Apple supprime 256 applications qui subtilisaient les informations personnelles des utilisateurs
Des utilisateurs testent les iPhone 6 et 6 Plus le 26 septembre 2014
Photo: Pablo Blazquez Dominguez/Getty Images
Apple a retiré de l’App Store, sa boutique d’application en ligne, 256 applications utilisant du code créé par la firme chinoise Youmi. Elle collectait les informations personnelles d’utilisateurs identifiables. Apple a fait cette opération suite à une alerte donnée par une société d’analyse des données.
Dimanche dernier, SourceDNA signalait la vulnérabilité découverte lors d’une mise à jour d’une fonctionnalité de Searchlight. Searchlight permet de numériser des applications pour l’utilisation d’API privée, ce qui est habituellement interdit sur l’App Store.
Lors d’une analyse de leurs signatures binaires, SourceDNA a constaté que toutes ces applications vérolées avaient en commun le kit de développement logiciel (SDK) de la régie publicitaire Youmi. Cette firme chinoise pouvait ainsi accéder aux informations personnelles de près d’un million d’utilisateurs, et voir quelles applications avaient été téléchargées, la plateforme utilisée, l’identifiant Apple et les numéros de série des périphériques tels que le système de batterie.
Dans un billet sur son blog, SourceDNA s’explique : « Nous pensons que les développeurs de ces applications ignoraient cet état de fait, car le SDK est livré sous une forme binaire, complexe et les informations sensibles des utilisateurs étaient acheminées vers les serveurs de Youmi, et non stockées dans les applications. L’essentiel des développeurs concernés résidaient en Chine ».
Une analyse des dates de publication des applications et de leur code source a permis de remonter à deux ans en arrière, date à laquelle Youmi a commencé l’utilisation d’API privées. Sur les 256 applications, 142 n’étaient pas affectées par l’utilisation d’API privées, mais elles ont toutes été supprimées de l’App Store le 19 octobre.
Par le biais de SourceDNA, Apple avertit : « Les applications utilisant le SDK de Youmi seront retirées de l’App Store et toute nouvelle application soumise à l’App Store, qui utilise ce SDK sera rejetée. Nous travaillons en étroite collaboration avec les développeurs pour les aider à mettre à jour leurs applications, pour qu’elles soient sans danger pour les clients et en conformité avec nos directives. Elles pourront ainsi revenir rapidement dans l’App Store.»
Le code du SDK de Youmi modifiait également la façon de présenter ses requêtes d’identifiants publicitaires, ce qui était utilisé pour le suivi des clics sur les annonces, et laissait penser qu’ils s’en servaient pour un autre but.
Une semaine avant la publication par SourceDNA de la faille, un groupe de chercheurs de l’Université de Purdue avaient déjà rédigé un rapport sur le même problème. Les chercheurs, avaient passé au crible grâce à un rigoureux processus personnalisé de validation, quelque 2 000 applications. Ils ont estimé que le processus officiel de validation de l’App Store était faible et nécessitait une mise à niveau, une conclusion partagée par SourceDNA.
« Étant donné la facilité de la dissimulation et le temps considérable au cours duquel les applications sont restées téléchargeables, nous nous demandons si d’autres applications validées ne recourent pas au même fonctionnement, avec d’autres approches, pour dissimuler leurs agissements malveillants », s’interroge l’entreprise.
Version anglaise : Apple Removes Over 250 Apps for Spying on Users
Histoire et philosophie des sciences, Science de l'information. Actualités française et internationale.
Articles actuels de l’auteur
