I ricercatori della security enterprise SourceDNA hanno identificato 256 app per iOS in grado di accedere alle informazioni “private” degli utenti, una caratteristica a quanto pare ignota persino agli autori del codice. La colpa è di un kit di sviluppo (SDK) di terze parti, ma la società responsabile si giustifica: nessuna volontà di compromissione, solo esigenze di business.
Le 256 app potenzialmente spione sono state identificate da SourceDNA tramite il tool Searchlight, per l’occasione aggiornato con la capacità di identificare le app che fanno uso delle API private di Apple. E l’SDK di Youmi è in grado di fare esattamente questo, integrando la funzionalità nelle app sviluppate con il kit senza alcun intervento da parte dei singoli sviluppatori.
Le app create con l’SDK della società cinese (specializzata in advertising mobile) sono state scaricate 1 milione di volte, dice SourceDNA, e hanno la capacità di “leggere” le app terze scaricate dall’utente, il suo indirizzo email, l’identificativo seriale dello smartphone e altro ancora: tutte queste informazioni venivano poi spedite ai server di Youmi.
I creatori dell’SDK di terze parti hanno a quanto pare sperimentato a lungo con le API di iOS, ipotizzano i ricercatori americani, cercando un modo per estrarre e “leggere” i dati privati di un terminale Apple senza far scattare allarmi nei controlli remoti dell’app store di Cupertino.
Apple ha risposto all’allarme lanciato da SourceDNA confermando il comportamento delle app incriminate, classificando il comportamento dell’SDK di Youmi come una violazione alle linee guida sulla sicurezza e la privacy e procedendo alla messa al bando sia delle 256 app identificate che dell’SDK nel suo complesso.
Ancora una volta sono quindi attori cinesi ad attaccare la presunta inviolabilità dell’ecosistema delle app di Cupertino, anche in questo caso si parla di abuso delle API private – e teoricamente non accessibili agli sviluppatori di terze parti – ma Youmi non ci sta a passare per una società dispensatrice di malware: l’azienda si è scusata per quanto accaduto, giustificando la raccolta delle informazioni dell’utente come un mezzo per difendere pubblicitari e sviluppatori da tentativi di truffa.
Alfonso Maruccia