アップルが256個ものアプリをApp Storeから削除しました。これらのアプリがインストールされたiPhoneなどから、個人情報を不正に取得していたためです。
いずれも中国の広告プロバイダー Youmi が提供する SDK を使用しており、Apple ID からメールアドレス、導入済みアプリの一覧などを収集していました。
アプリの不審点に気づいたのはソフトウェア解析サービスを提供する企業 SourceDNA。通常、App Store のアプリはアップルによるコードレビューが行われ、不正な動作があれば間違いなく却下される仕組みとなっています。また非公開情報を取得するプライベート API の使用は禁止されていますが、Youmi の API は先に個人情報と関係ないデータを取得し、それらに紛れ込ませることで密かに個人情報を取得していました。
SourceDNAは、プライベートAPIを検出するソフトウェアの更新テスト中に、Youmi の SDK を使ったアプリの不審な動作を発見しました。そして他の Youmi SDK 使用アプリを調査したところ、256個ものアプリが不正に個人情報を Youmi のサーバーに送信していたことを突き止めました。
幸い、Youmi は中国の広告プロバイダーで、SDK を使ったアプリもその大半が中国国内向けのものでした。SouceDNA は、おそらく大半の開発者が Youmi の SDK が個人情報を収集するとは知らずに使っていた可能性が高いとしています。
報告を受けたアップルは該当するアプリをすぐさま App Store から削除。「我々は Youmi の広告用 SDK がプライベート API を使い、電子メールアドレスや端末の識別子などを不正に取得していることを確認しました。これはセキュリティおよびプライバシーのガイドラインに違反しており、これらアプリすべてを App Store から削除しました。我々は現在、Youmi の SDK を使っていたデベロッパーが速やかにクリーンなバージョンのアプリを提供できるよう協力しています」とコメントしています。
XcodeGhostの騒動もまだつい最近のことで、安全と思われていた App Store の信頼もすこしばかり揺らぎ気味。日本で Youmi SDK の被害例があったわけではありませんが、しばらくの間、中国製アプリの導入には少し警戒しておくほうが無難かもしれません。
(2015年10月21日「engadget日本版」より転載)