D’après SourceDNA, plusieurs centaines d’applications iOS publiées dans l’Apple Store, dérobent des données personnelles sur les iPhone et les téléversent sur des serveurs pirates. Environ un million d’utilisateurs seraient affectés.
L’accès aux données est fourni par l’utilisation interdite d’API privées du système d’exploitation iOS : des interfaces de programmation non documentées, et qu’Apple interdit d’utiliser.
Le spécialiste de la sécurité SourceDNA a découvert l’utilisation de ces interfaces de programmation dans le kit de développement Youmi, un fournisseur chinois de services publicitaires, qui est utilisé par plus de 256 applications.
Théoriquement, cela n’aurait pas dû se produire, car toute application dans l’App Store est contrôlée contre l’utilisation des API privées. La méthode de contrôle est inefficace, et une simple création de chaînes de caractères à l’exécution pour lancer un appel à une API privée suffit à détourner les protections.
Les données personnelles les plus volées seraient :
- La liste des applications installées sur l’iPhone ou l’iPad ;
- L’application au premier plan ;
- Le numéro de série de la plateforme ;
- L’énumération et les numéros de série des périphériques ;
- L’AppleID de l’utilisateur.
Les éditeurs utilisant le SDK Youmi ne semblent pas être complices, et Youmi seule récupérerait les données illégalement.
Une étude académique de l’Université de Purdue, iRiS : Vetting Private API Abuse in iOS Applications, parue il y a peu, parvenait aux mêmes conclusions, avec des moyens complètement différents.
SourceDNA a notifié Apple de ses conclusions, et Apple vient d’annoncer que toutes les applications utilisant le SDK Youmi seraient supprimées de l’App Store, et qu’à l’avenir, aucune application utilisant le SDK Youmi ne serait acceptée dans l’App Store.