Apple retire 250 app collectant secrètement des données utilisateurs

Sur le web

Par Elodie le

Apple a annoncé avoir retiré 250 applications de son App Store intégrant un service de publicité chinois, Yumi. Ces dernières accédaient aux données personnelles des utilisateurs de l’app qu’elles stockaient ensuite sur les serveurs de la société chinoise.

apple-retire_app_collecte_données_utilisateurs

« Nous avons identifié un groupe d’applications qui utilisent un kit de développement (SDK, Software Development Kit) publicitaire développé par Youmi », qui « collecte des informations privées, comme le courriel de l’utilisateur ou les identifiants de l’appareil, et route ces données vers le serveur de l’entreprise », a déclaré Apple.

« C’est une violation de nos règles de sécurité et de protection des données privées », poursuit la firme à la pomme.

Ces 256 applications ont été téléchargées un million de fois au total. Comme le rapporte The Verge, c’est SourceDNA, société spécialisée dans la sécurité mobile, qui a levé le lièvre dans un billet de blog. La société estime que seule Yumi est en cause et non les développeurs ayant eu recours à ses services. Pour SourceDNA, Yumi a expérimenté son logiciel malveillant sur plusieurs années en exploitant des API privées qui grignotaient discrètement des données. Se rendant compte qu’elle n’était pas repérée par les services d’Apple, Yumi a poursuivi sa collecte.

Un avis que ne partage pas (officiellement ?) Apple pour qui Yumi n’a pas « sciemment » violé les règles établies par le géant américain.

« Nous pensons que les développeurs de ces applications n’ont pas conscience que ce SDK est livré sous une forme binaire, obscurcie, et que les informations utilisateurs sont téléchargées sur les serveurs de Yumi et non de l’application. »

C’est pourquoi « les applications utilisant le SDK de Youmi seront retirées de l’App Store et toute nouvelle application proposée à l’App Store utilisant ce SDK sera rejetée », souligne le communiqué d’Apple.

La firme recommande aux développeurs de ne plus utiliser ce SDK jusqu’à ce que le code soit retiré. En attendant, la firme collabore avec les développeurs pour mettre à jour leurs applications afin qu’elles soient « sans danger pour les utilisateurs » et respectent les règles de l’App Store.

Malgré le ménage effectué, c’est un coup dur pour Apple qui fait de la protection de la vie privée son nouveau cheval de bataille et de son App Store, une citadelle où il faut montrer patte blanche avant d’avoir droit de cité.

La semaine dernière, Apple avait du retiré plusieurs adblockers de son App store pour raison de sécurité. Le certificat installé par ces applications permettait aux développeurs d’accéder aux données de navigation normalement chiffrées de l’utilisateur et de bloquer les requêtes des applications vers les régies publicitaires.

Source: Source