件后,iOS平台又一重大安全事件。