היד הקשה של אפל: מסירה מאות אפליקציות מהאפסטור

פלטפורמת ניתוח קוד של חברת SourceDNA מצאה מאות יישומים באפסטור שעושים שימוש ב-API פרטי כדי לאסוף מידע אישי אודות משתמשים, כגון כתובת מייל ומספר זיהוי של המכשיר, תוך כדי שחומקים מהרדאר של אפל

מקור: Pexels

מקור: Pexels

אמש (ב׳) הודיעה אפל כי הסירה ׳מספר׳ אפליקציות מחנות ה-App Store, בטענה שאותן אפליקציות היו מסוגלות לאסוף מידע אישי ממכשירי iOS עליהם הותקנו. המהלך לא נולד כתוצאה מפעולה אקטיבית של אפל, אלא בשל ממצאים שחוקרי אבטחת מידע בחברת SourceDNA פרסמו ביום ראשון האחרון. בדו״ח שפורסם, נטען כי נמצאו 256 אפליקציות שהפרו את הנחיות האבטחה של אפל באמצעות תוכנה שהייתה מסוגלת לאסוף מידע אישי אודות המשתמשים, כולל כתובת הדואר האלקטרוני ומספר זיהוי המכשיר שלהם.

המפתחים – חפים מפשע

באתר של SourceDNA לא פורסמו שמות האפליקציות החשודות, אבל כן נאמר שרובן הגדול הגיע ממפתחים בסין. מקור הבעיה לדברי החברה נעוץ בערכת פיתוח תוכנה (SDK) מחברת פרסום לסלולר סינית בשם Youmi. מפתחים שעשו שימוש ב-SDK של החברה, בעצם חשפו את המשתמשים באפליקציה למחדל אבטחת מידע חמור הכולל גישה לנתוני המשתמש כדוגמת יישומים שהורדו והעלאת אותם נתונים לשרת שלהם.

סך הורדות היישומים שהכילו את אותו קוד זדוני מסתכם במיליון, כאשר רובן מגיע מסין. יש שיגידו שמדובר בכמות הורדות יחסית זניחה בהשוואה לסטנדרטים הנהוגים ב-App Store, אבל הסוגיה הבעייתית היא הקלות שבה ה-SDK של Youmi הצליח להסוות את עצמו, והחשש שיישומים נוספים עלולים להכיל קוד דומה גם כן. יחד עם זאת, נראה שהמפתחים שעשו שימוש באותו SDK הם חפים מפשע, שכן אלו לא ידעו על יכולותיו של הקוד שהטמיעו. אפל הודיעה שעובדת ביחד עם המפתחים שהאפליקציות שלהם נפגעו, כדי לעזור להם לשחרר גרסאות בטוחות ונקיות של היישומים שלהם בחזרה לחנות.

אפל פרסמה תגובה רשמית בנוגע לפרשה ואמרה כי: ״זיהינו קבוצה של יישומים שעושים שימוש ב-SDK צד שלישי לצורכי פרסום אשר פותח על ידי Youmi, ספקית פרסום סלולרית, שמשתמשת בממשקי API פרטיים כדי לאסוף מידע כגון כתובות דואר אלקטרוני ופרטי מכשיר, ולהעביר את אותה אינפורמציה ישירות לשרתי החברה. מדובר בהפרה של הנחיות האבטחה והפרטיות שלנו. היישומים שעושים שימוש ב-SDK של Youmi יוסרו מחנות האפליקציות, וכל אפליקציה חדשה שתגיש בקשה ל-App Store באמצעות SDK זה תידחה. אנו עובדים בשיתוף פעולה הדוק עם המפתחים כדי לעזור להם לקבל גרסאות מעודכנות של היישומים שלהם, כדי שיעמדו בהנחיות שלנו ויהיו בטוחות ללקוחות״.

בהמשך, פורסמה גם הצהרה רשמית מחברת הפרסום הסינית Youmi, בה התנצלה על הפצת הקוד שאפשר לאותן אפליקציות לגשת לנתונים האישיים של המשתמשים. כמו כן, אמרה שפועלת ביחד עם אפל כדי לפתור את הסוגיה וכי ״עבור אותם מוצרים שהוסרו זמנית מחנות האפליקציות של אפל, אנו נספק פיצוי סביר ברגע שהעניין יפתר״.

הילה חיימוביץ׳

גיקית, Deal With It

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל